Criminelen zijn erin geslaagd om bij de Australische zorgverzekeraar Medibank allerlei gevoelige gegevens van klanten te stelen, waaronder informatie over diagnoses en behandelingen. Dat heeft het bedrijf vandaag bekendgemaakt. Vorige week liet Medibank weten dat het "ongewone activiteit" op het netwerk had ontdekt. Bij het "cyberincident" zouden echter geen gegevens van klanten zijn buitgemaakt....
....Gisteren meldde Medibank dat het was benaderd door de aanvallers, die claimden tweehonderd gigabyte aan data in bezit te hebben. Als bewijs hebben de aanvallers informatie over honderd polishouders gedeeld, zo laat de verzekeraar weten.
Het gaat om namen, adresgegevens, geboortedata, zorgverzekeringsnummer, polisnummer, telefoonnummers en gegevens over declaraties, zoals de locatie waar een klant medische zorg heeft ontvangen en codes met betrekking tot de diagnoses en behandeling.
Medibank bevestigt dat die gegevens bij het bedrijf zijn gestolen. De aanvallers claimen ook creditcardgegevens in bezit te hebben, maar dat is nog niet bevestigd.
Alles bij de bron; Security
Microsoft heeft via een verkeerd geconfigureerde server de gegevens van klanten gelekt. Het gaat om zakelijke transactiegegevens, zoals namen, e-mailadressen, inhoud van e-mails, bedrijfsnaam, telefoonnummers en bestanden met betrekking tot de zaken tussen klanten en Microsoft of een geautoriseerde Microsoft-partner. Door de fout aan de kant van het techbedrijf waren de klantgegevens zonder enige inloggegevens voor iedereen op internet toegankelijk.
Securitybedrijf SOCRadar ontdekte de server en waarschuwde Microsoft. Volgens het securitybedrijf bevatte de verkeerd geconfigureerde server 2,4 terabyte aan data van 65.000 entiteiten in 111 landen. Het ging bij elkaar om 335.000 e-mails, informatie over 133.000 projecten en data van 548.000 gebruikers. Het gaat dan bijvoorbeeld om facturen, getekende klantdocumenten, verkoopstrategieën, prijslijsten, productbestellingen en documenten.
SOCRadar claimt dat het om één van de grootste B2B-datalekken van de afgelopen jaren gaat ook biedt het bedrijf een zoektool aan waarmee organisaties kunnen kijken of ze onderdeel van het datalek zijn. Microsoft stelt dat deze tool niet in het belang van de privacy en security van klanten is en hen aan onnodige risico's blootstelt. De betreffende server is inmiddels beveiligd.
Alles bij de bron; Security
Een Eindhovense huisartsenpraktijk heeft door een fout bij het versturen van twee e-mails de gegevens van vijfhonderd patiënten gelekt. Vorige week verstuurde de huisartsenpraktijk een e-mail naar patiënten. Door een menselijke fout werden de e-mailadressen niet in het bcc-veld gezet, zo laat de huisartsenpraktijk weten.
Na ontdekking van de fout heeft de huisartsenpraktijk de eigen ict-leverancier benaderd met de vraag of het bericht kon worden ingetrokken. De ict-leverancier claimde dat dit kon en verstuurde vervolgens een correctiemail, maar daar waren alle e-mailadressen weer zichtbaar voor alle ontvangers.
De huisartsenpraktijk heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Daarnaast is besloten om alleen via MijnGezondheid.net berichten naar patiënten te sturen. "Op deze manier is het onmogelijk om gegevens te delen met andere patiënten", aldus de huisartsenpraktijk.
Alles bij de bron; Security
Toyota heeft de gegevens van meer dan 296.000 klanten gelekt nadat broncode van een Toyota-website jarenlang via een publiek GitHub-account beschikbaar was. De broncode bevatte een key waarmee toegang tot de server kon worden verkregen waarop de klantgegevens stonden. Het gaat om het e-mailadres en klantnummer die Toyota-klanten bij de registratie op de Toyota Connect-website hadden ingevuld.
... Volgens Toyota heeft de webontwikkelaar de regels voor het omgaan met broncode geschonden door die naar een publiek GitHub-account te uploaden. Iets dat het bedrijf pas op 15 september van dit jaar ontdekte. Toyota zal alle gedupeerde klanten nu waarschuwen.
Alles bij de bron; Security
De gemeente Bergen heeft door een misser twee brieven met afzonderlijke gegevens op één papier afgedrukt. Zo is de brief aan de ene persoon op de achterkant van de brief aan de andere persoon terechtgekomen.
Het ging bij de brieven om een ontvangstbevestiging van een aanvraagformulier voor de mantelzorgwaardering 2022. Op deze manier kwamen privégegevens van aanvragers uit Schoorldam en Egmond-Binnen bij elkaar binnen.
Voor zover de gemeente kan vaststellen is dit een eenmalig incident geweest. Van de misser is een melding gemaakt bij de afdeling privacy en informatiebeveiliging van de gemeente en bij de Autoriteit Persoonsgegevens. De betrokkenen zullen nog worden ingelicht door de gemeente.
Alles bij de bron; NHD
Een ransomwaregroep die vorige maand wist in te breken op systemen van it-bedrijf ID-ware heeft daarbij ook privégegevens van duizenden rijksambtenaren buitgemaakt en inmiddels online gezet, waaronder ook Tweede Kamerleden.
Het bedrijf levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden.
Dat laat staatssecretaris Van Huffelen vandaag in een brief aan de Tweede Kamer weten
Alles bij de bron; Security
Zooplus is het slachtoffer geworden van een cyberaanval, laat de online dierenwinkel in een e-mail aan zijn klanten weten. Daarbij zijn persoonsgegevens buitgemaakt.
"Een onbekende aanvaller of groep aanvallers is het gelukt om met behulp van een set inloggegevens illegaal Zooplus-accounts binnen te dringen", schrijft het bedrijf in de e-mail.
Hoeveel klanten zijn gedupeerd, is onduidelijk. Ook is niet bekend welke persoonsgegevens precies zijn buitgemaakt. Zooplus wil niet reageren op vragen van NU.nl, maar meldt in de e-mail dat er geen betaalgegevens zijn gestolen.
Alles bij de bron; NU
Bij de aanval op de Australische telco Optus, vorige maand, zijn naast persoonlijke gegevens van 9,8 miljoen klanten ook identiteitsnummers buitgemaakt. Het gaat om 2,1 miljoen ID-nummers die door de overheid worden gebruikt.
"Na grondige analyse in samenwerking met overheidsinstanties van de gegevens die Optus heeft over zijn 9,8 miljoen klanten, kan het bedrijf bevestigen dat de informatie die van 7,7 miljoen klanten werd gelekt, geen recente of geldige documentnummers voor identiteitsbewijzen bevat", schrijft Optus in een mededeling.
Van 2 miljoen dus wel, voor alle duidelijkheid. Ook staat het ondertussen vast dat persoonlijke gegevens zoals e-mailadressen, geboortedata en telefoonnummers van alle 9,8 miljoen klanten werden gelekt.
Alles bij de bron; ExecutivePeople
De Amerikaanse bank Morgan Stanley krijgt een boete van 35 miljoen dollar opgelegd door de Amerikaanse beurstoezichthouder Security and Exchange Commission (SEC). Aanleiding hiervoor is een datalek. Op harde schijven die op een veilingwebsites zijn aangeboden waren gegevens van 15 miljoen klanten van de bank opgeslagen.
De SEC stelt dat Morgan Stanley gedurende een periode van vijf jaar gegevens van klanten onvoldoende heeft beveiligd. Het bedrijf zou in diverse gevallen een verhuis- en opslagbedrijf zonder ervaring met datavernietiging hebben ingeschakeld voor het uitfaseren van duizenden harde schijven en servers waarop soms nog persoonlijke gegevens van miljoenen klanten stonden opgeslagen.
De hardware is uiteindelijk doorverkocht via een veilingwebsite, zonder dat de persoonsgegevens zijn verwijderd. Een deel van de apparaten is door Morgan Stanley teruggehaald, maar bij het merendeel van de hardware zou dat niet zijn gelukt.
Opvallend is ook dat de harde schijven in kwestie de mogelijkheid boden tot het versleutelen van data, maar encryptiesoftware door Morgen Stanley niet zou zijn ingeschakeld. Data van klanten was hierdoor onversleuteld opgeslagen en vrij toegankelijk voor wie de harde schijven of servers in handen kreeg. Meer informatie is hier beschikbaar.
Alles bij de bron; DutchIT
De populaire website Neopets heeft meer details gegeven over het datalek waarbij de gegevens van 69 miljoen accounts werden gestolen. Zo zijn van miljoenen spelers niet-gehashte wachtwoorden buitgemaakt. Op 21 juli waarschuwde Neopets dat er mogelijk klantgegevens waren gestolen.
In een update over het incident laat de ontwikkelaar weten dat de aanvaller toegang had tot namen, e-mailadressen, gebruikersnamen, geboortedata, geslacht, ip-adressen, Neopets PIN, gehashte wachtwoorden en data over het dier van de speler. Voor mensen die voor 2015 een Neopets-account hadden zijn ook niet-gehashte, inactieve wachtwoorden buitgemaakt.
De nu gestolen data zou tussen 3 januari 2021 en 19 juli 2022 zijn gedownload, wat inhoudt dat de aanvaller lange tijd toegang tot de systemen van Neopets had. Vanwege het datalek is besloten de wachtwoorden van gebruikers te resetten en wordt er gewerkt aan het toevoegen van multifactorauthenticatie.
Alles bij de bron; Security