- Gegevens
- Hoofdcategorie: Databases
Netwerkfabrikant D-Link heeft bevestigd dat aanvallers gegevens een systeem hebben gestolen nadat een medewerker slachtoffer van een phishingaanval werd. Op zondag 1 oktober verscheen op een forum een bericht van iemand die claimde bij D-Link miljoenen regels aan klantgegevens te hebben buitgemaakt, alsmede broncode van de D-View netwerkbeheersoftware.
In een reactie bevestigt D-Link het datalek, maar stelt dat het om oude registratiegegevens van een oud systeem gaat, dat sinds begin 2015 end-of-life is. De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, bedrijfsnaam, telefoonnummer, registratiedatum en laatste inlogdatum.
In totaal gaat het om zevenhonderd records van gebruikers die 'vermoedelijk' niet meer actief zijn. Waarom D-Link een al acht jaar niet meer ondersteund systeem gebruikte laat het bedrijf niet weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een wetsvoorstel moet de armslag van AIVD en MIVD vergroten, onder meer door bepaalde inlichtingenoperaties te kunnen inzetten zonder toestemming van de toezichthouder vooraf. Een meerderheid is voorzichtig instemmend, maar er zijn ook zorgen.
De meeste partijen waren het er maandag over eens dat de Wet op de Inlichtingen- en Veiligheidsdiensten (WIV) die in 2018 inging, op onderdelen alweer achterhaald is. Ze biedt volgens een meerderheid te weinig bescherming tegen professioneel uitgevoerde hack-aanvallen op bijvoorbeeld kritische infrastructuur in Nederland, energievoorziening en bedrijven.
Er waren veel kritische vragen van de Kamerleden Julian Bushoff (GroenLinks-PvdA), Alexander Hammelburg (D66), en Marieke Koekkoek (Volt). Die gingen over het delen van gegevens met buitenlandse diensten en het gemakkelijker kunnen verlengen van bewaartermijnen.
SP en Forum voor Democratie toonden zich zeer kritisch over de nieuwe wet. Zij vrezen dat de diensten via een omweg alsnog ongericht de gegevens van miljoenen burgers kunnen binnenhalen. Dat ‘ongericht naar binnen slepen’ van die gegevens werd wettelijk juist expliciet verboden na een referendum over de wet in 2018.
Privacy-organisatie Bits of Freedom en journalistenvakbond NVJ uitten eerder al dezelfde vrees. Zij publiceerden begin oktober een verklaring: „Voor ongericht massasurveillance is geen plaats in een democratische rechtsstaat”, schreven ze. Tevens vreesde de NVJ dat de bestaande wettelijke waarborgen tegen het aftappen van elektronisch verkeer van journalisten in het nieuwe wettelijk regime zwakker worden.
De zogeheten kabelinterceptie – het afvangen van een grote stroom digitale gegevens via de kabel – wordt tot nu toe door het toezicht vooraf weinig gebruikt door de diensten, aldus minister de Jonge. „Ongelooflijk jammer, gezien de belangrijke internetknooppunt functie die Nederland heeft. We hebben de diensten teveel aan de ketting gelegd.”
Alles bij de bron; NRC [Thnx-2-Niek]
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Het verwerken van passagiersgegevens (zogenoemde Passenger Name Record, hierna PNR) is van groot belang voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit.
Het is essentieel dat we dit instrument hebben, omdat ernstige criminaliteit en terrorisme zich niet tot landsgrenzen beperkt.
Om dit instrument, conform wetgeving en in lijn met het arrest van het Hof van Justitie van de Europese Unie (hierna: het Hof) toekomstbestendig te maken, heb ik uw Kamer in mijn eerdere brieven van 10 maart 2023 en 17 mei 2023 geïnformeerd over de maatregelen in de verwerking van passagiersgegevens.
Het Hof heeft aangegeven dat de richtlijn proportioneel is in relatie tot de doelen die de richtlijn nastreeft, namelijk de bestrijding van ernstige criminaliteit en terrorisme en de maatregelen waarin wordt voorzien om de privacy te beschermen. Volgens het Hof vereisen deze grondrechten echter dat de bevoegdheden waarin de richtlijn voorziet, slechts worden uitgeoefend voor zover dat strikt noodzakelijk is.
Zoals in de hierboven genoemde brieven beschreven heb ik een evenredig en proportioneel pakket aan maatregelen en waarborgen genomen die noodzakelijk zijn voor de bestrijding van terrorisme en ernstige criminaliteit, met bescherming van persoonsgegevens.
Tijdens het Commissiedebat Terrorisme/Extremisme van 7 juni 2023 heb ik aan de heer Azarkan (DENK) toegezegd om uw Kamer in het najaar 2023 een nadere toelichting over de uitgevoerde analyse van passagiersgegevens en de criteria voor de gehanteerde bewaartermijnen voor passagiersgegevens te geven.
