Databeveiliging & Dataverlies

De Indiase overheid heeft door een onbeveiligde database de medische en persoonlijke data van miljoenen zwangere vrouwen gelekt. Het ging om een MongoDB-database die voor iedereen op internet toegankelijk was.

Geregeld vinden onderzoekers onbeveiligde MongoDB-databases met gevoelige data. Dit keer trof beveiligingsonderzoeker Bob Diachenko een database aan met gegevens van patiënten, artsen en kinderen, alsmede beheerderswachtwoorden. De informatie was verzameld als onderdeel van de Indiase Pre-Conception and Pre-Natal Diagnostic Techniques (PCPNDT) wetgeving. Deze wetgeving moet abortussen van meisjes tegengaan.

De database bevatte verschillende formulieren die zwangere vrouwen in India verplicht moeten invullen. Het ging onder andere om de leeftijd van de vrouw, of er genetische aandoeningen in de familie voorkomen, details van de zwangerschap en andere gevoelige gegevens. In totaal trof Diachenko 7,4 miljoen formulieren aan.

Tevens vond de onderzoeker nog miljoenen anonieme klachten, gegevens van rechtszaken en informatie over kinderen, zoals geslacht, leeftijd en status. Het total aantal gelekte records bedroeg daardoor meer dan 12,5 miljoen.

Alles bij de bron; Security


 

Veel moderne auto's, waaronder die van Tesla, slaan privédata op, variërend van telefooninformatie tot camerabeelden. Dergelijke informatie wordt niet automatisch verwijderd na een crash of doorverkoop, omdat onderzoekers die mogelijk nodig kunnen hebben.

Volgens de hackers, die volgens CNBC anoniem willen blijven, wordt de data op Tesla's niet versleuteld. Het is dus gemakkelijk voor mensen met de juiste technische kennis om privédata te bemachtigen uit een Tesla, inclusief zaken die door de camera's van de auto is opgenomen. Ze moeten alleen de computer aan boord van de auto in handen krijgen.

De hackers bemachtigden succesvol de informatie van zeventien verschillende mobiele apparaten die gelinkt waren geweest aan de Tesla, waaronder contactlijsten met telefoonnummers. Ook vonden ze persoonlijke kalenders, de locaties van zo'n 73 plekken waar de Tesla was geweest, en de video die door de auto was opgenomen tijdens de crash.

In een reactie aan CNBC wijst Tesla er op dat Tesla-eigenaren al de mogelijkheid hebben om alle data op hun auto te wissen. 

Alles bij de bron; NU


 

In Amerika zijn meer dan 2,3 miljoen overlevenden van verschillende orkanen en natuurbranden het slachtoffer van een datalek geworden nadat de federale Amerikaanse rampenbestrijdingsdienst FEMA hun persoonsgegevens met een leverancier deelde, veel meer dan wettelijk was toegestaan. Het ging onder andere om adresgegevens en financiële informatie.

Daardoor hebben deze mensen een verhoogd risico op identiteitsdiefstal en fraude, zo blijkt uit onderzoek van het Office of Inspector General (OIG) van het Amerikaanse ministerie van Binnenlandse Veiligheid (pdf). 

FEMA laat in een reactie weten dat het inmiddels is gestopt met het delen van onnodige gegevens en er een inspectie van de systemen van de leverancier heeft plaatsgevonden. De overheidsinstantie heeft daarnaast met de leverancier samengewerkt om de onnodige gegevens van de systemen te verwijderen. 

Alles bij de bron; Security


 

Iedere smartphonegebruiker kent de waarschuwing: zeg nee tegen de app die je locatie wil weten. Zeg nee als de software vraagt om toegang tot foto's, contactgegevens, berichten, opslag, browsergeschiedenis, camera, microfoon, bluetooth.

Ook al zeg je nee op alles, het besturingssysteem Android van Google, dat op 80% van alle mobiele telefoons is geïnstalleerd, kan ongemerkt persoonlijke gegevens blijven lekken.Foto: Dado Ruvic / Reuters

Maar het helpt niet. Ook al zeg je nee op alles, het besturingssysteem Android van Google, dat op 80% van alle mobiele telefoons is geïnstalleerd, kan ongemerkt persoonlijke gegevens blijven lekken. Dat blijkt uit een grootschalige studie van een Spaanse onderzoeksgroep.

'Gebruikers weten dit vaak niet en hebben nooit toestemming gegeven', zegt Juan Tapiador, hoogleraar computerwetenschap aan de Carlos III universiteit in Madrid, een van partners in het onderzoek.

Alles bij de bron; FD [inloggen noodzakelijk]


 

Een beveiligingsbedrijf heeft weer een lek gevonden dat kwaadwillenden toegang had gegeven tot de data van tienduizenden smartwatches van kinderen. Het bleek mogelijk om als admin in te loggen op het webportaal van een fabrikant van kinderhorloges.

Door in het post-request bij het inloggen de waarde voor 'User(grade)' te veranderen van 1 naar 0, kregen gebruikers toegang tot de admin-omgeving van kindersmartwatchmaker Gator, meldt PenTestPartners. Vervolgens bleek het na een kleine wijziging mogelijk om de data in te zien van 35.000 smartwatches van kinderen bij 20.000 accounts. In de backend zat geen check of een gebruiker admin-rechten zou mogen hebben.

Het is niet de eerste keer dat de backend grote kwetsbaarheden blijkt te bevatten. Eerder vond het bedrijf in 2017 al exploits.

Alles bij de bron; Tweakers


 

Pacemakers en implanteerbare hartapparaten van fabrikant Medtronics maken gebruik van een onveilig telemetrieprotocol en zijn hierdoor kwetsbaar voor aanvallen, zo waarschuwt de Amerikaanse overheid. Een aanvaller in de buurt van een slachtoffer kan hierdoor op afstand de pacemaker manipuleren.

Voor de communicatie tussen monitoringapparaten en pacemakers wordt er gebruik gemaakt van het draadloze Conexus-telemetrieprotocol. Het protocol maakt geen gebruik encryptie, authenticatie of autorisatie. Daardoor kan een ongeautoriseerd persoon de pacemaker of programmeer- en monitoringapparaten op afstand manipuleren, aldus de Amerikaanse toezichthouder FDA.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,3 beoordeeld. Medtronic zou inmiddels aan beveiligingsupdates werken, maar wanneer die verschijnen is nog niet bekend (pdf). 

Alles bij de bron; Security


 

Privégegevens van 49.000 klanten van huurmakelaar Altijd Wonen zijn jarenlang inzichtelijk geweest door een onbeveiligde website, laat de makelaar donderdag weten. Door het lek waren namen, e-mailadressen en telefoonnummers door anderen in te zien. De verouderde website van de makelaar was niet goed beveiligd.

De wachtwoorden en gebruikersnamen waren ook in te zien, maar een woordvoerder van Altijd Wonen laat weten dat het gaat om unieke wachtwoorden, omdat die gegenereerd werden door het systeem van de huurmakelaar. Wel kon met die informatie bij de website van Altijd Wonen ingelogd worden, waar afspraken voor bezichtigingen gemaakt konden worden. Het lek werd ontdekt na een anonieme tip.

Alles bij de bron; NU


 

Van wie is die foto die je net op Instagram hebt gezet? Waar blijft je YouTube-filmpje eigenlijk als je het hebt geplaatst? En ben jij wel de baas over jouw privacy? Het zijn vragen die te maken hebben met de enorme macht van techreuzen als Facebook en Google. Vragen ook die specialisten ertoe brengen te zeggen dat het wereldwijde web kapot is.

Het web is groter gegroeid dan ooit bevroed, maar het is niet geworden wat Berners-Lee ervan had gehoopt. Hij maakt zich zorgen over de verspreiding van desinformatie, heimelijke politieke beïnvloeding en privacyschandalen. 

Berners-Lee werkt samen met de Gentse hoogleraar computerwetenschappen Ruben Verborgh aan een oplossing; Solid: een persoonlijke datakluis waarin webgebruikers al hun data opslaan. Als ze iets willen posten op een platform zoals Facebook, sturen ze deze foto niet naar het sociale medium, maar mag dat platform alleen een linkje maken naar de foto. Die blijft in de persoonlijke datakluis. Hetzelfde geldt voor commentaren die op het web worden geplaatst. Het voordeel is dat de gebruiker zelf de baas blijft over zijn data.

Zelf gebruiken Berners-Lee en Verborgh al Solid, maar het moet nog gebruikersvriendelijk worden gemaakt voor het grote publiek.

Alles bij de bron; NOS


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha