45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Gezichtsherkenningsbedrijf lekt database met privégegevens

Een Chinees bedrijf dat gezichtsherkenningssystemen ontwikkelt heeft een database met miljoenen privégegevens van gevolgde mensen gelekt. De Nederlandse beveiligingsonderzoeker Victor Gevers vond een onbeveiligde database van SenseNets Technology.

De database bevatte 2,5 miljoen records van mensen met persoonlijke informatie zoals identiteitskaartnummer, waaronder uitgifte- en verloopdatum, land, adres, geboortedatum, pasfoto, werkgever en welke locaties met trackers de personen in de afgelopen 24 uur hadden gepasseerd. In deze periode werden meer dan 6,7 miljoen locaties gelogd. Gelogde locaties waren onder andere politiebureaus, hotels, parken, internetcafés, moskeeën en toeristische locaties. In totaal ontdekte Gevers meer dan duizend unieke apparaten om mensen te volgen, zo laat hij aan Cnet weten.

Uit de loggegevens zou blijken dat meer mensen in de afgelopen periode de onbeveiligde database hebben gevonden. Inmiddels is de database niet meer toegankelijk.

Alles bij de bron; Security


 

740 miljoen gebruikersgegevens te koop op dark web

Daags na bekendwording van een eerste grote hoeveelheid gebruikersgegevens die te koop was op het dark web, is er een nieuwe batch van 127 miljoen gebruikersgegevens door dezelfde verkoper in de etalage gezet. De nieuwe lading gegevens is afkomstig uit databases van 8 verschillende vooral Amerikaanse bedrijven.

De eerste batch bestond uit gegevens van zestien bedrijven, die zijn buitgemaakt bij diefstallen die vaak al plaatsvonden in het begin van 2018 of zelfs eerder. Zo zijn de gegevens uit de eerdere datalekken bij de populaire fitness-app My Fitness Pal (april 2018) en de website MyHeritage (oktober 2017) onderdeel van de batch.  

Inhoudelijk zouden de gestolen en te koop aangeboden gebruikersgegevens bestaan uit namen, e-mailadressen, versleutelde wachtwoorden en in sommige gevallen andere login- en accountgegevens.

Alles bij de bron; AGConnect


 

Amsterdams ziekenhuis OLVG gaf veel te ruime toegang tot digitale patiëntendossiers

Studenten die via een flexbureau bij het Amsterdamse ziekenhuis OLVG werkten, konden jarenlang zonder restrictie en zonder enige waarschuwing of voorlichting vooraf elektronische dossiers van patiënten inzien.

De studenten hadden toegang tot persoonsgegevens, afspraken, diagnoses en soms zelfs foto's en notities van artsen. Dat schrijft de Volkskrant op basis van verhalen van drie studenten die het afgelopen jaar bij het ziekenhuis werkten. De studenten hadden op basis van hun functie geen brede toegang mogen hebben tot de gegevens. Tijdens hun aannameprocedure kregen zij geen informatie over privacyregels.

Het OLVG bevestigt de bevindingen van de krant.

De studente lichtte het ziekenhuis in augustus vorig jaar in over de in haar ogen te brede toegang tot dossiers. Het ziekenhuis claimt het datalek daarna meteen gedicht en de software aangepast te hebben. Volgens de studente was nog tot in november toegang mogelijk.

Alles bij de bron; Tweakers


 

Veel datalekken door slordigheden met e-mail

Bedrijven en overheidsinstellingen springen slordig om met gegevens in e-mailberichten. Vaak worden tikfouten gemaakt in de adressering waardoor e-mails naar de verkeerde ontvangers gaan. Privacygevoelige zaken als processen-verbaal, aangiftes, medische dossiers en kopieën van identiteitspapieren kunnen daardoor eenvoudig in de verkeerde handen komen. Ook bedrijfsgeheimen en departementaal vertrouwelijke stukken lekken zo gemakkelijk uit.

Dit blijkt uit een onderzoek van de Cyberonderzoeksraad naar de gevoeligheid van e-mail. De onderzoeksresultaten bevestigen cijfers van de Autoriteit Persoonsgegevens dat het versturen van persoonsgegevens naar de verkeerde ontvanger met 64 procent van alle datalekken het grootste probleem is. 

Uit de analyse van de Cyberonderzoeksraad blijkt hoe kwetsbaar e-mail organisaties maakt. De mailbox is vaak verworden tot een onsamenhangend archief waaruit kwaadwillenden veel gevoelige informatie kunnen vissen. Je kunt er de jarenlange historie van organisaties uithalen, iets waar de mailbox helemaal niet voor is bedoeld. De Winter: 'en als het bij die data om persoonsgegevens gaat, is het maar de vraag of dat wel legitiem is.' 

De Winter vindt dat e-mail sowieso ongeschikt voor gegevensuitwisseling. Dit soort communicatie is namelijk onbeveiligd. Bovendien kan niet worden vastgesteld dat een bericht authentiek is. Berichten kunnen ook jarenlang blijven staan in een verzendbox en bij de ontvanger.

Alles bij de bron; Computable


 

Staatsbank India lekt data miljoenen klanten via onbeveiligde server

De grootste staatsbank van India SBI heeft via een onbeveiligde server de gegevens van miljoenen klanten gelekt. Het ging onder andere om transactiegegevens, rekeninginformatie en banksaldo.

De server waarop de dienst draait was voor iedereen op internet zonder wachtwoord toegankelijk. De database van de sms-dienst bevatte miljoenen berichten. Alleen op maandag verstuurde de bank al 3 miljoen berichten, zo ontdekte de onderzoeker die de onbeveiligde server aantrof.

Alles bij de bron; Security


 

Miljoenen hypotheek- en leningsdocumenten VS uitgelekt

Een goed gevulde database met ruim tien jaar aan financiële data van miljoenen Amerikanen is zo'n twee weken lang publiekelijk toegankelijk geweest. Het gaat om meer dan 24 miljoen documenten over bankzaken zoals hypotheken en leningen van enkele van de grootste banken in de VS.

Naast hypotheekdocumenten bevatte het lekkende systeem ook aflossingsschema's, contracten voor bankleningen, adressen, Social Security-nummers, en andere uiterst gevoelige financiële informatie. Veel van deze documenten waren middels OCR (optical character recognition) gescand en omgezet in digitale bestanden, compleet met eventuele handtekeningen. De openstaande Elasticsearch-database was zo'n 51 gigabyte groot.

De oorzaak van dit datalek is het ontbreken van een wachtwoord op de gebruikte Elasticsearch-database die op de server draaide.

Alles bij de bron; AGConnect


 

Medische wereld heeft onvoldoende aandacht voor privacy

Uit onderzoek van BIT onder 73 Nederlandse ziekenhuizen is gebleken dat zij privacy onvoldoende serieus nemen. Het datacenter controleerde de websites van deze organisaties op gebruik van TLS, DNSSEC, IPv6 en Google Analytics. Van de onderzochte ziekenhuizen is er maar één die voldoet aan de genoemde internetstandaarden. Wel maakt deze partij gebruik van Google Analytics, waardoor privacy niet wordt gewaarborgd.

Van de onderzochte ziekenhuizen maakt 60 procent geen of onvolledig gebruik van TLS, oftewel het gebruik van HTTPS (HyperText Transfer Protocol Secure). Met dit protocol wordt transport op het internet beveiligd. Van een deel van de organisaties biedt de website wel HTTPS aan, maar is dit niet volledig geconfigureerd. Bijna de helft (49%) gebruikt geen DNSSEC, waarmee doorverwijzingen naar frauduleuze websites kunnen worden voorkomen.

Bijna de helft (49%) van de ziekenhuizen gebruikt Google Analytics. Door gebruik van Google Analytics worden gegevens aan Google gegeven. Doordat veel websites dit doen, kan Google een gedetailleerd profiel opstellen van de gebruiker in kwestie. 

Alles bij de bron; EMerce


 

Oude database met 773 miljoen mailadressen en 21 miljoen wachtwoorden online

Een database met 772,9 miljoen unieke e-mailadressen en 21,2 miljoen unieke wachtwoorden heeft voor onbekende tijd openbaar online gestaan. De ruim 87 gigabyte aan data was geüpload op de clouddienst Mega, maar de gegevens zijn inmiddels verwijderd.

De collectie van gegevens is afkomstig uit meerdere bronnen en is vermoedelijk al jaren geleden buitgemaakt. Onderzoeksjournalist Brian Krebs schrijft op zijn website dat het lek ten minste twee jaar oud is.

Alles bij de bron; NU