Databeveiliging & Dataverlies

KPN komt op korte termijn met een beveiligingsupdate voor een kwetsbaarheid in de ExperiaBox V10A en de VGV7519-router, zo laat de telecomprovider weten. 

Om misbruik van het beveiligingslek te kunnen maken moet een aanvaller toegang tot de webinterface hebben. In het geval van de ExperiaBox V10A en VGV7519 van KPN is dit alleen mogelijk via de LAN-kant, aldus een woordvoerder van het bedrijf.

"Van buitenaf kan dat alleen indien er toegang is tot de webinterface, dit is op de KPN-modems niet mogelijk. Dat neemt niet weg dat we deze kwetsbaarheid snel willen herstellen. We zijn met de leverancier in gesprek over een oplossing. Die oplossing ligt er al en we zullen deze in de eerstvolgende software-update meenemen", zo laat de woordvoerder verder weten. De update zal op zeer korte termijn worden uitgerold.

Alles bij de bron; Security


 

Een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, maakt het mogelijk om de authenticatie te omzeilen en zo allerlei aanpassingen aan het netwerkapparaat door te voeren. Dat melden securitybedrijf Tenable en het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

De software van Arcadyan wordt niet alleen door het bedrijf zelf gebruikt, maar ook door andere partijen. In het geval van KPN is de kwetsbaarheid bevestigd in de ExperiaBox V10A (Arcadyan VRV9517) versie 5.00.48 build 453 en de KPN VGV7519 versie 3.01.116.

Een path traversal-kwetsbaarheid in de webinterface van de apparaten maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en toegang te krijgen tot onderdelen die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen, zo meldt het CERT/CC.

De instantie adviseert gebruikers om de laatste firmware-update te installeren als die beschikbaar is. In het geval van telecomproviders houden die vaak de modems van hun klanten up-to-date. Het is nog niet bekend of KPN een update voor de kwetsbaarheid heeft uitgerold.

Alles bij de bron; Security


 

Een onbeveiligde database van coronatestbedrijf Testcoronanu maakte het mogelijk om valse toegangsbewijzen aan te maken waarmee er toegang tot locaties kon worden gekregen en gereisd. Dat meldt RTL Nieuws op basis van eigen onderzoek. 

Verder bevatte de database van Testcoronanu de gegevens van ruim 60.000 mensen die een coronatest bij het bedrijf hadden laten doen. Het gaat om volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn's), paspoortnummers en medische gegevens zoals een positieve of negatieve test. Van honderden mensen was een positieve coronatest in het systeem te vinden. Testcoronanu verwijderde bsn's een aantal dagen na de test. Daardoor is niet van alle mensen het bsn gelekt.

Na te zijn ingelicht door RTL Nieuws heeft Testcoronanu de eigen website offline gehaald om de kwetsbaarheid te verhelpen en zijn alle locaties sinds vandaag gesloten. Het ministerie van Volksgezondheid heeft het testbedrijf afgesloten van zijn systemen, zodat het geen testen of toegangsbewijzen meer kan uitgeven. 

Alles bij de bron; Security


 

Persoonsgegevens van circa 65.000 overheidsmedewerkers, die hoofdzakelijk werken bij het ministerie van Justitie en Veiligheid, zijn door een datalek op plekken terechtgekomen waar zij niet horen. Dat meldt verantwoordelijk minister Ferdinand Grapperhaus.

De fout ligt volgens Grapperhaus bij een externe medewerker die bij het ministerie kwaliteitscontroles uitvoerde op toegangsdiensten, zoals de Rijkspas waarmee medewerkers het gebouw in en uit kunnen. Hij kopieerde tegen de regels in software naar een 'eigen werkomgeving' en vervolgens naar twee andere overheidsdiensten waarvoor hij werkte. Daarbij werden ook de daaraan gekoppelde data gekopieerd.

Bron; BNR


 

De optie voor eigenaren van een Ring-deurbelcamera om end-to-end encryptie in te schakelen is nu wereldwijd beschikbaar. Door de end-to-end encryptie zijn de beelden alleen te ontsleutelen door middel van een sleutel die zich bevindt op de telefoon van de gebruiker. De encryptiefeature is via de Ring-app in en uit te schakelen.

Op dit moment worden de beelden op de servers van Amazon bewaard, waarbij ze toegankelijk zijn voor Ring-medewerkers, opsporingsdiensten en aanvallers die toegang tot het account van gebruikers weten te krijgen.

Naast de wereldwijde uitrol van end-to-end encryptie kunnen Ring-gebruikers voor tweefactorauthenticatie voortaan ook een authenticator-app gebruiken. Ring ondersteunde al tweefactorauthenticatie via sms. Verder wordt er een captcha aan de Ring-app toegevoegd om geautomatiseerde inlogpogingen door aanvallers te voorkomen.

Alles bij de bron; Security


 

Het UWV heeft een boete gekregen van de Autoriteit Persoonsgegevens. Het UWV moet 450.000 betalen voor het slecht beveiligen van een berichtenomgeving. Door de slechte beveiliging lekten gegevens van bijna 15.000 werkzoekenden uit, waaronder bsn's en medische gegevens.

Het probleem zat in het systeem Mijn Werk dat sinds 2007 wordt gebruikt door burgers die werk zoeken via werk.nl, de website van het Uitvoeringsinstituut Werknemersverzekeringen. 

In het boetebesluit schrijft de AP dat het onderzoek deed naar negen van die datalekken die tussen 1 januari 2016 en september 2018 hebben plaatsgevonden. In alle negen gevallen ging het om hetzelfde soort lek: bij het versturen van een groepsbericht kwam een Excel-bestand met een export van gegevens van geadresseerden per ongeluk terecht in de Mijn Werkmap van individuele gebruikers. Die konden daardoor de gegevens van andere werkzoekenden inzien.

Bij de negen keren dat dat gebeurde werden telkens andere gegevens gelekt, stelt de AP. Soms ging het om NAW-gegevens, maar in andere gevallen ook om burgerservicenummers, momenten dat betrokkenen zich hadden ingeschreven bij het UWV en ook beschrijvingen van psychische en lichamelijke ziektes waardoor mensen niet konden werken. Daarnaast lekten persoonsgegevens zoals vorige beroepen, beroepsgroepen of opleidingsniveau's uit.

De Autoriteit Persoonsgegevens hekelt vooral het feit dat het UWV geen passende beveiligingsmaatregelen had genomen om de lekken te voorkomen. Pas na het achtste datalek, in augustus 2018, besloot het UWV over te gaan op technische maatregelen zoals het blokkeren van spreadsheets bij groepsberichten. "Deze technische maatregel is in december 2018, dus ver na het negende datalek, door UWV ingevoerd", schrijft de AP.

De AP geeft een boete uit de tweede categorie van zijn eigen boetebeleidsregels, waarvan het maximumbedrag 245.400 euro is. Maar de AP zegt dat het 'op grond van de mate en ernst van de overtreding het basisbedrag te verhogen naar 450.000 euro'.

Alles bij de bron; Tweakers


 

In navolging van verschillende andere Europese landen maakt ook de Nederlandse overheid gebruik van datalekzoekmachine Have I Been Pwned (HIBP) om te monitoren of e-mailadressen van overheidsdiensten in bekende datalekken voorkomen. 

Have I Been Pwned is een zoekmachine waarmee gebruikers in een database met bijna 11,4 miljard gestolen e-mailadressen kunnen kijken of hun data ooit bij een website is gestolen. De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt.

Daarnaast is het voor domeineigenaren mogelijk om via een API binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken. Voor overheidsinstanties is deze dienst kosteloos. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid gaat de API nu ook gebruiken. Inmiddels zijn er 24 landen op Have I Been Pwned aangesloten. 

Allesbij de bron; Security


 

Uit onderzoek van Capterra onder bijna 1.000 Nederlanders die het afgelopen jaar een (online) afspraak met een arts hadden blijkt dat bijna 70% er niet volledig op vertrouwt dat zorginstellingen veilig omgaan met hun patiëntinformatie. 15% heeft zelfs weinig tot geen vertrouwen. Slecht 17% van de ondervraagde Nederlanders vindt dat de privacy van patiëntgegevens momenteel goed is geregeld in de zorg.

De meeste ondervraagden zeggen zich bewust te zijn welke gegevens ze delen met hun arts via digitale toepassingen. Bijna een kwart maakt zich zorgen hoe deze persoonsgegevens via de digitale toepassingen wordt verwerkt. Hoewel Nederlanders zich zorgen maken over de privacy van gezondheidsapps, gebruikt een derde deze apps. De populairste apps zijn de apps die stappen tellen (59%), slaap meten (36%), hartslag monitoren (30%) en CoronaMelder (30%).

Dat de zorgen over de beveiliging van gezondheidsinformatie niet helemaal onterecht zijn blijkt uit onderzoek van The Internet Cleanup Foundation, een Nederlandse stichting die onderzoek doet naar de basisbeveiliging van websites en e-mailservers. De Volkskrant schrijft hierover. 

Alles bij de bron; AGConnect


 

Western Digital zegt dat de hackers achter de kwaadaardige software in My Book Live- en Live Duo-harde schijven, waardoor gebruikers van de schijven massaal hun data kwijtraakten bij het aansluiten op internet, een zeroday gebruikten en geen bug uit 2018.

In eerste instantie werd gedacht dat er gebruik werd gemaakt van een kwetsbaarheid die sinds 2018 bekend was. In een update op hun website schrijft Western Digital dat uit nader onderzoek blijkt dat het gaat om een zeroday, een niet eerder ontdekte kwetsbaarheid die al in 2011 werd geïntroduceerd aan My Book Live als onderdeel van een refactor van de authentificatielogica in de firmware van de harde schijf. De kwetsbaarheid maakte het mogelijk om op afstand code uit te voeren via een administrator api, waardoor zonder inlog een factory reset kan worden ingesteld. 

Volgens securitybedrijf Censys zijn ruim 51.000 My Book Live-apparaten die via internet toegankelijk zijn inmiddels gecompromitteerd. Het zou ook om drieduizend apparaten in Nederland gaan. Western Digital zal vanaf begin juli slachtoffers van wie de data is gewist "data recovery services" aanbieden. Ook komt er een omruilactie zodat eigenaren van een kwetsbare My Book Live kunnen upgraden naar een nog wel ondersteund My Cloud-apparaat.

Alles bij de bronnen; Tweakers & Security


 

Een hacker heeft gegevens gewist van verschillende mensen die in het bezit zijn van een harde schijf van Western Digital, meldt Motherboard

Het gaat om de zogeheten My Book Live-harde schijven die tussen de 2 en 24 terabyte aan ruimte hebben om gegevens op op te slaan. De schijven zijn standaard verbonden met het internet. Door een cloudfunctie hebben gebruikers ook op afstand toegang tot hun gegevens.

Sommige eigenaren merkten de afgelopen week dat hun harde schijven ineens waren teruggezet naar de fabrieksinstellingen. Daarbij zijn al hun gegevens verloren gegaan.

Western Digital zegt de zaak te onderzoeken en raadt mensen aan om de betreffende harde schijven voorlopig niet meer met het internet te laten verbinden.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha