Digitale Schandpaal

Wikileaks heeft vrijdag een datadump online gezet die bijna 20.000 e-mails van en naar zeven kopstukken van de Amerikaanse Democratische partij bevat. De organisatie legt daarmee tegelijkertijd de persoonsgegevens van een groep donateurs bloot. Er is op dit moment geen bevestiging dat de gegevens allemaal onvervalst en onaangepast zijn...

...Een zoekopdracht onthult in een oogopslag de details van 111 donaties aan de partij. Deze automatische bevestigingsmails bevatten namen, adressen, telefoonnummers, beroepen en werkgevers, e-mailadressen, bedragen en in sommige gevallen zelfs de nummers van paspoorten of Green cards. In andere soorten mails zijn ook social security numbers en geboortedata te vinden. Naast de persoonsgegevens van derden bevat de dump bijvoorbeeld e-mails die wijzen op geheime tactieken om de reputatie van Republikein Donald Trump te besmetten. 

De vrijgegeven mails geven ook een beeld van hoe hardbevochten de strijd tegen senator Bernie Sanders was tijdens de voorverkiezingen. Zo omschrijft Debbie Wasserman Schultz, een van de leiders van de Democratische partij, een vertegenwoordiger van Sanders als "een verdomde leugenaar". Andere mails tonen aan hoe geldschieters worden beloond met toegang tot feestjes en gratis tickets.

Alles bij de bronnen; Tweakers & deMorgen


Het Deense Statens Serum Institut heeft per ongeluk twee cd's met daarop medische info van vrijwel alle inwoners van Denemarken per ongeluk laten bezorgen bij een Chinees bedrijf in Kopenhagen. De cd-roms bevatten onversleutelde data met de 'burgerservicenummers' en bijbehorende medische informatie van meer dan vijf miljoen inwoners van het in totaal 5,5 miljoen inwoners tellende Denemarken. Er stonden geen namen en adressen bij. Het gaat om mensen die tussen 2010 en 2012 in Denemarken woonden. 

Het pakketje bleek geopend, maar of medewerkers van het Chinese bedrijf de data hebben ingezien en eraf hebben gehaald, is onbekend. Het Chinese bedrijf zegt dat een medewerkster per ongeluk het pakketje had geopend, maar het direct weer heeft gesloten en heeft doorgestuurd naar het juiste adres. De privacy-autoriteit vindt het kwalijk dat het instituut de data onversleuteld heeft verstuurd.

Alles bij de bron; Tweakers


 

Een beveiligingsbedrijf heeft een aantal kwetsbaarheden gevonden in de SonicWall-apparatuur van Dell. Deze kwetsbaarheden kunnen misbruikt worden en aanvallers rootrechten geven. De grootste kwetsbaarheid is echter de achterdeur in de vorm van een verborgen standaard account. 

Het gevonden standaard account heeft een makkelijk te raden wachtwoord en kan worden misbruikt door gebruikers aan te maken zonder administratieve rechten en deze vervolgens te laten inloggen in de webinterface om daar het wachtwoord van de administrator te wijzigen. De aanvaller zou met dit gewijzigde admin-wachtwoord als administrator in kunnen loggen en zo volledige controle hebben op de GMS-interface en verbonden SonicWall-apparatuur.

De andere kwetsbaarheden kunnen ook misbruikt worden om aanvallers rootrechten geven. Er is inmiddels een patch voorhanden en Dell adviseert dan ook om de SonicWall-producten zo snel mogelijk te patchen.

Alles bij de bron; WebWereld


Onderzoekers van het Poolse beveiligingsbedrijf Exatel en Fidelis Cybersecurity uit de VS hebben ontdekt dat de in China ontwikkelde Maxthon-browser geregeld gevoelige informatie naar een server in de Chinese hoofstad Beijing stuurt, ook als gebruikers dat niet willen.

De informatie in het ueipdata.zip-bestand bevat een versleuteld bestand dat.txt. De onderzoekers vonden de beveiligingssleutel van het bestand en ontdekten dat het bestand informatie opslaat over het besturingssysteem, de cpu, de status van een eventuele adblocker, de adressen van alle bezochte websites, inclusief alle online zoekopdrachten en de geïnstalleerde applicaties met versienummers.

De data die wordt verzameld in het ueipdata.zip-bestand wordt niet per se zonder medeweten van de gebruiker opgeslagen. Tijdens het installeren van de Maxthon-browser vraagt de software of de gebruiker mee wil doen aan het User Experience Improvement Program of UEIP. Bij het niet aanvinken van het gebruikerservaringsverbeteringsprogramma blijkt de browser toch gewoon het ueipdata.zip-bestand aan te maken. Op het forum van Maxthon stelt een moderator van de browserbouwer dat als het hokje van UEIP niet aangevinkt wordt, er alleen 'basic information' verzameld wordt. Dit is niet het geval, ontdekten de onderzoekers.

De informatie die wordt teruggestuurd, is volgens cso Justin Harvey van Fidelis Cybersecurity voldoende om een gerichte aanval uit te voeren. Het onderzoek staat bij Exatel.

Alles bij de bron; Tweakers


Burgers kunnen niet vertrouwen op veiligheid van websites en e-mails van Zeeuwse overheden, zo blijkt uit een test op internet.nl. Websites en e-mails van Zeeuwse gemeenten en de provincie zijn slecht beveiligd.

Internetcriminelen kunnen daarom gemakkelijk toegang krijgen tot persoonlijke gegevens van burgers, of andere computers infecteren. Dat blijkt uit een test op de website internet.nl , opgezet door het Platform Internetstandaarden. In dit platform zijn onder meer de Rijksoverheid en het Nationaal Cyber Security Centrum vertegenwoordigd. Geen enkele Zeeuwse gemeente voldoet aan de standaarden. Zeven van de dertien gemeentelijke websites scoren minder dan de helft van de honderd te behalen punten. Zeven van de dertien algemene gemeentelijke e-mailadressen halen minder dan vijftig punten.

"Er zijn weinig excuses om dit als professionele organisatie niet op orde te hebben. Gemeenten werken met zeer gevoelige data van burgers. Dan mag je verwachten dat ze er zorgvuldig mee omgaan", zegt Michiel Leenaars, strategisch directeur van stichting NLNet. Gemeenten zijn op de hoogte van de gebrekkige veiligheid van hun website. Ze melden dat ze bezig zijn om de problemen op te lossen. 

Alles bij de bron; PZC


Het bedrijfsrecherchebureau Hoffmann heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) de screening van personeel aangepast, zodat het niet langer meer de Wet bescherming persoonsgegevens overtreedt. De toezichthouder ontdekte verschillende overtredingen bij het screeningsproces.

Zo voerde Hoffmann onder meer screenings uit op basis van toestemming van de sollicitanten en werknemers. Dit is niet toegestaan omdat in een screeningsprocedure niet gesproken kan worden van 'vrije toestemming' zoals de wet eist. Het is voor de betrokkene namelijk moeilijk om 'nee' te zeggen onder druk van het kunnen mislopen van de mogelijke baan of de andere functie. Ook maakte het bedrijf integrale kopieën van identiteitsbewijzen. Hierop staan pasfoto, de nationaliteit van de betrokkene en het burgerservicenummer (BSN). Dit zijn persoonsgegevens van gevoelige aard die in beginsel niet mogen worden verwerkt.

Uit het onderzoek blijkt verder dat Hoffmann bij bijna elk door de toezichthouder onderzocht dossier een internetzoekopdracht heeft verricht naar de sociale mediaprofielen van de betrokkene. De Autoriteit Persoonsgegevens constateerde dat het recherchebureau in de meeste onderzochte dossiers het sociale mediaprofiel van de betrokkene had opgenomen. Deze informatie werd niet opgenomen in het screeningsrapport richting de werkgever. De onderzochte dossiers van het recherchebureau bevatte daarmee veel irrelevante, maar wel persoonlijke informatie over mensen. Dit is niet proportioneel en daarmee in strijd met de wet.

Alles bij de bron; Security


Gisteren was het internet trager in Europa en dat werd veroorzaakt door uitval bij Tier 1-provider TeliaSonera. Onder meer WhatsApp, Facebook, diverse sites die worden gecachet bij CDN's als CloudFlare en AWS-servers van Amazon ondervonden traagheid en kleine storingen. Er werd even gedacht dat een zeekabel was beschadigd, maar de oorzaak was simpeler.

Het betrof namelijk een configuratiefout van een beheerder. Daardoor stuurde een van de corerouters het verkeer vanuit de trans-Atlantische kabels in plaats van naar het Europese vasteland door naar Hong Kong.

Alles bij de bron; WebWereld


De Communications Security Establishment (CSE) verzamelde data over Canadese telefoongesprekken en internetgebruik, zo blijkt uit een vertrouwelijk onderzoek door de waakhond die toezicht houdt op de geheime dienst. 

Speciale software moest persoonsdata anonimiseren voordat deze met andere landen werd gedeeld, zodat andere landen de afgeluisterde gesprekken niet aan personen konden koppelen. Door een softwarefout gebeurde dit echter niet, waardoor de gegevens in zijn volledigheid werden gedeeld. Onder andere de Verenigde Staten ontvingen de spionagedata.

Canada is lid van het zogenoemde 'five eyes'-verband, waar ook de VS, Australië, Nieuw-Zeeland en het Verenigd Koninkrijk toe behoren. De inlichtingendiensten van de landen werken nauw samen en delen veel informatie met elkaar.

Alles bij de bron; NU


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha