Databeveiliging & Dataverlies

Onder de gegevens die zijn gestolen zijn namen en factuuradressen, telefoonnummers en informatie over diensten die de klanten afnemen, zoals speciale tarieven voor internationaal bellen. Dit laatste valt onder wat de FCC beschouwt als customer proprietary network information, waardoor T-Mobile verplicht is melding te maken van het datalek.

Volgens het bedrijf zijn geen financiële gegevens zoals creditcardinformatie buitgemaakt en ook zijn geen wachtwoorden of burgerservicenummers gestolen. T-Mobile heeft zijn Amerikaanse prepaidklanten waarvan gegevens zijn gestolen geïnformeerd via e-mail. Het bedrijf heeft in de VS in totaal 75 miljoen klanten en de inbraak treft geen klanten van buiten de VS.

Alles bij de bron; Tweakers


 

Beveiligingsonderzoekers Bob Diachenko en Vinny Troia hebben heeft een database gevonden met informatie over 1,2 miljard personen. In de database zitten geen gevoelige gegevens zoals creditcardnummers of wachtwoorden, maar wel informatie over de profielen die zij hebben. Ook staan er telefoonnummers en e-mailadressen in...

...De data lijkt afkomstig van vier verschillende databases die bij elkaar zijn gezet. Drie daarvan zijn vermoedelijk afkomstig van een databedrijf uit San Francisco genaamd People Data Labs. Dat schrijft op zijn website dat het een database heeft van 1,5 miljard unieke gebruikers. Die verkoopt die gegevens aan bedrijven of adverteerders. De vierde database is hoogstwaarschijnlijk afkomstig van Oxydata. De nu uitgelekte database is niet van hen afkomstig, maar waarschijnlijk van één van hun klanten. "De eigenaar van deze server heeft waarschijnlijk één van onze producten gebruikt, in combinatie met andere producten", zegt de eigenaar van People Data Labs.

De grote hoeveelheden data zijn waarschijnlijk geaggregeerd van socialemediaprofielen zoals Twitter, Facebook en LinkedIn. Volgens de onderzoekers kan de data makkelijk misbruikt worden om identiteitsfraude te plegen.

Er worden de laatste tijd wel vaker enorme databases online gevonden. Die ontstaan vaak door meerdere databronnen aan elkaar te kopen. In januari verscheen bijvoorbeeld een database online met in totaal meer dan 2,2 miljard accountnamen, inclusief hun wachtwoorden. Die waren samengevoegd uit andere grote datalekken.

Alles bij de bron; Tweakers


 

De persoonlijke gegevens van naar schatting 140.000 reizigers uit ten minste acht landen waren toegankelijk door een slecht beveiligde database, zegt onderzoeker Ran Locar. 

De database werd beheerd door Gekko Group, die zakendoet met ruim 600.000 hotels wereldwijd en bevatte onder meer namen, rekeningen, wachtwoorden, e-mailadressen, telefoonnummers en in sommige gevallen creditcardnummers. Ook gegevens van Nederlandse reizigers zijn toegankelijk geweest.

`Daarnaast waren gegevens van reizigers die nooit direct met Gekko Group hebben gereisd mogelijk in te zien. Dat komt doordat de database ook gegevens bevatte van websites als Booking.com en Hotelbeds.com, waar het bedrijf mee samenwerkte. 

Doordat de database op een publieke server stond, was deze toegankelijk voor iedereen. De gegevens werden niet versleuteld, waardoor ze zonder moeite te lezen waren. Gekko Group, onderdeel van AccorHotels, is een van de grootste bedrijven voor hotelboekingen in Europa.

Alles bij de bron; NU


 

Interpol zou binnenkort een resolutie willen aannemen waarin de organisatie officieel het standpunt inneemt dat het zich zorgen maakt over versleuteling. Daarmee zou de organisatie hetzelfde standpunt aannemen als de Amerikaanse FBI. Aldus een document, dat door Reuters is ingezien

Interpol wil dat techbedrijven achterdeurtjes plaatsen in versleutelde diensten  "Serviceproviders, applicatieontwikkelaars en fabrikanten maken producten en diensten met versleuteling die seksueel misbruik van kinderen verbergt op hun platformen", staat volgens Reuters in de resolutie. "Techbedrijven zouden mechanismen in het ontwerp van hun versleutelde producten en diensten moeten implementeren waardoor overheden onder de juiste juridische autoriteit toegang tot de data kan krijgen in een leesbaar en bruikbaar formaat." Op welke manier zo'n achterdeur in de apps moet komen of hoe ondanks zo'n achterdeur de privacy van andere gebruikers gewaarborgd blijft, staat niet in het document.

Interpol heeft zelf juridisch gezien niet veel macht, maar is een coördinerende macht tussen de politiediensten van deelnemende landen. De dienst heeft in dat opzicht wel veel invloed, zeker omdat grote landen als Amerika en Rusland bij Interpol zijn aangesloten. De discussie over achterdeurtjes in encryptie woedt al jaren, en wordt ook in Nederland gevoerd

Alles bij de bron; Tweakers


 

Tutanota biedt end-to-endversleuteling als zowel zender als ontvanger een Tutanota-account heeft. Dat betekent dat berichten op het apparaat van gebruikers worden versleuteld en pas bij de ontvanger worden ontsleuteld. Tutanota zelf kan dan de inhoud niet inzien.

Als bij een e-mailconversatie een van de twee partijen geen account bij Tutanota heeft, kan er geen sprake zijn van end-to-end-encryptie: het bedrijf versleutelt een bericht dan zodra het zijn servers bereikt. Tot deze categorie berichten moet Tutanota op verzoek toegang bieden.

Het bedrijf verklaarde niet aan het verzoek van de rechtbank te willen voldoen. "Ik dacht dat de eis verkeerd was toen we de brief ontvingen en ik denk dat het vandaag de dag nog steeds verkeerd is", zegt Tutanota-directeur Matthias Pfau tegen de Süddeutscher Zeitung. Eerder dit jaar oordeelde het Duitse gerechtshof dat Tutanota de gegevens moet verstrekken en een boete van duizend euro moet betalen.

Ontwikkelaars van de dienst maken nu een functie die kopieën van e-mails maakt die de politie kan lezen als er een geldig bevel van een Duitse rechtbank binnenkomt. Het gaat hierbij dus niet om berichtenverkeer tussen twee Tutanota-gebruikers dat beschermd is met end-to-end-encryptie: daartoe kan geen toegang gegeven worden.

Alles bij de bron; Tweakers


 

Het Europese identificatiesysteem eIDAS (electronic Identification, Authentication and trust Services) bevatte een lek waardoor hackers zich bij een officiële transactie voor konden doen als iedere EU-burger of een Europees bedrijf. Het lek is inmiddels gedicht met een patch. 

Simpel gezegd zorgt het systeem ervoor dat burgers en bedrijven eenvoudiger kunnen praten met instellingen binnen de Europese Unie, doordat ze zich online kunnen identificeren.

Om dat mogelijk te maken, worden digitale handtekeningen en transacties geverifieerd tegen officiële databases, die in ieder EU-land staan. Die databases bevatten alle transacties, ongeacht waar deze in eerste instantie hebben plaatsgevonden. Dat systeem bleek dus een lek te bevatten, ontdekten beveiligingsonderzoekers van SEC Consult. 

Het probleem bevond zich binnen eIDAS-Node, het officiële softwarepakket dat overheidsorganisaties op hun servers draaien om eIDAS-transacties met hun privédatabases te ondersteunen. De problemen zijn inmiddels door de Europese Commissie opgelost. Vandaag wordt een patch uitgerold naar de lidstaten, samen met het dringende advies om het systeem zo snel mogelijk te updaten. 

Alles bij de bron; AGConnect


 

De website van het Bewoners Aanspreekpunt Schiphol (BAS) ging deze week uit de lucht nadat bekend was geworden dat er een datalek is. Wel kunnen nog telefonisch klachten worden doorgegeven over het vliegverkeer.

„Door een melding bij de Autoriteit Persoonsgegevens is bekend geworden dat de beveiliging van de klachtendatabase van Schiphol niet op orde is. De bewonersdelegatie is daarvan zeer geschrokken, zij mocht ervan uitgaan dat Schiphol zorgvuldig zou omgaan met persoonlijke gegevens van klagers”, laat voorzitter Matt Poelmans weten.

De gegevens van "bijna 60.000" mensen die via het Bewoners Aanspreekpunt Schiphol (BAS) een klacht hebben ingediend, waren inzichtelijk via een lek in de website van het klachtenloket, bevestigt een woordvoerder vrijdag na eerdere berichtgeving door de actiegroep SchipholWatch. Afhankelijk van de situatie zijn namen, adressen, e-mailadressen, telefoonnummers en wachtwoorden van klagers gelekt. 

De bewonersdelegatie grijpt het datalek aan om te pleiten voor een andere manier van klachtenafhandeling. „Behalve dat het kennelijk schort aan beveiliging is de kritiek dat er te weinig wordt gedaan met deze gegevens. Het blijft beperkt tot registratie van klachten, zonder dat er voldoende wordt gedaan om de oorzaken weg te nemen. Nu het klachtensysteem opnieuw moet worden opgezet, eisen wij dat de klachtenprocedure wordt gemoderniseerd en er serieus werk wordt gemaakt van die informatie”, eist Poelmans.

Schiphol laat in een reactie weten dat BAS dan wel is opgezet door de luchthaven en de luchtverkeersleiding, maar dat het meldpunt onafhankelijk is. Zij registreren alle klachten en maken eigen rapportages. 

Alles bij de bron; Gooi & Eemlander & NU [bron update]


 

Minister Hoekstra van Financiën is vanwege de vele zorgen over de privacy van ondernemers als gevolg van de invoering van het UBO-register met de Kamer van Koophandel tot twee aanvullende maatregelen gekomen. De identificatie van raadplegers van het register wordt verbeterd met betrouwbaarder identificatiemiddelen en uiteindelijk belanghebbenden krijgen inzicht in hoe vaak hun informatie wordt geraadpleegd. Dat schrijft de minister in de nota naar aanleiding van het verslag UBO-register die hij vrijdag samen met de nota van wijziging aan de Tweede Kamer heeft gestuurd.

Ten eerste wordt de identificatie van raadplegers van het register verbeterd. Een account om informatie uit het handelsregister op te vragen bestaat momenteel uit een zelfgekozen naam en wachtwoord, zonder robuuste verificatie van de identiteit. Ik wil dat de vaststelling van de betrouwbaarheid van de identiteit van de raadpleger verhoogd wordt. Dit maakt de drempel voor kwaadwillenden om het register te misbruiken hoger omdat daarmee de identiteit van die personen wordt vastgelegd door de Kamer van Koophandel en eventueel teruggehaald kan worden in geval van strafrechtelijk onderzoek. 

Ten tweede krijgen uiteindelijk belanghebbenden inzicht in hoe vaak hun informatie wordt geraadpleegd. Raadplegingen door de FIU-Nederland en bevoegde autoriteiten zijn hiervan uitgezonderd. Het inzicht in de hoeveelheid raadplegingen komt tegemoet aan de wens van meerdere vertegenwoordigers van belanghebbenden. Het geeft UBO’s een beeld van de verwerking van hun gegevens.

Alles bij de bron; Accountancy-van-Morgen (via DeDikkeBlauwe)


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha