Databeveiliging & Dataverlies

De ticketverdeler van Tomorrowland is gehackt. Daarbij zouden de persoonlijke gegevens gestolen zijn van maar liefst 64.000 bezoekers die het bekende dancefestival bezochten in 2014. De organisatie waarschuwt om extra voorzichtig te zijn met e-mails voor ticketsales en promoties.

Tomorrowland werd op 23 oktober gecontacteerd door het bedrijf. Die had een ongebruikelijke activiteit vastgesteld op een verouderd subsysteem. Na een uitgebreide analyse bleek er nog een oud scanbestand van Tomorrowland 2014 op die server te staan. Hij werd meteen offline gehaald. 

Tomorrowland benadrukt dat het niet om echt gevoelige informatie zoals bankgegevens, gegevens van kredietkaarten en paswoorden gaat en geeft ook aan dat het de Gegevensbeschermingsautoriteit op de hoogte gebracht heeft van het datalek. De ticketverdeler heeft zij gevraagd een grondig onderzoek in te stellen naar zijn procedures, zodat een nieuw incident in de toekomst vermeden kan worden.

Wie hulp wil bij het identificeren van verdachte mails, kan terecht op www.safeonweb.be

Alles bij de bron; HLN


 

Een Duitse leverancier van spyware heeft 20 gigabyte aan gegevens van klanten, slachtoffers en het bedrijf zelf gelekt. Dat heeft securitybedrijf CSIS Security tijdens de Virus Bulletin 2018-conferentie in Montreal laten weten.

Onderzoekers van het bedrijf vonden een webpagina die een zogenaamde update voor Google Chrome aanbood. Via de pagina en malware kwamen de onderzoekers uit bij een onbeveiligde command en control-server met informatie over de malware van de spywareleverancier, foto's en audio van testtelefoons, data van slachtoffers en back-ups van de server. Ook vonden de onderzoekers een openbare Google Drive-map met gegevens.

De spywareleverancier in kwestie bleek Wolf Intelligence te zijn, dat claimt spyware aan overheidsinstanties te leveren. Tussen de gegevens werden ook opnamen met klanten en scans van het paspoort en creditcards van de oprichter aangetroffen. 

Alles bij de bron; Security


 

Mogelijk zijn er bij de British Airways-hack in september 185.000 meer klanten getroffen dan eerder werd gedacht. Deze groep komt bij de eerder vastgestelde groep van 380.000 mogelijke slachtoffers.

British Airways schrijft donderdag op de eigen website dat het aantal getroffen passagiers wellicht groter is dan gedacht en zegt nog eens 185.000 creditcardhouders te vertellen dat hun informatie mogelijk is buitgemaakt. Het gaat daarbij om onder meer namen, adressen en creditcardnummers.

Aanvankelijk meldde het bedrijf dat gegevens van 380.000 mensen waren buitgemaakt. Uit intern onderzoek blijkt nu dat van deze groep 244.000 klanten getroffen waren.

Woensdag maakte de Chinese vliegtuigmaatschappij Cathay Pacific Airways bekend dat privégegevens van 9,4 miljoen klanten waren gelekt. Daarbij ging het om namen, geboortedata, telefoonnummers en nummers van identiteitskaarten en paspoorten.

Alles bij de bron; NU


De gemeente Rotterdam heeft privégegevens van probleemjongeren gedeeld met andere probleemjongeren. 

Het gaat om namen, adressen, foto's en burgerservicenummers, blijkt uit een brief die de NOS en RTV Rijnmond in handen kregen. De gemeente Rotterdam maakt niet bekend hoe groot het lek is, maar zegt het datalek te onderzoeken. De verzamelde gegevens van deze jongeren worden gedeeld met partijen die betrokken zijn bij dit project. Daar is volgens de gemeente iets misgegaan. De gegevens zijn dus ook terechtgekomen bij andere jongens die gevolgd worden. Om hoeveel personen het gaat, wil de gemeente niet zeggen.

Het incident is volgens de NOS in juli ontdekt, maar werd om onduidelijke redenen pas vorige maand aan betrokkenen gemeld. 

In de brief aan betrokkenen schrijft de directeur Veiligheid van de gemeente Rotterdam "het te betreuren dat dit is gebeurd". Ook neemt de gemeente maatregelen "om dit in de toekomst te voorkomen".

De Autoriteit Persoonsgegevens is van het lek op de hoogte gebracht. Daarnaast is er aangifte gedaan bij de politie.

Alles bij de bronnen; NU & RTVRijnmond


 

Een Spaanse beveiligingsonderzoeker is er in korte tijd twee keer in geslaagd om bij de laatste nieuwe versie van iOS de toegangscode te omzeilen en toegang te krijgen tot de contactenlijst en foto's op een iPhone.

