Weggeefforum Freecycle.org heeft de gegevens van meer dan zeven miljoen gebruikers gelekt. Het gaat om gebruikersnamen, met MD5 gehashte wachtwoorden en e-mailadressen die sinds juni op internet te koop worden aangeboden. Het forum telt meer dan vijfduizend stadsgroepen, waaronder ook in Nederland.
De aanvaller die de data aanbiedt stelt dat het om meer dan zeven miljoen gebruikers gaat, terwijl Freecycle claimt meer dan negen miljoen gebruikers te hebben. Vorige week meldde Freecycle dat het slachtoffer van een datalek was geworden.
Alles bij de bron; Security
RTL Nieuws ontdekte dat er een ‘ernstig lek’ bestond bij het Kadaster, het register met informatie over huizen en percelen. Iedereen met een koophuis staat erin, net zoals elk stukje grond in Nederland.
‘Miljoenen woonadressen’ waren zomaar voor iedereen binnen handbereik. ‘De gevoelige informatie is goud waard voor criminelen en andere kwaadwillenden’, stelde RTL. ‘Een groot gevaar voor bedreigde journalisten, activisten en politici’, voegde Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), voor de zekerheid toe....
Maar wacht ..... het probleem is genuanceerder.
Het Kadaster biedt de mogelijkheid om te zoeken op ‘object’, een adres bijvoorbeeld. Iedereen heeft het recht deze gegevens op te vragen. Zonder restricties, behalve een kleine betaling. Maar voor wie ook andersom wil zoeken – op naam – is een drempel opgeworpen: daarvoor is een zakelijk account met een KvK-inschrijving vereist. Het was mogelijk een nep-account aan te maken door een KvK-nummer van iemand anders in te vullen. De controle was minimaal, zag RTL.
Dit ‘lek’ en de ophef erover werpen echter een schaduw over het werkelijke probleem. Want het ‘besloten gedeelte’, bedoeld voor makelaars en notarissen, is in de praktijk helemaal niet besloten. Er bestaan dertigduizend professionele Kadaster-accounts, en dat zijn behalve makelaars ook financiële instellingen, media en zelfs bakkers en slagerijen. Zij kunnen van iedereen met een koophuis of eigen grond zeer persoonlijke gegevens opvragen. Onbeperkt én rechtmatig.
Dát is een doorn in het oog van de Autoriteit Persoonsgegevens. Opvragen zou volgens voorzitter Wolfsen alleen nog mogelijk moeten zijn als iemand een gerechtvaardigd belang heeft, zoals een notaris of een buurman die wil weten waar de kadastrale grenzen lopen...
...Naast het Kadaster, het Handelsregister en het Ubo bestaan er nog zeker zestig openbare registers met persoonsgegevens.
Wie nu een overdrachtsakte opvraagt bij het Kadaster, krijgt direct álles te zien: hoogte van de hypotheek, paspoortnummer, burgerlijke staat, naam en geboortedatum partner. Berlee: ‘Dit kan allemaal relevante informatie zijn in een bepaald geval, maar is veelal veel meer dan je daadwerkelijk nodig hebt. Het is alles of niets.’ Wolfsen: ‘Dat leidt tot nieuwsgierigheid. Tot misbruik. Tot het opvragen van allerlei gegevens die niet noodzakelijk zijn. De norm is: wat privé is, moet privé blijven.’
Daarom wil AP-voorzitter Wolfsen dat het Kadaster en andere registers de toegang gaan beperken, wat de wet sinds 1838 ook voorschrijft. ‘Het Kadaster moet gaan voldoen aan de AVG, dat is de hogere wet’, zegt Wolfsen. ‘Hoe het Kadaster nu gegevens deelt, is niet meer van deze tijd. We ontdekken nu dat het altijd fout is geweest.’
Alles bij de bron; Volkskrant
Vue is getroffen door een datalek. Zowel bankrekeningnummer, voorletter, achternaam, woonadres, geboortedatum en e-mailadres van honderdduizenden klanten bleken via internet vrij toegankelijk voor onbevoegden. Dit aangezien security-keys die de bestanden toegankelijk maakte op de website van de keten bleken te staan.
Programmeur Sten Lankreijer ontdekte het lek en trok hierover aan de bel bij het bedrijf. De website bleek een tweetal kwetsbaarheden te bevatten. Zo was de broncode van de website toegankelijk, wat het mogelijk maakt de werking van de website te analyseren. Hieruit bleek dat een functie om afbeeldingen te verkleinen een kwetsbaarheid bevat, die het mogelijk maakte aanvullende toegang te verkrijgen.
Het tweede beveiligingsproblemen zit in de inlogpagina van de Vue-database. Een aanvaller kon hierop een SQL-injectie uitvoeren, wat het mogelijk maakte ongewilde programmeercode in te zien.
Een woordvoerder meldt dat de problemen inmiddels zijn verholpen.
Alles bij de bron; DutchIT
Een lek bij het Kadaster zorgt ervoor dat iedereen toegang kan krijgen tot het afgeschermde deel van de database van de instantie. Tik een naam in, dan krijg je het bijbehorende adres – ook van politici en beroemdheden.
Door het lek kan je daadwerkelijk een voor- en achternaam invoeren, en krijg je de adresgegevens van die persoon, zolang die een koophuis heeft. In adressen uit het Kadaster wordt ook actief gehandeld in bijvoorbeeld criminele Telegram-groepen. Inmiddels heeft het Kadaster actie ondernomen, op last van de Autoriteit Persoonsgegevens.
Maar het belangrijkste euvel is niet opgelost: het blijft voor iedereen met een professioneel account mogelijk om in de database te zoeken op naam. Uiteindelijk moet die professionele zoekfunctie worden beperkt tot specifieke beroepsgroepen, zoals notarissen en gerechtsdeurwaarders. Daar is echter een wetswijziging voor nodig. Er moet dan worden vastgesteld wie er toegang tot de gegevens mag hebben, waar nu een grijs gebied bestaat.
Alles bij de bron; Bright
De Britse kiescommissie heeft de privégegevens van miljoenen Britse kiezers gelekt, zo is vandaag bekendgemaakt. Aanvallers hadden meer dan een jaar lang toegang tot systemen van de Electoral Commission.
De aanval werd vorig jaar oktober ontdekt, maar verder onderzoek wees uit dat de aanvallers al sinds augustus 2021 toegang hadden. Daarbij hadden ze ook toegang tot kopieën van de kiesregisters, die de kiescommissie voor onderzoeksdoeleinden in bezit heeft.
De kiesregisters die op het moment van de aanval aanwezig waren bevatten de gegevens van iedereen die tussen 2014 en 2022 als kiezer in het Verenigd Koninkrijk was geregistreerd. Het gaat om namen en adresgegevens, alsmede namen van overzeese kiezers.
Alles bij de bron; Security [Thnx-2-Niek]
De afgelopen vijf jaar ontving de Autoriteit Persoonsgegevens (AP) meer dan 114.000 meldingen van datalekken, maar wat kunnen we daar nu precies van leren? Hoe ontstaan deze datalekken, wat kan er worden gedaan om ze te voorkomen en wanneer worden de meeste datalekken gemeld? Security.NL vroeg het Dennis Davrados, coördinator datalekken van de privacytoezichthouder...
...Bijna 88.000 van de 114.000 datalekmeldingen die sinds 2018 werden gedaan vallen in de categorie "Brief of postpakket met persoonsgegevens geopend retour ontvangen, kwijtgeraakt of verstuurd of afgegeven aan de verkeerde ontvanger(s)". Ook telde de AP duizenden datalekken als gevolg van e-mails waarbij de CC-optie in plaats van de BCC-optie werd gebruikt...
...Naast fouten bij het versturen van post en e-mails vinden er ook steeds meer datalekken via cyberaanvallen plaats. Vorig jaar waren het er meer dan achttienhonderd. Bij datalekken veroorzaakt door cyberaanvallen gaat het vaak om grote hoeveelheden gegevens. Davrados ziet in de categorie cyberaanvallen twee trends die opvallen: betrokkenheid van ict-leveranciers bij datalekken en diefstal van data bij ransomware-aanvallen.
Veel van de datalekken als gevolg van cyberaanvallen waren mogelijk doordat organisaties hadden nagelaten om basale beveiligingsmaatregelen te treffen, zoals het installeren van beschikbare beveiligingsupdates of het gebruik van multifactorauthenticatie en sterke wachtwoorden...
...Een ander aandachtspunt dat Davrados noemt is dataminimalisatie. "Iedereen kent het en denkt van 'logisch', maar toch zien we elke keer weer bij datalekken dat er data op schijven en systemen staat die allang verwijderd had moeten worden en dan toch wordt meegezogen in zo'n datalek. Zo wordt de omvang van zo'n datalek echt onnodig groot. Wij zeggen altijd 'data die je niet hebt kun je ook niet lekken', dus wees er alert op, dat je op zo min mogelijk data zit, want dat maakt de impact van een datalek kleiner."
Alles bij de bron; Security
Medewerkers van de GGzE konden vrijwel onbeperkt in de dossiers van cliënten kijken, terwijl dat tegen de regels is. Een cliënte kwam er zelfs achter dat 160 medewerkers haar dossier hadden ingezien. Dat gebeurde via het computersysteem 'User'.
De huidige raad van bestuur ontkent dat alle 2400 medewerkers toegang hebben tot de dossiers van alle cliënten. Wel erkent de raad dat het in enkele gevallen mis is gegaan.
De vrouw, wiens dossier werd ingezien door 160 medewerkers, kaartte het probleem in maart aan bij de GGzE. Toen werd het onderzocht, maar werd geconcludeerd dat niemand onrechtmatig in haar dossier had gekeken. Het is onduidelijk of het computersysteem toen ook getoetst is aan de wettelijke regels voor de bescherming van medische dossiers.
Alles bij de bron; Studio040
Begin deze maand waarschuwde Landal Greenparks al 12.000 gasten dat hun gegevens mogelijk openbaar gemaakt zouden worden. Criminelen wisten namelijk toegang te krijgen tot het MOVEit transfersysteem dat Landal gebruikt om gegevens uit te wisselen. De criminelen hebben daad bij woord gevoegd en inmiddels liggen persoonlijke gegevens van vele gasten van het park op straat.
Het gaat hierbij om namen, adresgegevens, geboortedata, e-mailadressen en reserveringsinformatie van voornamelijk Belgische, Duitse en Nederlandse mensen.
Alles bij de bron; Opgelicht!
Bij een ransomware-aanval op de Universiteit van Manchester is ook een dataset met de informatie van 1,1 miljoen patiënten van tweehonderd ziekenhuizen buitgemaakt, zo meldt de Britse krant The Independent. De universiteit werd eerder deze maand het slachtoffer van een "cyberincident".
Laatst ontvingen studenten al een e-mail van de aanvallers dat de gestolen gegevens openbaar gemaakt zouden worden als de universiteit het gevraagde losgeld niet betaalde.
Nu stelt The Independent dat ook informatie van traumapatiënten en mensen behandeld na terreuraanvallen, wat voor onderzoeksdoeleinden door de universiteit was verzameld, is gestolen. Uit documenten waar de Britse krant over zegt te beschikken blijkt dat de aanvallers toegang tot de back-upservers hadden. Bij de aanval zou 250 gigabyte aan data zijn buitgemaakt.
Alles bij de bron; Security
Bij een malware-aanval op het bedrijf die eind vorig jaar plaatsvond zijn de persoonsgegevens van 28.000 medewerkers gestolen, zo is bekendgemaakt.
Op 10 januari ontdekte het bedrijf ongeautoriseerde activiteit op de it-systemen. Verder onderzoek wees uit dat een aanvaller de systemen op of rond 23 december vorig jaar met malware had geïnfecteerd en gegevens had gedownload.
Het gaat om naam, adresgegevens, e-mailadres, rekeninggegevens, waaronder een beperkt aantal wachtwoorden, pincodes of andere toegangsgegevens, identificatienummers, zoals die van rijbewijs en identiteitskaart, social-securitynummers, paspoortinformatie, digitale handtekening en informatie die betrekking heeft op het dienstverband, zoals beperkte medische geschiedenis en gezondheidsclaims.
Het datalek werd eerder dit jaar al gemeld, maar in een datalekmelding aan de procureur-generaal van de staat Maine laat het bedrijf weten dat het om 28.000 personen gaat. Een aantal dat in eerste instantie nog niet bekend was.
Alles bij de bron; Security