Databeveiliging & Dataverlies

Een e-mailverificatiedienst waar marketingbedrijven gebruik van maken heeft via een onbeveiligde MongoDB-database 808 miljoen records met privédata gelekt, waaronder 763 miljoen unieke e-mailadressen.

Naast e-mailadressen ging het ook om namen, ip-adressen en geboortedata.Verder onderzoek wees uit dat de database van een e-mailverificatiedienst was met de naam Verifications.io.

Marketingbedrijven maken van dergelijke diensten gebruik. Ze leveren een lijst met te valideren e-mailadressen aan. Vervolgens stuurt de verificatiedienst een e-mail naar de e-mailadressen op de lijst. Wanneer de e-mail aankomst gaat het om een geldig adres, bij een bounce wordt het adres op een bouncelijst geplaatst.

Nadat de onderzoeker Verifications.io had gewaarschuwd haalde het bedrijf de database, alsmede de eigen website, offline.

Alles bij de bron; Security


 

Een database met gegevens van ruim 2,4 miljoen mensen en bedrijven van de Amerikanase aandelenbeurs Dow Jones heeft voor onbekende tijd onbeschermd online gestaan. Het gaat om de Dow Jones Watchlist, een lijst van personen met politieke invloed, hun zakenpartners en geassocieerde bedrijven.

De Dow Jones laat aan Diachenko weten dat het erop lijkt dat de Watchlist door een derde partij op een onbeschermde server is geplaatst. Na melding van de onderzoeker op 22 februari is de publiekelijk toegankelijke database offline gehaald.

Alles bij de bron; NU


 

Bedrijven zijn nog slecht in staat om cruciale data af te schermen, aangezien bijna de helft van de medewerkers toegang heeft tot gevoelige informatie, ongeacht of ze het nodig hebben bij hun dagelijkse werkzaamheden. Dat blijkt uit Engels onderzoek.

Bijna de helft (48 procent) heeft toegang tot financiële documenten, en 46 procent tot vertrouwelijke HR-gegevens. Daarnaast heeft net geen derde (29 procent) toegang tot de zakelijke bankrekening en 37 procent kon bij research en development plannen en blauwdrukken voor nieuwe producten en services.

Bij vrijwel elk grootschalige digitale inbraak bleek diefstal van inloggegevens de meest gebruikte en meest effectieve route naar een geslaagde aanval. Het beschermen van inloggegevens is dus van belang, maar veel bedrijven blijken tekort te schieten hierin. Zo is vooral de spookmedewerker een probleem: voormalige collega’s die het bedrijf verlaten en nog in het bezit zijn van werkende inlogs tot bijvoorbeeld interne servers, financiële systemen en HR-databases, buiten het zicht van security-medewerkers om... 

...Turner: “Of het nu gaat om de laatste wearable of een HR-systeem dat al jaren draait; beheer van accountgegevens blijft cruciaal. Toegangsrechten moeten beter beveiligd worden, waarbij gebruikers tegen zichzelf worden beschermd om niet per ongeluk in de fout te gaan, en de risico’s op een bewuste aanval verkleind wordt. Het aantal mogelijke ingangen moet zo klein mogelijk zijn.”

Alles bij de bron; Persberichten


 

De persoonlijke identificatienummers van miljoenen mensen uit India liggen op straat na een datalek bij de oliemaatschappij Indane. Zeker 5,8 miljoen van de identificatienummers zijn inzichtelijk via het lek. Dat aantal kan mogelijk oplopen naar 6,7 miljoen.

Het gaat bij het lek om zogeheten Aadhaar-nummers. Dat is een vertrouwelijk nummer dat wordt gebruikt om mensen bij de overheid te identificeren, net als bijvoorbeeld het Nederlandse burgerservicenummer. 

Het is niet voor het eerst dat er Aadhaar-nummers lekken. Afgelopen jaar was de database met de nummers direct inzichtelijk via een lek bij een energiemaatschappij.

