Databeveiliging & Dataverlies

Mozilla heeft relaydienst Firefox Relay officieel gelanceerd. Daarmee kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. 

Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias naar het echte e-mailadres van de gebruiker doorgestuurd. "De meeste mensen hebben maar één of twee e-mailadressen, waar tientallen of honderden online accounts aan zijn gekoppeld. Je e-mailadres is een unieke identifier, aangezien je de enige bent die het heeft. En dat houdt in dat er zeer veel data aan is gekoppeld, wat je e-mailadres een aantrekkelijk doelwit maakt", liet Mozilla bij de aankondiging weten. Door een e-mailalias te verstrekken moet worden voorkomen dat het echte e-mailadres op spamlijsten belandt of in handen van dubieuze bedrijven komt. 

Gebruikers kunnen op dit moment vijf aliassen aanmaken. Per alias kan worden ingesteld of e-mails naar het echte e-mailadres van de gebruiker moeten worden doorgestuurd of dat Mozilla ze moet blokkeren. Firefox Relay is alleen toegankelijk voor gebruikers die over een Firefox Account beschikken. Mozilla zal later met betaalde opties voor de dienst komen, zodat er meer aliassen zijn aan te maken.

Alles bij de bron; Security


 

De meldingsapp Verbeter de buurt was lange tijd zo lek als een mandje. Door een datalek lagen privégegevens van duizenden gebruikers jarenlang op straat, zowel van geregistreerde als anonieme gebruikers. De ontwikkelaar heeft de problemen inmiddels verholpen en melding gedaan bij de Autoriteit Persoonsgegevens.

Een groot aantal gemeenten in ons land maakt gebruik van de app Verbeter de buurt. Het is een laagdrempelige manier om wantoestanden kenbaar te maken. Ook is het een handige manier om te inventariseren wat er zoal speelt in de buurt en gemeente.

Iedere melding die via de Verbeter de buurt-app wordt ingediend, is zichtbaar voor iedereen. Wie niet wil dat zijn naam in beeld verschijnt, is er de mogelijkheid om een anoniem account aan te maken. 

Zo anoniem zijn deze personen echter niet. Ethische hacker Jan van Kampen, die tevens kunstenaar is, zag dat iemand had geklaagd over een kunstproject van hem. Deze persoon deed dat anoniem. Van Kampen wilde graag weten wie deze persoon was en ging op onderzoek uit. Via een proxy zag hij dat de API waar de app gebruik van maakt bij elke melding de owner_email meestuurt. Aangezien veel mensen hun voornaam of voorletters met achternaam gebruiken, is het kinderlijk te achterhalen wie degene is die achter het e-mailadres schuilgaat. Zeker als het om iemand gaat die in een kleine gemeente woont, waar iedereen elkaar kent.

Van Kampen probeerde contact te leggen met de ontwikkelaar, maar dat was makkelijker gezegd dan gedaan. Er was geen responsible disclosure, waar ethische hackers problemen kunnen voorleggen aan de ontwikkelaar. Vervolgens belde bij verschillende malen met het telefoonnummer van de ontwikkelaar, maar er werd niet opgenomen. Tot slot vulde hij het contactformulier in, maar ook daar werd niet op gereageerd. Als ultieme poging besloot hij om contact op te nemen met de gemeente. Toen ging het balletje rollen en belde de ontwikkelaar naar Van Kampen. Die rolde een patch uit, waardoor e-mailadressen niet langer werden verstuurd naar de API. Tevens meldde hij het lek bij de Autoriteit Persoonsgegevens.

Alles bij de bron; VPN-gids


 

Wie vandaag een account aanmaakt op Instagram, wordt gevraagd om een mailadres en de geboortedatum in te vullen. Facebook geeft wel meteen aan dat die data niet openbaar beschikbaar zijn. Zo gebruiken ze het mailadres onder andere om je te contacteren en je geboortedatum voor de gebruikersdatabase en adverteerders. Toch blijkt nu dat het via een bug in Instagram mogelijk was om die data openbaar te zetten.

Via een Facebook Business account kon je simpelweg de bug misbruiken. Dat moest cyberveiligheidsonderzoeker Saugat Pokharel via de Facebook Business Suite tool doen die voor iedereen beschikbaar is met een Business-account.

Via een upgrade van een privé-account naar een zakelijk account toonde de Business Suite van Facebook extra informatie over profielen. Je kon dus niet alleen een privébericht versturen, maar ook het private mailadres en de geboortedata was openbaar zichtbaar. De fout werkte zowel bij privé-accounts die volledig afgeschermd waren, als openbaar. Zelfs wie had aangevinkt dat hij/zij geen berichten wilde ontvangen van onbekende profielen, zat mee in de fout. 

Alles bij bron; Techpulse


 

Online fotobewerkingstool Fotor heeft door een onbeveiligde database die voor iedereen op internet toegankelijk was de gegevens van 13 miljoen gebruikers gelekt. 

Fotor biedt een online programma voor het bewerken van foto's. Het claimt 350 miljoen gebruikers wereldwijd te hebben. Een database van Fotor met 123 miljoen records werd ontdekt door onderzoeker Jeremiah Fowler. Het bleek om de gegevens van 13 miljoen gebruikers te gaan, waaronder namen, e-mailadressen en geolocatie. Tevens werden er ip-adressen, poorten en andere interne gegevens van Fotor zal aangetroffen.

Fowler waarschuwde Fotor en de database is inmiddels beveiligd.

Alles bij de bron; Security


 

Spotify heeft wegens een datalek de wachtwoorden van een onbekend aantal gebruikers gereset. Dat blijkt uit een datalekmelding die het bedrijf deed bij het openbaar ministerie van de Amerikaanse staat Californië (pdf). Volgens de muziekdienst konden partners van het bedrijf door een kwetsbaarheid maandenlang toegang tot registratiegegevens van gebruikers krijgen.

Het ging onder andere om e-mailadres, gebruikersnaam, wachtwoord, geslacht en geboortedatum. De kwetsbaarheid waardoor de gebruikersgegevens toegankelijk waren werd op 12 november ontdekt en was sinds 9 april van dit jaar aanwezig. Spotify heeft het probleem inmiddels verholpen. Tevens zijn partners die toegang tot de gebruikersgegevens hebben gekregen opgeroepen om de persoonlijke data te verwijderen. 

Alles bij de bron; Security


 

Hackers hebben een reeks hackmethodes buitgemaakt bij FireEye, een van de grootste cybersecuritybedrijven in de Verenigde Staten. FireEye gebruikte de hackmethodes om de beveiliging van klanten te testen, waaronder overheidsinstanties. 

Het gaat volgens de topman om een zeer geavanceerde hackoperatie, die volgens het bedrijf mogelijk is uitgevoerd door de regering van een ander land. De hackers hebben ook interesse getoond in een aantal overheidsinstanties die klant zijn bij FireEye, schrijft de topman. FireEye gebruikte de gestolen hackmethodes om kwetsbaarheden in veelgebruikte software uit te buiten.

Volgens Microsoft laat de hack zien dat de beveiligingsindustrie meer moet samenwerken tegen "goed gefinancierde actoren". De FBI heeft nog niet gereageerd op vragen over het incident.

Alles bij de bron; NU


 

De criminele groepering die de backupsystemen van de gemeente Hof van Twente in gijzeling heeft, wil 750 duizend euro om de bestanden weer vrij te geven. De hackers zeggen dat ze 40 terabyte aan backup met gemeentelijke informatie hebben, zoals de financiële administratie, e-mails en persoonlijke gegevens van burgers, en dat ze tevens data hebben gestolen...

...De gemeente en de politie hebben zelf geen contact opgenomen met de criminele groepering. Dat is opmerkelijk, omdat al dagen bekend is dat de backupsystemen zijn versleuteld. De hackers lieten een bericht achter waarin ze vroegen om contact. ‘Hello, need data back? Contact us fast.’

Burgemeester Ellen Nauta (CDA) zegt dat de beslissing om daar niet op in te gaan, is genomen op advies van de politie. Nauta: ‘De politie heeft uitdrukkelijk verzocht om hen de tijd te geven onderzoek te doen. Dat advies heb ik gerespecteerd.’...

...Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken. Vanaf vrijdag is het onderzoek overgenomen door een externe partij, NFIR. Burgemeester Nauta bevestigt dat de politie pas zaterdag toegang kreeg tot de computersystemen.

Alles bij de bron; Volkskrant


 

De beveiliging van medische dossiers van het Bravis Ziekenhuis in Roosendaal faalde jarenlang terwijl het dit niet in de gaten had. Een secretaresse van het ziekenhuis heeft gedurende tenminste vier jaar onrechtmatig in medisch dossiers van bekenden gekeken. De medewerkster had zonder behandelrelatie vrijwel onbeperkt toegang tot de medische dossiers.

De secretaresse bekeek tussen juni 2014 en juli 2018 in totaal 347 keer de medische dossiers van de ex-vrouw van haar partner. Zij richtte een uitgeverij op die in eigen beheer een boek uitgaf van haar partner. Deze ‘wraakroman’ beschreef de vechtscheiding van haar man met zijn ex-vrouw waarin medische details over de voormalige partner zijn verwerkt. 

Het slachtoffer ontdekte in 2018 zelf het datalek toen ze bij het ziekenhuis informeerde wie er inzage in haar dossier had gehad. De secretaresse bleek ook tienmaal noodprocedures te hebben gebruikt om in haar dossier en dat van haar moeder en dochter te kijken. Deze procedures bestaan zodat personeel in spoedgevallen medische dossiers kan inzien. De noodtoegang bij de betrokken dossiers is het Bravis-ziekenhuis nooit opgevallen. 

Het slachtoffer heeft het ziekenhuis inmiddels aansprakelijk gesteld vanwege nalatigheid. Het is de eerste keer dat een patiënt een ziekenhuis aanklaagt om een datalek.

Alles bij de bronnen; NRC1 & NRC2


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha