Gebruikersgegevens van zo’n 180.000 gebruikers van een forum waar gebruikers erotisch materiaal van vrouwen die zich niet bewust van de camera zijn of lijken te zijn delen, zijn gelekt.

De gelekte gegevens behelzen onder meer e-mailadressen, gebruikersnamen en wachtwoorden alsmede diverse statistieken over hoe die accounts het forum gebruiken. Te denken valt daarbij aan zaken als wanneer de gebruikers zich aangemeld hebben, wanneer zij voor het laatst iets gepost hebben en wat hun reputatiescore op het forum is. Saillant detail is dat onder de gelekte e-mailadressen ook tientallen overheids-e-mailadressen zitten. Zo zouden er zeker 19 e-mailadressen van de overheden van onder meer Wales, Australië en de Amerikaanse stad Houston tussen zitten. Ook zouden er zeker 38 e-mailadressen van de Amerikaanse strijdkrachten geregistreerd zijn op het forum.

Alles bij de bron; NU


 

Het forum van Supercell, de ontwikkelaar van onder andere de populaire mobile game Clash of Clans, was doelwit van een hack. Gebruikersnamen, ip-adressen, e-mailadressen en gehashte wachtwoorden zijn daarbij buitgemaakt.

Supercell stelt zijn gebruikers via het forum in kwestie zelf op de hoogte, maar noemt geen aantallen. Ook de soort encryptie van de wachtwoorden is niet bekend. Motherboard heeft een deel van de database in handen en weet meer informatie te geven. In totaal zou het gaan om 1,1 miljoen accounts en Motherboard heeft de echtheid van verschillende accounts kunnen verifiëren. De inbraak zou in september van 2016 plaats hebben gevonden en de kwetsbaarheid die het mogelijk maakte, zou zijn opgelost. Het forum draait op vBulletin. De accounts voor de games van Supercell zelf zijn niet getroffen.

De vBulletin-software was ook bij andere forumhacks doelwit van kwaadwillenden, bijvoorbeeld bij de Funcom-forums en die van Canonical en Clash of Kings.

Bron; Tweakers


 

De persoonlijke gegevens van duizenden christenen zijn in verkeerde handen gevallen. Dat komt door een hack bij het bedrijf Buzaroo, dat de online-aanmeldformulieren voor de christelijke organisaties Stichting Opwekking en New Wine beheert. 

De hack was op 5 januari. Buzaroo heeft de aanval gemeld bij de Autoriteit Persoonsgegevens. Het bedrijf geeft toe dat de systemen niet goed waren beveiligd. Na de hack kreeg Buzaroo een bericht van de aanvallers, die losgeld wilden. Buzaroo zegt daar niet op ingegaan te zijn.

Buzaroo zegt niet hoeveel data naar buiten zijn gekomen, maar de Pinksterconferentie van Opwekking trok vorig jaar 21.000 bezoekers en op de zomerconferentie van New Wine kwamen 5000 mensen af.

Bron; Telegraaf


 

Een kliniek in Canada heeft de medische dossiers van duizenden patiënten gelekt omdat het gebruik van een onbeveiligde remote synchronisatie service maakte. Het apparaat dat werd gebruikt voor het maken back-ups had een poort openstaan die toegang tot het apparaat gaf en door zoekmachine Shodan was geïndexeerd. Hierdoor waren de gemaakte back-ups voor heel het internet toegankelijk.

10819

De back-ups bleken naast medische en privégegevens ook foto's te bevatten van borstvergrotingen en -verkleiningen en implantaten, zo meldt beveiligingsbedrijf MacKeeper,  "De foto's, omschrijvingen en medische geschiedenis van elke patiënt geeft een intieme blik in wat voor soort gegevens er gelekt zijn".

Het inlichten van de kliniek ging erg moeizaam, maar inmiddels is het rsync-apparaat niet meer toegankelijk. De kliniek heeft de onderzoekers nooit bedankt voor het melden van de kwetsbaarheid.

Alles bij de bron; Security


 

Het lek bevat 1,4 miljoen accounts met gebruikersnamen, e-mailadressen, betaalgeschiedenis, fysieke adressen, gebruiksgeschiedenis en plaintext-wachtwoorden. In de loop van 2016 is het databasebestand naar Troy Hunt opgestuurd met de boodschap dat deze van Eroticy afkomt. Hunt heeft ditmaal het verificatieproces volledig in kaart gebracht in een blogpost, maar deze eindigt met de conclusie dat de gegevens hoogstwaarschijnlijk echt zijn, maar dat niet met zekerheid gezegd kan worden dat ze van Eroticy afkomstig zijn.

Eroticy heeft zogenaamde enumeration protection, wat betekent dat niet kan worden bepaald of een e-mailadres in de database van een website staat door bijvoorbeeld het 'wachtwoord vergeten'-formulier in te vullen met het e-mailadres van een vermoedelijke accounthouder. Datzelfde geldt voor het registratieformulier. Op een poging om per e-mail in contact te komen met de beheerders is niet gereageerd.

Hunt heeft wel enkele e-mailadressen uit de database gemaild en de gebruikers zeiden veelal dat het inderdaad mogelijk was dat ze zich geregistreerd hebben voor de website. Zeker weten doen ze echter niet in alle gevallen. Dat is ook niet verrassend, aangezien sommige data uit 2002 stamt. De dataset is in ieder geval aan HaveIBeenPwned.com toegevoegd en iedereen die ingeschreven staat voor die dienst en ook terugkomt in de database heeft een mailtje gekregen.

Alles bij de bron; Tweakers


 

Door een e-mailblunder heeft een medewerker van de National Australia Bank (NAB) de gegevens van 60.000 klanten naar het verkeerde e-mailadres gestuurd. De werknemer wilde een e-mail naar het domein nab.com.au sturen, maar stuurde het bericht naar nab.com. Deze website is van een domeinkaper.

De e-mail bevatte namen, adresgegevens, e-mailadressen, rekeningnummers en in sommige gevallen klantnummers. Het ging in dit geval om klanten die naar Australië migreerden om daar te werken en een rekening bij de NAB hadden geopend, zo laat de bank in een verklaring weten. 

Alles bij de bron; Security


 

Een Britse verzekeraar heeft een boete van omgerekend 172.000 euro gekregen wegens een datalek waarbij de persoonlijke informatie, zoals namen, adresgegevens en rekeninggegevens, van bijna 60.000 klanten op straat kwamen te liggen. In 2015 werd een draagbare netwerkschijf door een medewerker of leverancier gestolen.

Daarnaast bevatte de schijf ook de gedeeltelijke creditcardgegevens van 20.000 klanten. Volgens onderzoek van de Britse privacytoezichthouder ICO had de verzekeraar geen voldoende maatregelen getroffen om de diefstal te voorkomen. Ook bleek de informatie op de netwerkschijf niet versleuteld te zijn. De harde schijf, die wel met een wachtwoord was beveiligd, is nooit teruggevonden.

VolgensSteve Eckersley, hoofd handhaving van het ICOhad het bedrijf eenvoudige maatregelen kunnen nemen om de gegevens te beschermen, zoals het gebruik van encryptie en het regelmatig monitoren van materiaal. "Klanten vertrouwen bedrijven om hun informatie veilig te houden, met name financiële gegevens".

Alles bij de bron; Security


 

Een MongoDB-database met de gegevens van 3,3 miljoen Hello Kitty-fans die eind 2015 onbeveiligd op internet werd aangetroffen blijkt toch te zijn gestolen en is nu online verschenen. De database bevatte allerlei persoonlijke gegevens, waaronder de data van 186.000 kinderen, en was voor iedereen toegankelijk. Het Japanse bedrijf Sanrio, dat eigenaar van Hello Kitty is, stelde dat het om een misconfiguratie van de databaseserver ging en had na de publicatie door de beveiligingsonderzoeker het probleem opgelost. Ook liet het bedrijf weten dat er geen aanwijzingen waren dat de gegevens waren gestolen.

Dat lijkt nu toch het geval te zijn, want de website LeakedSource heeft de gegevens van 3,3 miljoen Hello Kitty-fans aan de eigen database van datalekken toegevoegd. Het gaat om voor- en achternaam, geboortedatum, geslacht, nationaliteit, e-mailadres, gebruikersnaam, een met sha-1 gehasht wachtwoord en een geheime vraag en antwoord, zo meldt CSO Online

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha