De gemeente Den Bosch heeft van 23.000 inwoners het burgerservicenummer (BSN) gelekt, alsmede naam en adresgegevens.
Het datalek deed zich voor toen twee lijsten met informatie over parkeervergunninghouders door een menselijke fout per ongeluk via e-mail werden gedeeld met een inwoner. In deze lijsten stond informatie over zo'n 23.000 parkeervergunninghouders met onder andere BSN-nummer, naam en adres.
De ambtenaar die de fout maakte heeft dit gemeld, waarna verschillende maatregelen zijn genomen. Zo is de ontvanger van de e-mail geïnformeerd dat de e-mail niet voor hem of haar bestemd was en is verzocht de e-mail te verwijderen.
"Er is telefonisch contact geweest met de ontvanger. De ontvanger heeft zowel telefonisch als per e-mail (schriftelijk) bevestigd dat de e-mail en de ontvangen persoonsgegevens zijn verwijderd", zo laat de gemeente verder weten. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Ook zijn alle gedupeerden geïnformeerd.
Alles bij de bron; Security
Bij een omvangrijk datalek zijn bijna 32 miljoen documenten van softwarebedrijf ServiceBridge uitgelekt. De database bevat gevoelige documenten, waaronder facturen, contracten en overeenkomsten.
Securityonderzoeker Jeremiah Fowler ontdekte de database, die online vrij toegankelijk was en bracht het lek onder de aandacht bij ServiceBridge, waarna het bedrijf de toegang tot de database heeft geblokkeerd.
Fowler meldt dat de database onder meer contracten, werkopdrachten, facturen, voorstellen en andere documenten gerelateerd aan bedrijven wereldwijd omvat. De database is in totaal 2,68TB groot en omvat ruim 31,5 miljoen documenten. Hij waarschuwt dat de uitgelekte documenten onder meer ingezet kunnen worden voor social engineering, phishing, fraude met facturen en andere vormen van financiële fraude.
Een deel van de documenten zou ook gevoelige informatie over betrokkenen bevatten. Denk daarbij aan namen, adresgegevens, e-mailadressen, telefoonnummers en in sommige gevallen ook gedeeltelijke creditcardgegevens.
Alles bij de bron; Dutch-IT-Channel
Een gigantisch datalek met 2,7 miljard documenten zou persoonlijke gegevens kunnen bevatten van zowat elke persoon in de Verenigde Staten, het Verenigd Koninkrijk en Canada.
Voor de VS zou het bijvoorbeeld gaan om social security nummers waarmee elke Amerikaan geïdentificeerd kan worden. Daarnaast zouden ook namen, adressen en mogelijke aliassen in het lek staan. De verzameling gegevens wordt te koop aangeboden op een hackerforum.
De gegevens zouden komen van National Public Data, een data broker die persoonlijke gegevens verzamelt en verkoopt aan bijvoorbeeld privédetectives. Een gelijkaardige verzameling werd in april al aangeboden door USDoD voor 3,5 miljoen dollar, zo schrijft BleepingComputer.
Ondertussen zijn er al delen van documenten vrijgegeven en nu zou bijna de volledige collectie gratis op een hackingforum staan. De echtheid van enkele gegevens is ondertussen door verschillende personen bevestigd, al zouden er ook veel fouten in de data te staan.
Het gaat om twee tekstbestanden van samen zo’n 277 GB, met 2,7 miljard lijnen plaintext. De kans is groot dat zowat iedereen die in de Verenigde Staten woont of woonde, in de gelekte data voorkomt. Gezien daar ook soms telefoonnummer en mailadressen bij staan, is de kans op phishing- en andere aanvallen daar wel erg groot.
Alles bij de bron; Datanews
Telecomgigant AT&T heeft de telefoongegevens van 'bijna alle' klanten gelekt, zo laat het in een melding aan de Amerikaanse beurswaakhond SEC weten.
Het gaat om telefoonnummers, gespreks- en sms-gegevens en locatiegerelateerde data die door criminelen uit de Snowflake-omgeving van het bedrijf zijn gestolen, aldus het bedrijf. Naast gegevens van AT&T-klanten gaat het ook om data van andere telecomproviders die van het netwerk van AT&T gebruikmaken.
AT&T stelt dat de gestolen data niet de inhoud van gesprekken of sms-berichten bevat, maar wel gegevens hierover, zoals welke telefoonnummers contact met elkaar hadden. Het betreft data over een periode van zes maanden, van 1 mei 2022 tot en met 31 oktober 2022. Een deel van de gestolen data zijn 'cell site identification' nummers, die gelinkt zijn aan telefoongesprekken en sms-berichten.
In totaal zal AT&T 110 miljoen klanten over dit nieuwe datalek waarschuwen, dat het op 19 april ontdekte. Eerder dit jaar waarschuwde AT&T ook al voor een ander datalek, waarbij het de gegevens van ruim 51 miljoen voormalige en huidige klanten had gelekt.
Alles bij de bron; Security
De schoolboekenleverancier Iddink meldt dat er een mogelijk datalek heeft plaatsgevonden. In april van dit jaar werd Iddink ook al slachtoffer van een ransomwareaanval.
De schoolbesturenorganisatie Sivon meldt dat een inloglink voor het inleveren van schoolboeken bij Iddink 'eenvoudig aan te passen' was. Hierdoor kon een kwaadwillende in theorie toegang verkrijgen tot informatie van leerlingen, waaronder namen, straatnamen, postcodes, woonplaatsen en informatie over de school en schoolboeken van de persoon.
Meerdere ouders van kinderen hebben de kwetsbaarheid opgemerkt en dit bij Sivon gemeld. Iddink meldde desondanks het datalek bij de Autoriteit Persoonsgegevens, wat verplicht is.
