Een Amerikaans advocatenkantoor dat organisaties en bedrijven bijstaat die slachtoffer van een datalek zijn geworden, is zelf door een datalek getroffen. Daarbij zijn de gegevens van 637.000 personen, die eerder al slachtoffer van een datalek waren geworden, in handen van aanvallers gekomen.
Het datalek deed zich begin vorig jaar voor en werd destijds ook al bekendgemaakt, maar blijkt veel groter te zijn dan in eerste instantie werd gecommuniceerd.
Het kantoor stond in het verleden verschillende Amerikaanse zorgverleners bij waar de gegevens van miljoenen mensen werden gestolen. Daardoor beschikte het ook over gegevens van cliënten van deze zorgverleners die slachtoffer van het datalek waren geworden.
In eerste instantie werd gemeld dat het om de gegevens van 152.000 personen ging, maar dat blijken er nu ruim 637.000 te zijn. De gestolen data bestaat onder andere uit naam, adresgegevens, e-mailadres, geboortedatum, social-securitynummer, rijbewijs- of paspoortnummer, rekeninginformatie, belastingidentificatienummer, medische diagnoses, medische behandelingen, zorgclaims, medisch dossiernummer en creditcardnummer. Vorige maand besloot het advocatenkantoor vier massaclaims die vanwege het datalek waren aangespannen te schikken.
Alles bij de bron; Security
Dna-testbedrijf 23andMe heeft gebruikers de schuld gegeven van het grote datalek waarbij de gegevens van 6,9 miljoen mensen werden gestolen.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de 14.000 accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n 14 miljoen gebruikers. Er lopen inmiddels meer dan 30 rechtszaken die door slachtoffers van het datalek tegen 23andMe zijn aangespannen.
In een e-mail aan één van de advocatenkantoren die voor slachtoffers een rechtszaak voert stelt 23andMe dat er geen sprake is van een datalek en dat het incident de schuld van gebruikers is. Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten. Daarom was het incident geen gevolg van slechte beveiliging van 23andMe.
De advocaat in kwestie noemt het 'schaamteloos' hoe 23andMe slachtoffers de schuld van het datalek geeft. "Het datalek heeft miljoenen gebruikers geraakt van wie de gegevens via de DNA Relatives-feature op 23andMe waren blootgesteld, niet omdat ze wachtwoorden hergebruikten.
Van die miljoenen mensen zijn slechts een paar duizend via credential stuffing gecompromitteerd."
Alles bij de bron; Security
De Bank of Ireland heeft kredietbureaus verkeerde data over de schulden van duizenden klanten gestuurd, die hierdoor bijvoorbeeld geen hypotheek, lening of telefoonabonnement konden afsluiten of creditcards aanvragen.
De Britse privacytoezichthouder ICO heeft de bank nu een berisping gegeven, omdat het in strijd met de privacywetgeving heeft gehandeld. Die verplicht dat organisaties ervoor moeten zorgen dat de persoonlijke data die ze hebben kloppend is. De fouten die de Bank of Ireland UK maakte konden bij duizenden mensen voor ellende zorgen", zegt Natasha Longson van de ICO.
Het probleem deed zich alleen bij klanten voor waarvan de schuld was verkocht aan incassobureaus.
Alles bij de bron; Security
De gemeente Eindhoven heeft inwoners die het slachtoffer van een datalek werden soms helemaal niet geïnformeerd. In andere gevallen werden slachtoffers onvolledig of onduidelijk ingelicht.
Dat meldt de interne Functionaris Gegevensbescherming (FG) in een onderzoek waarover het AD bericht. Voor het onderzoek werd een steekproef van zeventig geregistreerde datalekken onderzocht.
Bij acht datalekken werden slachtoffers helemaal niet gewaarschuwd. In elf andere gevallen gebeurde dit onvolledig, onduidelijk of tegenstrijdig. De FG stelt ook vast dat het verplichte datalekkenregister van de gemeente niet overeenkomt met de meldingen die aan de Autoriteit Persoonsgegevens zijn gedaan. Het gaat dan bijvoorbeeld over het soort gegevens dat is gelekt en de mogelijke gevolgen.
Verder blijkt dat datalekken te laat worden geregistreerd. Dit moet binnen 72 uur gebeuren, maar bij een kwart van de zeventig datalekken gebeurde dit later. Sommige datalekken worden na weken of zelfs maanden geregistreerd. De registratie moeten vijf jaar worden bewaard, maar blijken eerder te worden verwijderd. De Functionaris Gegevensbescherming heeft dan ook zijn vragen of het register wel actueel en volledig is.
Eerder dit jaar besloot de Autoriteit Persoonsgegevens het toezicht op de gemeente Eindhoven te verscherpen.
Alles bij de bron; Security
Privacyorganisatie noyb heeft bij de Europese privacytoezichthouder een klacht tegen de Europese Commissie ingediend over advertenties waarmee steun werd gezocht voor client-side scanning, waarmee Brussel de chatberichten van alle burgers wil controleren.
Voor het tonen van de advertenties op X maakte de Commissie gebruik van microtargeting, waarmee het volgens noyb de wet heeft overtreden en democratische procedures tussen EU-instituten heeft ondermijnd.
"De advertentiecampagne van de Europese Commissie, die zelfs op X als misleidend werd aangemerkt, schond ook de AVG", aldus noyb. "Ondanks dat de politieke opvattingen en geloofsovertuigingen van mensen door de AVG beschermd zijn, werden deze datacategorieën voor de advertentiecampagne gebruikt."
Naast de klacht tegen de Europese Commissie die bij de Europese toezichthouder werd ingediend, kijkt noyb ook of het een klacht tegen X gaat indienen omdat het toestond dat gevoelige data illegaal voor politieke microtargeting werd gebruikt.
Volgens noyb vormt de werkwijze van Brussel een bedreiging voor de democratie. "Het lijkt erop dat de Europese Commissie heeft geprobeerd om de publieke opinie in landen zoals Nederland te beïnvloeden, om zo de positie van nationale regeringen in de EU-Raad te ondermijnen.
Dergelijk gedrag, gecombineerd met illegale microtargeting, is een serieuze bedreiging voor het Europese wetgevend proces en staat volledig haaks op de intentie van de Europese Commissie om politieke advertenties transparanter te maken."
Als het aan de privacyorganisatie ligt krijgt Brussel ook een boete opgelegd.
Alles bij de bron; Security
IPhones hebben jarenlang de unieke MAC-adressen van gebruikers gelekt waardoor die waren te volgen, ondanks een privacyfeature van Apple die dit juist moest voorkomen. Deze week kwam Apple met een beveiligingsupdate om het probleem te verhelpen.
Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen.
Drie jaar geleden kwam Apple met een feature genaamd 'private Wi-Fi addresses', die moest voorkomen dat iPhones hun unieke MAC-adres met wifi-netwerken delen.
Met de lancering van iOS 14, iPadOS 14 en watchOS 7 besloot Apple private Wi-Fi addresses te introduceren dat ervoor moet zorgen dat het toestel voor elk wifi-netwerk een ander MAC-adres gebruikt. Met iOS 15, iPadOS 15 en watchOS 8 werd er vervolgens automatisch voor elk wifi-netwerk waar meer dan zes weken geen verbinding mee was gemaakt een ander MAC-adres gegenereerd.
De privacyfeature bleek echter zinloos. "Wanneer een iPhone verbinding met een netwerk maakt, verstuurt het multicast requests om AirPlay-apparaten in het netwerk te vinden. In deze requests verstuurt iOS het echt Wi-Fi MAC-adres", aldus beveiligingsonderzoeker Tommy Mysk die het probleem (CVE-2023-42846) eind juli aan Apple rapporteerde.
Alles bij de bron; Security
Meerdere Canadese computerwinkels zijn betrapt bij het grasduinen op de laptops en smartphones van klanten die ter reparatie waren aangeboden. Zo werden foto's gekopieerd en de browsegeschiedenis bekeken, meldt de Canadese publieke omroep CBC op basis van eigen onderzoek.
Voor het onderzoek werden laptops en smartphones naar twintig verschillende winkels in Ontario gebracht. De apparaten waren voorzien van software waarmee CBC kon kijken wat de reparateurs uitvoerden. Bij zestien winkels werden er activiteiten door de software opgenomen.
Medewerkers van negen winkels bekeken privédata zoals foto's en browsegeschiedenis. In één geval werden de foto's naar een usb-stick gekopieerd. Ook blijkt dat de reparateurs hun sporen proberen te verbergen. "Zonder de trackingsoftware zou de doorsnee consument geen idee hebben dat de technicus deze foto's heeft bekeken", aldus één van de onderzoekers.
De privacytoezichthouder van Ontario hekelt het optreden van de winkels en stelt dat dit moet stoppen. Ze heeft de Canadese privacytoezichthouder opgeroepen om een onderzoek in te stellen.
Alles bij de bron; Security
De Zweedse privacytoezichthouder IMY heeft kledingketen H&M een privacyboete van omgerekend 30.000 euro opgelegd omdat het bedrijf het onnodig lastig maakte voor klanten om zich voor gerichte reclame af te melden.
Volgens de Zweedse privacytoezichthouder heeft H&M de privacywetgeving geschonden door niet meteen te stoppen met het verwerken van de persoonlijke data van de klagers voor gerichte reclame, ook al maakten de klagers hier bezwaar tegen.
Wegens de overtreding besloot IMY de kledingketen een administratieve boete van omgerekend 30.000 euro op te leggen.
Alles bij de bron; Security
Grindr moet een in Noorwegen oplegde privacyboete van omgerekend 5,8 miljoen euro betalen, zo heeft een commissie van beroep geoordeeld. Grindr kreeg de boete opgelegd omdat het van juli 2018 tot en met april 2020 locatiegegevens, ip-adressen, advertentie-ID, geslacht en leeftijd van gebruikers voor advertentiedoeleinden met meerdere derde partijen deelde, zonder dat het hiervoor een gerechtvaardigd belang had.
De dating-app ging tegen de boete in beroep, maar zonder succes. De commissie van beroep oordeelt dat de toestemming die gebruikers gaven voor het verzamelen en delen van hun gegevens niet vrijwillig, specifiek of geïnformeerd was.
Gebruikers kregen tijdens de registratie voor de app geen vrije keuze om met het delen van hun gegevens akkoord te gaan. Daarnaast stond de informatie dat de gebruiker akkoord ging met het delen van zijn persoonlijke data met advertentiepartners alleen in het privacybeleid vermeld.
Gezien de ernst van de overtreding en het aantal getroffen gebruikers ziet de commissie geen aanleiding om de hoogte van het bedrag te veranderen. De Noorse consumentenbond is blij met het oordeel. Grindr had vorig jaar een omzet van omgerekend 184 miljoen euro.
Alles bij de bron; Security
DarkBeam, een bedrijf dat voor organisaties op internet naar datalekken monitort, heeft miljarden records met wachtwoorden en e-mailadressen van slachtoffers van bekende en onbekende datalekken gelekt. Dat ontdekte beveiligingsonderzoeker Bob Diachenko.
DarkBeam monitort naar eigen zeggen het 'dark web' op datalekken. Vervolgens worden bedrijven die klant van het 'digital risk protection platform' zijn en in deze datalekken voorkomen gewaarschuwd.
Volgens Diachenko had DarkBeam de eigen Elasticsearch- en Kibana-instances niet beveiligd, waardoor die zonder inloggegevens te benaderen waren. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Kibana is een datavisualisatie-tool voor Elasticsearch.
Via de instances vond Diachenko 3,8 miljard records met e-mailadressen en wachtwoorden van slachtoffers van zowel bekende als onbekende datalekken. De installaties zijn inmiddels weer beveiligd.
Alles bij de bron; Security