Middels deze brief geef ik gehoor aan deze toezegging en informeer ik uw Kamer...
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Internet en Telecom
Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde.
CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen.
Het besturingssysteem draait op switches en routers van het bedrijf. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt.
Het securitybedrijf VulnCheck heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt.
Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bioscoopketen Vue heeft klanten gewaarschuwd voor een datalek in de webomgeving waarbij mogelijk persoonsgegevens zijn getroffen.
Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens. Afgelopen zomer meldde RTL Nieuws op basis van een tip van een ethisch hacker dat Vue de privégegevens van honderdduizenden klanten lekte.
Via een kwetsbaarheid in de website kon de broncode worden ingezien. Via de broncode werd informatie gevonden die toegang gaf tot de database van de bioscoopketen en de dienst die de betalingen verwerkt. Daarnaast bleek de website kwetsbaar voor SQL-injection.
Getroffen klanten hebben vandaag een e-mail ontvangen waarin Vue waarschuwt dat hun gegevens mogelijk zijn getroffen. Wat betreft de gebruikte kwetsbaarheden zijn die inmiddels verholpen. "Ook hebben wij extra beveiligingsverbeteringen doorgevoerd bij onze website en app, en extra beveiligingscontroles en monitoring geïmplementeerd", zo laat Vue verder weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Een klant van ING heeft door middel van een systeemfout toegang tot de rekening van een andere klant gekregen. De klant logde door middel van Face ID in op de ING-app, maar kreeg daarbij niet zijn eigen rekeninggegevens te zien, maar die van een andere klant. De klant maakte screenshots en informeerde de bank. ING bevestigt het voorval en stelt dat het door een ‘fout in het systeem’ is veroorzaakt....
....ING liet in eerste instantie weten dat het om een uniek geval ging waarbij een klant de rekening van een andere klant kon zien en geld overmaken. Dat blijkt niet zo te zijn en de bank laat nu tegenover de NOS weten dat vijf klanten slachtoffer van dezelfde systeemfout werden.
"Het kwam door een verandering die we hebben doorgevoerd in het systeem en we nu hebben teruggedraaid," aldus een woordvoerder van ING. "We voeren continu veranderingen door, allemaal technische zaken aan de achterkant van het systeem, waar de klanten helemaal niets van zien." Details zijn niet door de bank gegeven. Ook doet de bank geen uitspraken of er misbruik van de fout is gemaakt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Dna-testbedrijf 23andMe is in de Verenigde Staten door gebruikers aangeklaagd wegens een gevoelig datalek waarbij hun persoonlijke gegevens werden gestolen.
Meerdere personen zijn inmiddels een massaclaim tegen het bedrijf gestart. Begin deze maand werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.
Volgens de personen die de rechtszaken zijn gestart heeft 23andMe geen gepaste maatregelen genomen om de gegevens van gebruikers te beschermen.
Daarnaast heeft het bedrijf niet bekendgemaakt wanneer het datalek zich precies voordeed en over welke periode zich het heeft voorgedaan.
Ook is niet bekendgemaakt hoeveel gebruikers zijn getroffen en wat voor maatregelen die zouden moeten nemen om zich te beschermen. Daardoor zouden gebruikers risico op identiteitsdiefstal lopen, aldus de klagers.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
De Britse financiële toezichthouder FCA heeft de Britse tak van kredietbeoordelaar Equifax een boete van omgerekend 12,8 miljoen euro opgelegd wegens een grootschalige datalek bij het Amerikaanse moederbedrijf, waarbij ook data van Britse klanten werd gestolen.
Volgens de FCA had het datalek volledig voorkomen kunnen worden en behandelde de Britse tak de relatie met Amerikaanse moederbedrijf niet als outsourcing.
....het moederbedrijf past geen netwerksegmentatie toe. Hierdoor konden de aanvallers nadat ze de databaseservers hadden gecompromitteerd toegang tot andere delen van het netwerk krijgen. Tevens had de kredietbeoordelaar geen intrusion detectiesystemen voor de legacy databases geïnstalleerd en bleek het bedrijf inloggegevens voor het netwerk, wachtwoorden, social security nummers en andere gevoelige consumentengegevens in plaintext te bewaren.
Bij de aanval werden de persoonlijke gegevens van meer dan 147 miljoen Amerikanen gestolen, alsmede 15 miljoen Britten. Het ging om namen, geboortedata, telefoonnummers, gedeeltelijke creditcardgegevens en adresgegevens. ...
De Britse tak ontdekte pas zes weken na de ontdekking van de aanval door het Amerikaanse moederbedrijf dat er gegevens van Britse consumenten waren gestolen. Verder stelt de FCA dat de Britse tak in haar verklaringen een onjuist aantal getroffen consumenten noemde en niet goed omging met klachten van consumenten.
Alles bij de bron; Security