Volgens het bedrijf is er een overlap tussen de gegevens die bij het betreffende datalek toegankelijk waren en de gegevens die bij de cyberaanval van april dit jaar werden buitgemaakt. In dat laatste geval ging het daarnaast ook om bankgegevens. Iddink levert naar eigen zeggen lesmateriaal aan 300.000 middelbareschoolleerlingen in Nederland en 120.000 scholieren in België
Alles bij de bron; Tweakers
Een bedrijf dat identiteiten verifieert van TikTok-, Uber- en X-gebruikers, heeft identiteitsdocumenten gelekt die door gebruikers waren geüpload. De gegevens waren zeker een jaar toegankelijk.
Het gaat om het Israëlische bedrijf AU10TIX, dat niet alleen identiteiten verifieert, maar ook aan leeftijdsverificatie doet. Een beveiligingsonderzoeker ontdekte dat de inloggegevens voor een loggingplatform van het bedrijf online stonden.
Op dat platform staan links naar data gerelateerd aan specifieke mensen die hun identiteitsdocumenten hadden geüpload. Onbevoegden kunnen daar namen, geboortedata, nationaliteiten en identificatienummers inzien. Daarnaast was zichtbaar wat voor soort document was geüpload, zoals een rijbewijs of ID-kaart. Ook bevat het platform een link naar een afbeelding van het document zelf en het resultaat van het verificatieproces.
AU10TIX bevestigt dat er een incident is geweest waarbij iemand in het account van een werknemer is gekomen. Dat incident speelde zich anderhalf jaar geleden af, waarop de inloggegevens werden ingetrokken. De beveiligingsonderzoeker zegt echter dat de inloggegevens een maand geleden nog werkten. AU10TIX zegt daarop dat het systeem in kwestie wordt uitgefaseerd.
Alles bij de bron; Tweakers
De Zweedse online bank Avanza heeft wegens een datalek door een verkeerd ingestelde Meta-pixel op de eigen website en binnen de eigen app een AVG-boete van omgerekend 1,3 miljoen euro gekregen.
Via de pixel werden allerlei gevoelige financiële gegevens van een miljoen Avanza-klanten naar Meta doorgestuurd, aldus de Zweedse privacytoezichthouder IMY.
De bank meldde zelf aan de toezichthouder dat door een verkeerde instelling van de Meta-pixel tussen 15 november 2019 en 2 juni 2021 gegevens van een miljoen klanten onbedoeld naar Meta gingen. Het datalek werd veroorzaakt doordat de bank een aantal 'subfuncties' van de Meta-pixel per ongeluk inschakelde, aldus de Zweedse privacytoezichthouder.
De bank zegt dat het na ontdekking van het datalek de pixel heeft uitgeschakeld en dat Meta heeft bevestigd dat de verzamelde persoonlijke data is vernietigd.
Alles bij de bron; Security
Eén van de grootste datalekken in de Australische geschiedenis is ontstaan doordat criminelen het gesynchroniseerde wachtwoord van een helpdeskmedewerker wisten te stelen, nadat zijn persoonlijke computer met malware besmet was geraakt. Bij de Australische zorgverzekeraar Medibank wist een ransomwaregroep de gegevens van 9,7 miljoen klanten buit te maken en publiceerde die vervolgens nadat het bedrijf had aangegeven geen losgeld te betalen.
Zo werden allerlei medische dossiers gepubliceerd. Daarin stond onder andere dat mensen waren gediagnosticeerd of behandeld voor alcoholmisbruik, drugsverslaving en hiv-status. Ook werden dossiers online gezet met informatie over psychische klachten, alsmede andere aandoeningen, zoals hartklachten, diabetes, astma, kanker en dementie. Tevens werden dossiers openbaar gemaakt van vrouwen die een abortus hadden laten plegen.
Alles bij de bron; Security
De gemeente Amsterdam heeft een geheime namenlijst gelekt met daarop 22 personen die in de radicaliseringsaanpak zaten. Volgens het Parool worden namen van personen op deze lijst meestal angstvallig geheim gehouden en gelden als uiterst privacygevoelig.
De gemeente Amsterdam deelde de lijst onbedoeld met activist Frank van der Linde, die zelf ook in de radicaliseringsaanpak zat. Van der Linde deed een inzageverzoek bij de gemeente om informatie te verstrekken die de gemeente over hem heeft.
Tussen de gegevens die de gemeente aan Van der Linde verstrekte stond ook een namenlijst met adressen, geboortedata en bsn-nummers, plus een summiere melding van de redenen waarom de 22 Amsterdammers zijn uitgestroomd uit de radicaliseringsaanpak. De gemeente heeft het datalek tegenover Het Parool bevestigd en melding gedaan bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Security
De Britse en Canadese privacytoezichthouders zijn een gezamenlijk onderzoek gestart naar dna-testbedrijf 23andMe, dat vorig jaar de gevoelige gegevens van miljoenen gebruikers lekte.
Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf heeft wereldwijd miljoenen gebruikers, waaronder in Nederland.
Ze biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.
Vorig jaar wisten aanvallers op de accounts van veertienduizend gebruikers in te breken. Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature.
Tevens werden ook gezondheidsrapporten over gebruikers buitgemaakt, die waren gebaseerd op het verwerken van hun genetische informatie. Het gaat onder andere om rapporten over erfelijke aandoeningen. Tevens hebben de aanvallers 'raw genotype data' in handen kregen, alsmede woonplaats, postcode en geboortejaar als gebruikers die zelf hadden gedeeld.
De twee privacytoezichthouders gaan nu de omvang van de gelekte informatie onderzoeken en of het bedrijf getroffen gebruikers en de twee toezichthouders voldoende heeft ingelicht, zoals het onder de privacywetgeving verplicht is.
Alles bij de bron; Security