T-Mobile heeft vorige maand de gespreksgegevens van 200.000 Amerikaanse klanten gelekt. Het was het tweede datalek van 2020 waar de telecomprovider mee te maken kreeg.
Het gaat onder andere om het telefoonnummer van de klant, wie die allemaal heeft gebeld, hoe lang en wanneer. Namen, adresgegevens, e-mailadressen en financiële data zijn niet door de aanvallers ingezien.
In maart van vorig jaar waarschuwde T-Mobile ook al voor een datalek. Aanvallers wisten destijds toegang te krijgen tot verschillende mailaccounts van T-Mobile-medewerkers. Deze e-mailaccounts bleken accountgegevens van klanten en medewerkers te bevatten. Daardoor kregen de aanvallers mogelijk toegang tot namen, adresgegevens, telefoonnummers, abonnementsgegevens, klantnummers en facturatiegegevens van een niet nader genoemd aantal klanten.
Alles bij de bron; Security
De gegevens van meer dan één miljoen gebruikers van de Ledger-cryptowallet zijn openbaar gemaakt op internet. Het gaat om e-mailadressen en van bijna tienduizend gebruikers ook namen, telefoonnummers, adresgegevens en aangeschafte producten. Aanvallers wisten in juni van dit jaar toegang tot de marketingdatabase van Ledger te krijgen die de gegevens bevatte.
Volgens de fabrikant wist een aanvaller via een verkeerd geconfigureerde API-key van een derde partij, aanwezig op ledger.com, toegang tot de database te krijgen en zo contact- en bestelgegevens in te zien. Volgens Ledger zouden aanvallers er van april 2020 tot 28 juni 2020 misbruik van van hebben gemaakt. Na ontdekking van het datalek werd de betreffende API-key uitgeschakeld.
Van de gestolen e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
De Koninklijke Nederlandse Klim- en Bergsport Vereniging (NKBV) doet onderzoek naar een mogelijk datalek nadat leden doelwit van een phishingaanval zijn geworden. In de phishingmail, die van een gerechtsdeurwaarder en incassobureau afkomstig lijkt, wordt gesteld dat de ontvanger een grote openstaande schuld van ruim 9800 euro heeft.
Vervolgens wordt gedreigd met een beslaglegging van het rekeningnummer, dat ook in de e-mail vermeld staat. Om het bedrag te betalen moet het telefoonnummer naar een opgegeven e-mailadres worden gestuurd.
De NKBV heeft leden inmiddels voor het mogelijke datalek gewaarschuwd. "Het spijt ons je te moeten mededelen dat we het vermoeden hebben dat er data gelekt is van NKBV-leden. Tot nu toe hebben we enkele tientallen meldingen gehad van leden van wie naam, adres, e-mailadres en bankrekeningnummer zijn gebruikt in een phishing mailing", zo laat de vereniging in een e-mail weten.
Daarin staat ook dat het op dit moment niet bekend is om hoeveel leden het gaat en wanneer de informatie is gelekt. "Het lijkt om data te gaan van na mei 2019. We kunnen wel met zekerheid stellen dat de data niet uit ons nieuwe ledenadministratiesysteem komen waar we begin 2020 op zijn overgegaan." De NKBV heeft melding bij de Autoriteit Persoonsgegevens gedaan en ook contact opgenomen met het incassobureau. "Zij gaven aan dat ze van meerdere partijen meldingen hebben gehad en dat het erop lijkt dat er vanuit verschillende bronnen gegevens zijn gecombineerd." De gerechtsdeurwaarder waarschuwt ook op de eigen website voor de phishingmails.
Alles bij de bron; Security
De Nationale ombudsman wil dat de overheid met regels komt voor het omgaan met data op in beslag genomen voorwerpen en voertuigen. Aanleiding voor de oproep is een klacht van een vrouw van wie de auto en auto van haar man in beslag werden genomen en verkocht door Domeinen Roerende Zaken (DRZ).
In het geval van de vrouw vond de koper haar gegevens in de navigatie/boordcomputer van de auto. Het ging om haar woonadres, telefoonnummer en telefoonnummer op het werk. De vrouw klaagde bij de ombudsman dat DRZ de auto niet heeft teruggezet naar de fabrieksinstellingen voordat die werd verkocht. De koper nam na het vinden van de gegevens contact op met de vrouw.
DRZ kon na onderzoek van de ombudsman niet aangeven waarom dit niet was gedaan. "Nu niet is gebleken dat Domeinen heeft gezocht naar een oplossing voor het niet wissen van de gegevens zodat werd voorkomen dat gegevens bij een derde terecht zouden kunnen komen, heeft Domeinen het vereiste van maatwerk geschonden", aldus de ombudsman, die opmerkt dat de overheidsinstantie zich niet behoorlijk heeft gedragen. De klacht werd dan ook gegrond verklaard waarop de ombudsman nu een oproep heeft gedaan voor een regeling (pdf).
De ombudsman wil ook dat de instanties heldere afspraken maken over hoe zij burgers hierover informeren en wat burgers zelf kunnen doen om hun gegevens te beschermen. "Steeds meer voorwerpen en voertuigen slaan gegevens op. Dat neemt in de toekomst alleen maar toe. De overheid heeft niet helder hoe met die gegevens om te gaan bij inbeslagname. Dat moet snel veranderen om te voorkomen dat iemands gegevens zomaar bij een ander terecht komen", zegt Nationale ombudsman Reinier van Zutphen.
Alles bij de bron; Security
Het populaire online kinderspel Animal Jam, dat in samenwerking met National Geographic Kids werd gelanceerd, heeft de gegevens van 46 miljoen gebruikers gelekt. De gebruikersdatabase werd rond 10 oktober gestolen.
De gestolen data gaat tot tien jaar terug. Het betreft zeven miljoen e-mailadressen van ouders waar zo'n 32 miljoen gebruikersnamen aan zijn gekoppeld. Verder bevat de database via het PBKDF2-algoritme gehashte wachtwoorden. Ook gaat het bij 23,9 miljoen gebruikers om het opgegeven geslacht, was bij 14,8 miljoen gebruikers het geboortejaar vermeld en waren 5,7 miljoen accounts van de volledige geboortedatum voorzien. Ruim 12.000 ouder-accounts bevatten de volledige naam en het factuuradres. Bij meer dan 16.000 ouder-accounts gaat het alleen om de naam.
Hoewel het datalek een maand geleden plaatsvond kwam WildWorks daar pas gisteren achter toen het door onderzoekers werd gewaarschuwd. Die zagen dat de gebruikersdata op een forum werd geplaatst en informeerden vervolgens de spelontwikkelaar. Naar aanleiding van het datalek moeten alle spelers van Animal Jam hun wachtwoord wijzigen.
Alles bij de bron; Security
Een Iers ziekenhuis heeft een boete gekregen voor het lekken van patiëntgegevens. Papieren met de persoonlijke informatie van 78 patiënten werden door iemand in een milieustraat ontdekt. Het ging bij zes patiënten om bijzondere persoonsgegevens.
Volgens de Irish Examiner ging het om gevoelige gezondheidsdata, waaronder medisch verleden en toekomstige behandelingen van patiënten. Door het niet goed beveiligen en vernietigen van de papieren documenten heeft het ziekenhuis de AVG overtreden, zo stelde de Ierse privacytoezichthouder DPC. Het is de vijfde boete die de DPC heeft opgelegd voor het overtreden van de AVG sinds die in mei 2018 van kracht werd.
Alles bij de bron; Security
Vraag: De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?
Antwoord; De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Dat wil niet zeggen dat de kous daarmee af is.
De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen. Maar zonder concreet aangetoonde schade kan de werknemer niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het "dark web" te kijken of je creditcard daar opduikt, maar voor bsn's of medische dossiers is er niet echt zo'n markt.
Alles bij de bron; Security
Wederom liggen er persoonsgegevens van studenten, medewerkers en sollicitanten op straat. Ditmaal omdat een dief een niet-versleutelde laptop heeft gestolen. Het lek is gemeld bij de Autoriteit Persoonsgegevens.
Volgens Saskia Bonger, hoofdredacteur van het journalistieke platform van de universiteit, staan er op de gestolen laptop de namen en adressen van 14.000 studenten, gegevens van 1.100 medewerkers aan de TU Delft en sollicitatiebrieven van 200 sollicitanten. Deze data was opgeslagen op de harde schijf van de laptop, maar deze was echter niet versleuteld. Doordat deze beveiligingslaag ontbreekt, kunnen onbevoegden alle opgeslagen persoons- en contactgegevens bekijken.
De laptop werd op 17 september gestolen, maar is afgelopen week pas bekend gemaakt. “Het is nog afwachten of daadwerkelijk iets met de ontvreemde persoonsgegevens wordt gedaan”, zo vertelt Erik van Leeuwen, TU-functionaris gegevensbescherming aan de TU Delft.
Alles bij de bron; VPN-Gids
Het administratiesysteem van UWV waarin de persoonsgegevens van alle werkzoekenden met een uitkering in staan, kent grote problemen met de bescherming van de privacy. Van bijna een miljoen mensen zijn de naam, adres, geboortedatum, nationaliteit, opleidingsniveau, bsn en belastbaarheid te zien door heel veel UWV-medewerkers en gemeente-ambtenaren.
In totaal 16.000 mensen kunnen gebruik maken van dit landelijke klantregistratiesysteem, dat Sonar heet. Het is al langer bekend dat er problemen zijn met dit IT-systeem. Tussen 2016 en 2018 waren er verschillende datalekken bij UWV binnen Sonar, bijvoorbeeld omdat bestanden per ongeluk onder te veel mensen werden verspreid.
...Zo zijn er dus problemen met de toegang tot het systeem: veel te veel mensen kunnen erbij. Ook worden er veel meer persoonsgegevens gebruikt en verwerkt dan nodig is (oftewel er zijn problemen met dataminimalisatie). En de gegevens worden langer bewaard dan noodzakelijk (dat noemt AVG opslagbeperking). De conclusie luidt: UWV houdt zich niet aan de eisen van de privacywet.
KPMG noemt het gebrekkige systeem een risico voor voormalige, huidige en toekomstige klanten van UWV. Zo staan er ook nog veel burgers in het systeem die al lang niet meer in de bestanden zouden moeten voorkomen. Dat zou volgens de onderzoekers kunnen leiden tot boetes van de Autoriteit Persoonsgegevens, met eventuele maatschappelijke onrust als gevolg.
Alles bij de bron; Trouw
Meerdere klanten van de Nederlandse clouddienst Stack zijn een deel van hun gegevens kwijtgeraakt, omdat apparatuur bij het hostingbedrijf kapot is gegaan. Volgens de Dropbox-concurrent zijn "tientallen tot honderden klanten" de dupe van de schijfcrashes. Zij zijn een deel van hun online opgeslagen foto's, video's of andere gegevens definitief kwijt.
De problemen werden in eerste instantie veroorzaakt door een gecrashte harde schijf. Deze werd vervangen, waarna een herstelprocedure voor de gegevens werd gestart. Omdat tijdens dit proces een tweede schijf het begaf, is een deel van de data onherstelbaar geworden. Een gespecialiseerd bedrijf heeft geprobeerd de gegevens alsnog terug te krijgen, maar is daar niet in geslaagd.
Alleen klanten zonder betaald abonnement zijn hun data verloren. Voor betaalde gebruikers zijn er extra back-ups die worden teruggezet.
Alles bij de bron; NU