Alles bij de bron; NU


 

Aanvallers wisten vorig jaar februari toegang tot een database van de site te krijgen die bijna 20 miljoen unieke e-mailadressen, namen, gebruikersnamen, profielomschrijvingen en wachtwoordhashes bevatte.

Dat laat onderzoeker Troy Hunt weten. Hij is de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in zo'n 6,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de ruim 19,6 miljoen unieke e-mailadressen die in de database voorkwamen was 44 procent al via een ander datalek bij Have I Been Pwned bekend.

Naar aanleiding van het datalek besloot EyeEm de wachtwoorden van gebruikers te resetten. Hoe de aanvallers toegang tot de database wisten te krijgen is niet door de fotosite bekendgemaakt.

Alles bij de bron; Security


 

Een Chinees bedrijf dat gezichtsherkenningssystemen ontwikkelt heeft een database met miljoenen privégegevens van gevolgde mensen gelekt. De Nederlandse beveiligingsonderzoeker Victor Gevers vond een onbeveiligde database van SenseNets Technology.

De database bevatte 2,5 miljoen records van mensen met persoonlijke informatie zoals identiteitskaartnummer, waaronder uitgifte- en verloopdatum, land, adres, geboortedatum, pasfoto, werkgever en welke locaties met trackers de personen in de afgelopen 24 uur hadden gepasseerd. In deze periode werden meer dan 6,7 miljoen locaties gelogd. Gelogde locaties waren onder andere politiebureaus, hotels, parken, internetcafés, moskeeën en toeristische locaties. In totaal ontdekte Gevers meer dan duizend unieke apparaten om mensen te volgen, zo laat hij aan Cnet weten.

Uit de loggegevens zou blijken dat meer mensen in de afgelopen periode de onbeveiligde database hebben gevonden. Inmiddels is de database niet meer toegankelijk.

Alles bij de bron; Security


 

Daags na bekendwording van een eerste grote hoeveelheid gebruikersgegevens die te koop was op het dark web, is er een nieuwe batch van 127 miljoen gebruikersgegevens door dezelfde verkoper in de etalage gezet. De nieuwe lading gegevens is afkomstig uit databases van 8 verschillende vooral Amerikaanse bedrijven.

De eerste batch bestond uit gegevens van zestien bedrijven, die zijn buitgemaakt bij diefstallen die vaak al plaatsvonden in het begin van 2018 of zelfs eerder. Zo zijn de gegevens uit de eerdere datalekken bij de populaire fitness-app My Fitness Pal (april 2018) en de website MyHeritage (oktober 2017) onderdeel van de batch.  

Inhoudelijk zouden de gestolen en te koop aangeboden gebruikersgegevens bestaan uit namen, e-mailadressen, versleutelde wachtwoorden en in sommige gevallen andere login- en accountgegevens.

Alles bij de bron; AGConnect


 

Studenten die via een flexbureau bij het Amsterdamse ziekenhuis OLVG werkten, konden jarenlang zonder restrictie en zonder enige waarschuwing of voorlichting vooraf elektronische dossiers van patiënten inzien.

De studenten hadden toegang tot persoonsgegevens, afspraken, diagnoses en soms zelfs foto's en notities van artsen. Dat schrijft de Volkskrant op basis van verhalen van drie studenten die het afgelopen jaar bij het ziekenhuis werkten. De studenten hadden op basis van hun functie geen brede toegang mogen hebben tot de gegevens. Tijdens hun aannameprocedure kregen zij geen informatie over privacyregels.

Het OLVG bevestigt de bevindingen van de krant.

De studente lichtte het ziekenhuis in augustus vorig jaar in over de in haar ogen te brede toegang tot dossiers. Het ziekenhuis claimt het datalek daarna meteen gedicht en de software aangepast te hebben. Volgens de studente was nog tot in november toegang mogelijk.

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha