Gebruikers van Scoupy hebben donderdagavond een e-mail gekregen met de melding dat het bedrijf woensdagavond doelwit was van een aanval. Daarbij wisten de daders toegang te krijgen tot de persoonsgegevens van gebruikers van de kortingsapp. Het bedrijf heeft naar eigen zeggen meer dan 2,2 miljoen gebruikers.
De gestolen gegevens betreffen de naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum en kassabonnen. Ook de wachtwoorden en bankrekeningnummers zijn in handen van de criminelen. Deze zijn versleuteld maar Scoupy meldt geen details over de gebruikte versleuteling. "Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen", meldt het bedrijf wel. Ook adviseert Scoupy gebruikers hun wachtwoord regelmatig te wijzigen.
Het bedrijf heeft niet uit voorzorg de wachtwoorden zelf een reset gegevens en als gebruikers dit zelf willen doen, lukte dat niet altijd omdat Scoupy's platform verminderd bereikbaar was. Op Gathering of Tweakers klagen sommige gebruikers ook dat het hen niet lukte hun account te verwijderen.
Scoupy heeft het incident gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Het lek is gevonden en gedicht.
Alles bij de bron; Tweakers
Een groep Nederlandse cybersecuritywetenschappers heeft in een open brief de Nederlandse overheid opgeroepen om datalekdata van de Autoriteit Persoonsgegevens (AP) beschikbaar te stellen voor wetenschappelijk onderzoek. Een zogeheten ‘cybersecuritydashboard’ zou tot betere beleidsoplossingen kunnen leiden, zo beargumenteert de Academic Cyber Security Society (ACCSS).
Nederland is wereldkampioen datalekmelden, betoogt ACCSS. “Al die meldingen kosten geld, maar het AP doet er heel weinig mee. Dat is ook niet hun taak. De data is een potentiële goudmijn voor onderzoek en beleid. Helaas blijft deze data nu liggen in een digitale bureaulade.”
De groep roept specifiek het ministerie van Justitie en Veiligheid op om de AP de financiële middelen te verschaffen om de datalekdata beschikbaar te stellen voor wetenschappelijk en beleidsonderzoek. “Zo kunnen we een start maken met een cybersecuritydashboard. En kunnen wij als wetenschappelijke cybersecuritycommunity efficiënter en effectiever bijdragen aan maatschappelijke oplossingen voor optimale cybersecurity.”
De volledige brief van ACCSS is hier te vinden.
Alles bij de bron; AGConnect
Hackers zijn er in Frankrijk vandoor gegaan met de persoonlijke gegevens van 1,4 miljoen Parijzenaars die een coronatest deden. Ziekenhuizen in de regio doen aangifte en melden dat de gegevens al in de zomer gestolen werden.
Het ging om persoonlijke informatie, zoals BSN-nummers, contactgegevens en testresultaten van 1,4 miljoen personen. De hackers wisten de data te ontfutselen bij het departement van de regionale gezondheidszorg dat verantwoordelijk is voor bron- en contactonderzoek.
Alle getroffenen worden individueel op de hoogte gesteld en de Franse privacywaakhond is op de hoogte en stelt een onderzoek in.
Alles bij de bron; AGConnect
Een groep hackers die zichzelf 'Official Anonymous' noemt, claimt persoonsgegevens te hebben gestolen van klanten van de domeinbeheerder Epik.
De hackers hebben een filedump online gezet op 4chan met daarin naar eigen zeggen alle domeinaankopen, domeintransfers, Whois-geschiedenis, DNS-wijzigingen, e-mailforwards, betaalgeschiedenis en niet-versleutelde account- en inloggegevens van alle klanten van Epik.
Volgens de groep werden logins in plaintext opgeslagen en de enige encryptie die de groep vond was unsalted MD5. Ook claimt de groep meer dan 500.000 private keys, een dump van de mailbox van een medewerker, Git-repositories, SSH-keys en /home- en /root-directories van een core system te hebben gevonden. Het gaat om 180GB aan data.
De hack werd als eerste publiekelijk gedeeld door Steven Monacelli van Protean Magazine, en schrijver voor onder meer The Daily Beast. Hij zegt dat de inhoud van de filedump bevestigd is. Inmiddels is de filedump ook online gezet door de hackers. In een reactie aan Domain Name Wire ontkent Epik-ceo Rob Monster dat er informatie gestolen is.
Alles bij de bron; Tweakers
Uit onderzoek van de GGD blijkt dat de datadiefstal bij de organisatie niet groter is dan eerst gemeld of dat er mensen niet zijn geïnformeerd, zo laat demissionair minister De Jonge van Volksgezondheid weten. Onlangs berichtte RTL Nieuws dat veel meer mensen slachtoffer van de datadiefstal bij de GGD waren geworden...
..."Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd", antwoordt De Jonge op een vraag van SP-Kamerlid Hijink. De minister stelt dat RTL de datasets niet wil delen en daarom niet kan worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn.
De minister roept iedereen op die meer informatie over de zaak heeft om dit te delen met de politie.
Alles bij de bron; Security
De Hogeschool Arnhem en Nijmegen (HAN) heeft 4.300 mensen geïnformeerd over gelekte wachtwoorden. De gegevens werden vorige week gestolen via een server en deze week door de aanvaller online geplaatst. ...
...Onder de gestolen data zitten gegevens van mensen die online formulieren op de website van de onderwijsinstelling hebben ingevuld. Onder meer persoonsgegevens als de naam en het e-mailadres van de aanvragers werd opgeslagen. Daarnaast zijn er contactgegevens van HAN-werknemers gestolen.
Deze week bleek bovendien dat er ook wachtwoorden zijn buitgemaakt bij het datalek. De HAN meldt nu dat het gaat om wachtwoorden die al wel wat ouder zijn: ze werden in de periode voor 2018 gebruikt.
Alles bij de bron; AGConnect
Zowel de gemeente Zoetermeer als de Orde van Advocaten Midden-Nederland hebben door een cc-fout een datalek veroorzaakt. Vorige maand verstuurde de gemeente Zoetermeer een e-mail naar honderdtachtig ondernemers.
"Bij het versturen van de e-mail zijn per abuis de e-mailadressen in de cc opgenomen in plaats van de bcc. Daarmee is een datalek ontstaan. De e-mail is zo snel mogelijk ingetrokken, dit heeft echter niet kunnen voorkomen dat de mailadressen bekend zijn geworden bij een aantal ontvangers", melden burgemeester Bezuijen en wethouder Van Driel in een memo aan de gemeenteraad (pdf).
Het datalek is vervolgens gemeld bij de functionaris gegevensbescherming maar niet bij de Autoriteit Persoonsgegevens. "Na zorgvuldige afweging is besloten het incident niet bij de Autoriteit Persoonsgegevens te melden omdat de nadelige gevolgen van het datalek als beperkt worden ingeschat", stelt het stadsbestuur.
Een soortgelijk datalek deed zich afgelopen maandag voor bij de Orde van Advocaten Midden-Nederland. De orde had aan bijna driehonderd advocatenkantoren een e-mail gestuurd en de ongeveer 275 mailadressen waren in het cc-veld geplaatst en zo voor alle ontvangers zichtbaar, meldt Advocatie.
De Raad van de Orde Midden-Nederland laat in een reactie weten dat er geen sprake is van een meldingsplichtig datalek. "Uiteraard zijn de noodzakelijke maatregelen genomen om dit in de toekomst te voorkomen en is het datalek geregistreerd in ons datalekregister." De verantwoordelijk strafjurist van de Orde stuurde gisteren een excuusmail. "Het spijt mij vreselijk dat deze fout is gemaakt en ik bied daar mijn verontschuldigingen voor aan. Wij zullen alle noodzakelijke maatregelen nemen om dit in de toekomst te voorkomen."
Alles bij de bron; Security
Hogeschool van Arnhem en Nijmegen (HAN) is slachtoffer geworden van een datalek. Persoonsgegevens zijn in handen gekomen van derden, meldt de school donderdag op haar website.
Het lek werd woensdag ontdekt en de omvang van het lek is nog niet bekend. Getroffen personen worden volgens de school zo snel mogelijk geïnformeerd over het feit dat hun gegevens in handen van derden zijn gekomen. Om wat voor persoonsgegevens het precies gaat, meldt de school niet.
Alles bij de bron; NU
Update;
Een onbekende perst de hogeschool van Arnhem en Nijmegen af. Hij heeft mogelijk data van studenten en medewerkers in handen en eist een onbekend bedrag. Dat meldt een bron aan de NOS en een woordvoerder van de HAN bevestigt dat.
Wat de hacker precies eist, is ook onbekend, net als wat hij dreigt te doen als er niet wordt betaald. Mogelijk dreigt hij met publicatie van de gegevens die hij heeft buitgemaakt. Van ransomware, waarbij bestanden worden gegijzeld die pas weer worden teruggegeven na betaling van losgeld, is voor zover bekend geen sprake.
Alles bij de bron; NOS
Digitale personeelsdossiers van veertienhonderd ambtenaren van de provincie Gelderland zijn bij een inbraak op de systemen van een extern ict-bedrijf gestolen, zo heeft de provincie vandaag bekendgemaakt.
"Hackers hebben een fors volume aan digitale data bij het bewuste ict-bedrijf ontvreemd, waaronder de Gelderse gegevens. Nu is achterhaald dat de personeelsdossiers daadwerkelijk zijn gedownload, eerder was dat nog onduidelijk", aldus de provincie.
"Door deze hack zijn we ons nog meer bewust van onze kwetsbaarheid van het werken met derden.", zegt gedeputeerde Jan Markink. Alle medewerkers zijn inmiddels geïnformeerd.
Alles bij de bron; Security
Door een datalek bij een tussenbedrijf dat de facturatiegegevens doorgeeft aan gsm-providers liggen duizenden telefoonnummers van abonnees van een mobiele pornosite op straat. De beveiliging van dit bedrijf lijkt zo lek als een zeef.
Door telefoonnummers in te geven kon worden nagegaan of een nummer ‘matcht’ met een betalende gebruiker van de niet nader genoemde pornosite. Het was zo mogelijk om gehele contactlijsten daarop te ‘controleren’. VTM NIEUWS nam de proef op de som. Op 4.800 nummers kwam aan het licht dat zo’n 140 nummers betalende content hadden bekeken, onder wie een minister, een ex-minister en een topadvocaat.
“Tussenbedrijf Wister Mobile Services verzamelde veel meer dan enkel een telefoonnummer”, benadrukt IT-journalist Kenneth Dée. “Zo werd bijgehouden wat de gebruiker in het verleden had bekeken, met welke smartphone naar de site werd gesurft en wanneer de gebruiker dat deed. ...Het gaat erom dat het om gevoelige info gaat die tot de privacy behoort, en dat wordt door het datalek zwaar met de voeten getreden.”
Het tussenbedrijf erkent de fout en heeft naar eigen zeggen het formulier en de pagina offline gehaald.
Alles bij de bron; HLN