Ziekenhuizen en andere medische instellingen wereldwijd lekken via slecht beveiligde servers de gegevens van miljoenen patiënten, zo stellen onderzoekers van securitybedrijf Aplite op basis van eigen onderzoek.
Het gaat om röntgenscans, MRI-scans, namen, adresgegevens, behandeldata en in sommige gevallen social-securitynummers. In totaal vonden de onderzoekers meer dan 3800 servers in honderdtien landen met daarop gegevens van zestien miljoen patiënten.
Daarnaast werden op deze servers 43 miljoen 'health' records van patiënten aangetroffen, met onderzoeksuitslagen, wanneer het onderzoek plaatsvond en gegevens van de betreffende arts.
De servers maken gebruik van het Digital Imaging and Communications in Medicine (DICOM) protocol, gebruikt voor de opslag van medische scans. DICOM is een decennia oud protocol. DICOM-afbeeldingen worden meestal opgeslagen op een picture storage and sharing system (PACS) server.
De servers blijken echter niet goed beveiligd, waardoor aanwezige patiëntgegevens door onbevoegden zijn te achterhalen. Volgens de onderzoekers maakt minder dan één procent van de DICOM-servers gebruik van effectieve beveiligingsmaatregelen, zo meldt TechCrunch. De problemen met DICOM zijn niet nieuw, in 2019 werd hier ook al voor gewaarschuwd.
Alles bij de bron; Security
De aanvallers die in oktober toegang wisten te krijgen tot accounts van duizenden gebruikers van dna-testbedrijf 23andMe hebben een "aanzienlijk aantal" bestanden met de afstammingsgegevens van gebruikers gestolen.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen.
Van hoeveel andere gebruikers deze gegevens zijn gestolen is onbekend.
Bij credential stuffing proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Gisterenavond maakte 23andMe bekend dat het van alle bestaande gebruikers het wachtwoord heeft gerest en nu ook tweestapsverificatie verplicht.
Alles bij de bron; Security
De Britse privacytoezichthouder ICO heeft een Brits ziekenhuis berispt voor een gevoelig datalek met patiëntgegevens.
Begin dit jaar gaf het ziekenhuis aan een ongeautoriseerd persoon de gegevens van veertien personen mee. De man, die geen medewerker van het ziekenhuis was, meldde zich op een afdeling. Door een gebrek aan identificatiecontroles en formele processen, kreeg de man een document met informatie over veertien patiënten.
Het ziekenhuis had wel een beveiligingscamera geïnstalleerd. Het stopcontact van de camera was per ongeluk door een ziekenhuismedewerker, als onderdeel van een energiebesparingsoefening, uitgeschakeld. Daardoor zijn er geen beelden van de man.
Verder onderzoek van de Britse privacytoezichthouder wees uit dat personeel onvoldoende op het gebied van privacy en databeveiliging was getraind.
Alles bij de bron; Security
In het digitale tijdperk, waarin organisaties afhankelijk zijn van geavanceerde technologieën en het internet, is het risico op datalekken aanzienlijk toegenomen.
Een datalek verwijst naar de ongeoorloofde toegang tot of vrijgave van vertrouwelijke informatie. Dit kan persoonlijke gegevens, financiële informatie, gezondheidsgegevens, bedrijfsgeheimen of andere gevoelige gegevens omvatten. Datalekken kunnen het gevolg zijn van verschillende factoren, waaronder cyberaanvallen, menselijke fouten, zwakke beveiligingsmaatregelen en verouderde software.
De gevolgen van een datalek kunnen verwoestend zijn, zowel voor individuen als voor organisaties. Klantvertrouwen kan ernstig worden geschaad, wat resulteert in verlies van zakelijke kansen en reputatieschade. Bovendien kunnen er wettelijke boetes en juridische procedures volgen, vooral als de gelekte gegevens onderhevig zijn aan privacyregelgeving zoals de Algemene Verordening Gegevensbescherming (AVG).
Hoe kun je een datalek voorkomen?
1. Implementeer sterke beveiligingsmaatregelen:
Een robuuste beveiligingsinfrastructuur is essentieel om datalekken te voorkomen. Organisaties moeten investeren in firewalls, antivirussoftware, intrusion detection systems en andere geavanceerde beveiligingsoplossingen. Regelmatige beveiligingsaudits en penetratietests kunnen helpen bij het identificeren van zwakke plekken in het systeem.
2. Geef prioriteit aan gebruikerstraining:
Menselijke fouten zijn een belangrijke oorzaak van datalekken. Het is daarom van cruciaal belang om medewerkers te trainen in cybersecuritybewustzijn.
3. Versleutel gevoelige gegevens:
Het versleutelen van gevoelige gegevens is een extra beveiligingslaag die ervoor zorgt dat zelfs als er ongeautoriseerde toegang is, de informatie niet leesbaar is.
4. Houd software up-to-date:
Het regelmatig bijwerken van software en het installeren van patches is essentieel om kwetsbaarheden te verhelpen en de beveiliging van systemen te handhaven.
5. Implementeer toegangscontroles:
Beperk de toegang tot gevoelige gegevens tot alleen die medewerkers die deze nodig hebben voor hun functie.
6. Maak regelmatig back-ups:
Het regelmatig maken van back-ups is een cruciaal onderdeel van gegevensbeveiliging. In geval van een datalek of een ransomware-aanval, kan het herstellen van gegevens vanaf een back-up het verlies minimaliseren en bedrijfscontinuïteit waarborgen.
Alles bij de bron; 0297
Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de firewalls, routers en switches van fabrikant Juniper om organisaties aan te vallen, zo melden het bedrijf en het Amerikaanse ministerie van Homeland Security.
Eén van deze kwetsbaarheden, aangeduid als CVE-2023-36845, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op de apparaten uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Juniper kwam op 17 augustus van dit jaar met updates voor vijf kwetsbaarheden in Junos OS, het besturingssysteem dat op de netwerkapparaten van de fabrikant draait.
Alles bij de bron; Security
Een database die beweert het Aadhaar-nummer, paspoortnummer en andere persoonlijke gegevens van 815 miljoen Indiërs te bevatten, staat sinds 9 oktober te koop op BreachForums .
“Om deze slachtoffergroep in perspectief te plaatsen: de totale bevolking van India telt iets meer dan 1,486 miljard mensen”, merkte cyberbeveiligingsbedrijf Resecurity op in zijn blogpost , waarbij hij benadrukte dat dit de grootste datalek van persoonlijke gegevens in het land zou kunnen zijn. In de verkeerde handen kunnen deze gegevens worden gebruikt voor digitale identiteitsdiefstal, wat verder kan resulteren in andere cybercriminaliteit, zoals bankfraude.
Onderzoekers van Resecurity legden contact met de hacker die de database verkocht en kwamen erachter dat ze bereid waren deze voor $ 80.000 te verkopen. De hacker deelde ook spreadsheets met daarin vier grote lekmonsters met fragmenten van Aadhaar-gegevens als bewijs.
Het Resecurity-team kon geldige Aadhaar-ID's in de monsters identificeren door deze te vergelijken met de functie Verify Aadhaar van UIDAI . De authenticiteit van de gehele database is echter niet geverifieerd.
Het is nog niet duidelijk waar deze database vandaan lekte. Sommige mediakanalen hebben het lek toegeschreven aan de Indian Council of Medical Research (ICMR), maar ICMR heeft dit niet bevestigd. De Times of India meldde dat de regering dit lek onderzoekt.
Alles bij de bron; Medianama [via Security & googliaans vertaald]
Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.
Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory.
Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.
...Hackers zijn er in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.
Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.
Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.
....Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.
Alles bij de bron; TechZine
Privégegevens van ggz-patiënten die een privacyverklaring hebben ondertekend dat ze hun gegevens niet willen delen zijn door een softwarefout toch gedeeld, zo heeft demissionair minister Helder voor Langdurige Zorg laten weten (pdf). Psychiaters en psychologen zijn sinds 1 juli door de NZa verplicht om informatie over iedere patiënt aan te leveren. Het gaat daarbij om zeer vertrouwelijke informatie.
Gegevens worden standaard verzameld en patiënten moeten actief bezwaar tegen de dataverzameling maken.
Hierdoor wordt echter niet alleen het delen van gegevens met de NZa stopgezet, maar ook het delen van gegevens met de desbetreffende zorgverzekeraar. Dijk wilde uitleg waarom er geen aparte privacyverklaring is ontwikkeld die alleen over het delen van gegevens met de NZa gaat.
Volgens Helder heeft de NZa dit onderzocht. ".... De partijen die de ict-systemen van zorgaanbieders verzorgen gaven in dit kader aan de NZa aan dat het onmogelijk was deze splitsing (tijdig) gerealiseerd te krijgen."
Daarnaast blijkt dat gegevens van patiënten die een privacyverklaring hadden getekend toch zijn gedeeld. Eén systeem waar zorgverleners gebruik van maken gaf door 'een probleem in de programmatuur' aan dat er geen privacyverklaring was ondertekend, terwijl dit wel het geval was. De NZa ontving van vijf zorgaanbieders een melding dat dit probleem zich bij hen had voorgedaan.
Helder stelt dat de toezichthouder alle bestanden waarin deze fout zat heeft verwijderd en de zorgaanbieders heeft gevraagd om deze opnieuw aan te leveren met gecorrigeerde gegevens. De minister merkt op dat de NZa heeft onderzocht of dit soort situaties met extra automatische of menselijke interventies voorkomen kunnen worden. "Dit blijkt helaas niet het geval volgens de NZa, omdat de fout zit in de ict-systemen waaruit de bestanden worden aangeleverd."
Alles bij de bron; Security
Casio heeft van klanten in 149 landen de persoonlijke gegevens gelekt. Het gaat om naam, e-mailadres, land, bestelgegevens en gebruiksinformatie, zoals logdata en nicknames. Volgens Casio wisten aanvallers toegang te krijgen tot een database van een online wiskundetool.
Uit onderzoek blijkt dat de datadiefstal mogelijk was doordat de netwerkbeveiliging van de ontwikkelomgeving als gevolg van een 'operationele fout' was uitgeschakeld.
De fabrikant stelt dat bijna 92.000 'items' van Japanse klanten zijn buitgemaakt, alsmede 1100 onderwijsinstellingen die klant zijn. Daarnaast zijn van klanten in 148 andere landen en regio's 35.000 items gestolen.
Alles bij de bron; Security
Een aanvaller die begin deze maand de gegevens van miljoenen gebruikers van dna-testbedrijf 23andMe lekte heeft opnieuw gebruikersdata gepubliceerd. Dit keer zou het om een dataset gaan met genetische informatie van vier miljoen mensen afkomstig uit Groot-Brittannië, aldus de aankondiging.
TechCrunch stelt dat het een deel van de nieuw gelekte data kon matchen met openbare informatie van 23andMe-gebruikers.
Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Alles bij de bron; Security