Hij heeft nu in het meest actuele besturingssysteem opnieuw een manier gevonden om een aantal functies te gebruiken zonder de toegangscode te hoeven invoeren.

Zo kan een kwaadwillende toegang krijgen tot foto's, kan er een foto worden gemaakt en kunnen er via iMessage berichten worden verstuurd. Voor de aanval is het wel noodzakelijk dat de kwaadwillende de telefoon van het slachtoffer in handen heeft. Ook moet Siri en VoiceOver ingeschakeld zijn.

De oorzaak lijkt te zitten in de VoiceOver-functie van de iPhone, meldt AppleIinsider. De kwetsbaarheid is ook aanwezig op de nieuwste modellen van Apple, de iPhone X en XS met iOS 12.0.1. Wie zijn toestel wil beschermen tegen een dergelijke 'aanval', kan dit eenvoudig doen door Siri uit te schakelen.

Alles bij de bron; Security


 

Het gemeentebestuur van Assen gaat de slechte beveiliging van zijn bewonerspas AsserPas bespreken, nadat een tweaker vorig jaar de gemeente had ingelicht daarover.

Iedereen kan de bewonerspas uitlezen en kopiëren. Aan de pas zit een betaalsysteem voor parkeren en afval wegbrengen. De pas maakt gebruik van een Mifare Classic-chip van NXP, dezelfde als die onderzoekers tien jaar geleden al kraakten.

Met de AsserPas kunnen bewoners onder meer betaald parkeren, afval wegbrengen en boeken lenen bij de bibliotheek. De tweaker heeft niet geprobeerd om misbruik te maken van de zwakke beveiliging door op naam van anderen betaald te parkeren, maar hij heeft wel zijn eigen pas overgezet op onder meer een nfc-druppel voor aan zijn sleutelbos en een nfc-ring. 

Alles bij de bron; Tweakers


 

De gegevens van duizenden klanten van Achmea liggen na een hack op straat. Het datalek bij de grootste verzekeraar van Nederland is vermoedelijk ontstaan via een medewerker op een kantoor in Apeldoorn, of via iemand uit de omgeving van deze werknemer. 

In meerdere bestanden staan de namen, BSN-nummer en adressen van circa 10.000 mensen. Duizenden slachtoffers van deze hack komen uit Oost en Noord-Nederland. In sommige bestanden staan ook bedragen die cliënten uitgekeerd kregen, soms ook van cliënten die inmiddels overleden zijn.

,,We hebben gesproken met de medewerker in Apeldoorn, via wie het lek lijkt te zijn ontstaan.’’ Het vermoeden is dat iemand uit 'de omgeving' van deze werknemer was. ,,De persoon die de cliëntengegevens in bezit heeft gekregen, heeft die onderschepte gegevens ook naar ons gestuurd, maar zei er bij het niet verder te verspreiden.’’

Omdat Achmea ervan uit ging dat de gegevens niet verder geopenbaard werden, hebben ze de duizenden klanten niet geïnformeerd. ,,Dat hebben we ook aan de Autoriteit Persoonsgegevens aangegeven. Omdat er een medewerker bij betrokken was, was het erg privacygevoelig, en daarom hebben we het niet groter willen maken. Maar nu is het toch verder verspreid.’’

Alles bij de bron; deStentor


 

De Belastingdienst kan niet garanderen dat gevoelige gegevens van burgers binnen zijn systemen blijven. Het zou technisch onhaalbaar zijn om te loggen wie de gegevens benadert en om de toegang te beperken.

De beveiliging van de systemen van de Belastingdienst is niet op orde en de dienst geeft aan niet te kunnen voldoen aan enkele eisen van de Autoriteit Persoonsgegevens. Die bepaalde afgelopen zomer dat de Belastingdienst moet bijhouden wie gevoelige gegevens benadert, nadat Zembla begin vorig jaar al onthulde dat een afdeling van de dienst geen logs op dit punt bijhield en een autorisatiesysteem gebreken vertoonde.

Trouw citeert nu uit een brief van Belastingdienst-directeur-generaal Jaap Uijlenbroek aan de Autoriteit Persoonsgegevens dat het technisch niet mogelijk is om de gewenste logs bij te houden en met autorisatie de toegang tot de data te beperken. Privacy- en beveiligingsdeskundige Bart Jacobs spreekt tegen het dagblad zijn verbazing uit. "Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn."

Ook bij de Autoriteit Persoonsgegevens roept de brief vragen op, hoewel de privacywaakhond de reactie nog bestudeert. In de afgelopen zomer bleek ook dat de Belastingdienst nog niet aan de sinds mei van kracht zijnde AVG kan voldoen. Dat zal pas volgend jaar zo zijn, al voldoet de afdeling datafundamenten & analytics al wel aan de AVG, volgens Uijlenbroek.

Bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha