Databeveiliging & Dataverlies

Huawei had vanuit China ongeautoriseerde toegang tot de kern van het mobiele netwerk van KPN waardoor het telefoongesprekken kon afluisteren en in strijd met de wet inzicht in de database met afgetapte telefoonnummers had, zo claimt de Volkskrant op basis van een geheim intern rapport van KPN uit 2010. ...

... KPN maakt gebruik van de apparatuur van Huawei en overweegt in 2009 om het beheer van de apparatuur volledig uit te besteden aan Huawei. In voorbereiding op het plan laat KPN door consultancybedrijf Capgemini een risicoanalyse uitvoeren. Volgens het onderzoeksrapport is Huawei in staat om zowel binnen KPN-gebouwen als vanuit China ongeautoriseerd, ongecontroleerd en ongelimiteerd mobiele nummers van KPN af te luisteren.

Tevens weet Huawei welke nummers worden afgetapt en verschaft het bedrijf zich vanuit China ongeautoriseerd toegang tot de kern van het mobiele netwerk...

..."De conclusie van het Capgemini-rapport hield feitelijk in dat Huawei de regering of Chinese dissidenten kon afluisteren en dat niemand dat in de gaten zou hebben", aldus een anonieme bron tegenover de Volkskrant. Of en hoe vaak Huawei een gesprek meeluistert kunnen de onderzoekers niet vaststellen, aangezien dat niet wordt geregistreerd en het gebruikte programma in het Chinees is.

De bevindingen van het rapport worden volgens de Volkskrant tot geheim verklaard omdat die vergaande gevolgen voor KPN kunnen hebben. "Indien de door de onderzoekers geconstateerde gebreken publiekelijk bekend worden (...) moet rekening gehouden worden met de mogelijkheid dat overheden en het bedrijfsleven massaal overstappen op een andere provider. De business van KPN Mobiel, met uitstraling naar KPN als geheel, komt dan ernstig in gevaar", zo blijkt uit een reactie op het rapport.

KPN heeft op de eigen website een verklaring op het artikel gegeven waarin het stelt dat mede op basis van de risicoanalyse destijds is besloten om het beheer niet aan Huawei uit te besteden 

Alles bij de bron; Security


 

Omdat het de patiëntendossiers niet afdoende had beveiligd kreeg het HagaZiekenhuis in 2019 een boete van 460.000 euro van de Autoriteit Persoonsgegevens. Het ziekenhuis probeerde via de rechter kwijtschelding te krijgen. Dat is niet gelukt. Wel is de boete verlaagd tot 385.000 euro.

Volgens de Autoriteit Persoonsgegevens behoort een ziekenhuis ervoor te zorgen dat dossiers alleen toegankelijk zijn voor medewerkers die bij de behandeling van de betreffende patiënt betrokken zijn. Daarom blijven de basisboete van 310.000 euro en de eerste verhoging van 75.000 euro vanwege de ernst van de kwestie, overeind. Omdat het ziekenhuis al snel extra beveiliging heeft ingevoerd, hoeft de tweede verhoging van 75.000 euro niet betaald te worden.

Alles bij de bron; BeveilNieuws


 

De gestolen database is eind januari te koop aangeboden op een hackersforum voor een bedrag vanaf 15.000 euro, meldt RTL Nieuws, dat de gestolen data heeft ingezien en geverifieerd. De gegevens worden inmiddels al actief misbruikt om onder meer phishingberichten te sturen aan nietsvermoedende klanten van deze webwinkel.

De database bevat 2,6 miljoen unieke e-mailadressen die gekoppeld zijn aan namen, adressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Daarnaast zijn er in de te koop aangeboden databerg een miljoen gegevens te vinden van personen die via een andere webshop bij Allekabels hebben besteld. Ook zijn 109.000 IBAN-nummers van de klanten van Allekabels gestolen en verhandeld.

Allekabels laat aan RTL weten dat het sinds februari wist dat een werknemer informatie had gestolen en doorverkocht. Dat zou echter om 5000 klantgegevens gaan en die klanten zijn daarover geïnformeerd. RTL haalt nu diverse bronnen aan die stellen dat Allekabels al in augustus 2020 zou zijn gehackt én dat het bedrijf toen al op de hoogte was van de veel grotere datadiefstal.

Alles bij de bron; AGConnect


 

Na lekken bij Facebook (gegevens van 530 miljoen gebruikers) en LinkedIn (500 miljoen gebruikers) in de afgelopen weken liggen nu ook de gegevens van 1,3 miljoen gebruikers van audio-app Clubhouse op straat.

De data van Clubhouse – onder andere namen, profielfoto’s, gelinkte Instagram- en Twitteraccounts – verschenen dit weekend op een online hackerforum, zo ontdekte techwebsite Cyber News. Een datawetenschapper die zich online ‘John Tukey’ noemde, scrapete de data en publiceerde die daarna.

Voormalig Bellingcatonderzoeker Henk van Ess: „Hij zei tegen mij dat hij gewoon gebruik had gemaakt van de mogelijkheden die Clubhouse biedt aan softwareontwikkelaars om hun eigen apps aan Clubhouse te linken. De data wilde hij gewoon met de wetenschappelijke gemeenschap delen. Puur nerdy, maar wel naïef.”

Daarom ontkende Clubhouse, net als Facebook en LinkedIn, dat er sprake is van een hack; „Het gaat om publieke informatie waar iedereen toegang toe heeft.” Van Ess: „Dat is echt een heel irritante reactie, die mensen hebben geen flauw idee wat de consequenties van zo’n lek zijn.” 

Van Ess heeft de database ook zelf gedownload om er in te grasduinen. Hij wist de echte namen van 1.500 Clubhousegebruikers te linken aan anonieme twitteraccounts. Ook Jaap-Henk Hoepman, privacyonderzoeker bij de Radboud Universiteit en de Rijksuniversiteit Groningen, vindt het lek potentieel gevaarlijk: „Er zijn zoveel mensen van wie dit soort gegevens echt geheim moet blijven. Politieagenten, politici, maar ook voor mensen die gestalkt worden, is dit echt een probleem.”

De houding ten opzichte van privacy bij Clubhouse is van een andere orde dan die van Facebook en LinkedIn, zegt Hoepman. Facebook dacht met een hangslotje op de deur voldoende beveiliging te hebben”, vertelt hij, „maar de makers van Clubhouse hebben de voordeur van de snoepwinkel gewoon wagenwijd open laten staan, daar is echt geen enkele bescherming whatsoever. En het lek is nog niet dicht, ik heb de methode deze dinsdag nog gewoon kunnen herhalen.”

Alles bij de bron; NRC


 

Persoonlijke gegevens van 21 miljoen gebruikers van parkeer-app ParkMobile, zoals kentekennummer, e-mailadres, telefoonnummer en geboortedatum, worden te koop aangeboden op internet. ParkMobile meldde op 26 maart dat het te maken had gekregen met een "cybersecurity-incident" veroorzaakt door een kwetsbaarheid in een programma waar het bedrijf gebruik van maakt. 

Securitybedrijf Gemini Advisory laat aan it-journalist Brian Krebs weten dat bij ParkMobile gestolen gebruikersgegevens voor 125.000 dollar op een forum te koop worden aangeboden. Het gaat om e-mailadres, geboortedatum, telefoonnummers, kentekennummer, gesalte en met bcrypt gehashte wachtwoorden en in sommige gevallen ook postadres.

ParkMobile bevestigt tegenover Krebs dat de aanvallers accountgegevens van klanten in handen hebben gekregen, maar blijft erbij dat het niet om gevoelige gegevens gaat.

Alles bij de bron; Security


 

Na de database van meer dan 500 miljoen Facebook-gebruikers die dit weekend online verscheen, is er ook eentje gevonden met 500 miljoen LinkedIn-gebruikers. Dat meldt de site CyberNews. Waarschuwingen voor de gebruikers in kwestie zijn dan ook gelijkaardig: wees alert op phishing-aanvallen.

Het gaat om een grote hoeveelheid gegevens van LinkedIn-accounts, waaronder mailadressen, telefoonnummers, links naar andere sociale media en - typisch voor LinkedIn - professionele gegevens. Er zouden geen creditcardinformatie of andere meer administratieve en financiële gegevens bij zitten.

Het bestand werd gevonden op een hackersforum, waar het te koop is aangeboden. De aanbieders zeggen dat het gegevens van 500 miljoen gebruikers bevat. Als 'sample' heeft de groep erachter 2 miljoen van deze gegevens gelekt...

...de aanbieders zeggen dat het om geschraapte data gaat. Daarbij wordt er niet zozeer ingebroken op een server, maar maken de aanvallers gebruik van ingebouwde (zeer onveilige) tools van de dienst om informatie te verzamelen en samen te brengen.

Dat is ook hoe het bestand van gelekte Facebook-gegevens is samengesteld. En een bestand als dit brengt ongeveer dezelfde gevaren met zich mee als de eerder gelekte gegevens van Facebook. 

Alles bij de bron; DutchIT-Channel


 

De afgelopen week herinnerde ons er weer eens aan dat iedereen online wél iets te verbergen heeft. Dit alles kwam in beweging door de onbedoeld openbaar gemaakte documenten van de verkenners Jorritsma en Ollongren, die de Kamer na de verkiezingen had aangesteld. Hun verslagen van gesprekken, scenario’s of voorstellen gaven een inkijkje in een doorgaans bewust vertrouwelijk gehouden proces...

...Ik hoop dat – nu de gevoeligheid van informatie zo zichtbaar is geworden – misschien ook in andere gevallen wat bewuster met gegevens zal worden omgegaan. Ik hoop ook dat de Kamer hierin de regie neemt. En dat er op het hoogste politieke niveau meer verontwaardiging komt over het feit dat informatie(systemen) in de praktijk zwaar onvoldoende beschermd worden. Er moet een oplossing komen voor de ongekende kwetsbaarheid van data van burgers in ons land...

...Onbedoeld varen hier containerschepen aan data het land uit. Informatie die elders een functie heeft – criminelen rijk maken bijvoorbeeld of buitenlandse overheden inzicht geven in onze samenleving – kan onze veiligheid of stabiliteit ondermijnen. Ook ziekenhuizen en laboratoria vormen een populair doelwit voor cyberaanvallen en digitale inbraken. Groepen of landen azen op de ingrediënten en productieprocessen van Covid-vaccins om ze zelf na te kunnen maken.

Ik kijk niet alleen uit naar een serieus debat in de Tweede Kamer over de kwetsbaarheid van data in ons land, maar vooral ook naar concrete oplossingen. Die kunnen er alleen komen als het probleem wordt gevoeld en tastbaar wordt gemaakt. Tot dan blijven datalekken duizelingwekkend en onduidelijk tegelijk, en krijgen ze te weinig politieke prioriteit.

Alles bij de bron; NRC


 

Het zorgvuldig en technisch kunnen uitwisselen van medische gegevens wordt van steeds groter belang, maar het ontbreekt zorgorganisaties op dit gebied vaak aan kennis en ervaring....

...In de praktijk merken wij dat het zorgorganisaties niet ontbreekt aan wilskracht – het medisch beroepsgeheim is onderdeel van het zorgverlener-DNA en zo oud als de hippocratische eed – maar aan kennis en ervaring over hoe het wettelijk kader zich moet manifesteren op de werkvloer.

De rechten van patiënten in relatie tot (de bescherming van) hun medische gegevens zijn vastgelegd in een complex geheel van zorg- en privacywetten, waaronder het medisch beroepsgeheim in de Wet op de geneeskundige behandelovereenkomst (“WGBO”). In aanvulling hierop zijn relevante richtsnoeren vastgesteld en geldt bijzondere wetgeving voor gegevensgebruik in het kader van medisch-wetenschappelijk onderzoek. Deze wetten zijn niet nieuw, maar de Algemene Verordening Gegevensbescherming (“AVG”) legt zorgaanbieders aanvullende verplichtingen op die in de context van voornoemde specifieke zorgwetten moeten worden vormgegeven.

In deze juridisch-technische complexiteit ligt de uitdaging voor het veld. Hoe kunnen we zorgen voor een duurzaam data- en privacy beleid in zorgorganisaties waarbij zowel de zorg als de patiënt centraal staan?....

...De eerste stap van zorgorganisaties is wat ons betreft goed te onderzoeken wat wél kan binnen het huidige wettelijke stramien en de huidige technologische oplossingen, bijvoorbeeld op het gebied van logging of authenticatie. Goed gegevensgebruik in de zorg is ten slotte een zeer belangrijke randvoorwaarde voor het verlenen van verantwoorde (digitale) zorg. Daarover kan geen discussie bestaan.

Alles bij de bron; ZorgVisie


 

Ziekenhuizen, biotechbedrijven en farmabedrijven hebben de taak gevoelige informatie te beschermen - van persoonlijke patiëntgegevens tot waardevol eigen onderzoek - van bekwame tegenstanders die gevoelige gegevens willen stelen, verkopen of afpersen van slachtofferorganisaties.

Zoals het gezegde luidt, hoeven hackers maar één keer gelijk te hebben. Een succesvolle phishing-e-mail kan een kettingreactie van ransomware veroorzaken die elk bestand dat het aanraakt, versleutelt. Een enkele insider met onbeperkte toegang tot bestandsshares kan duizenden of zelfs miljoenen documenten kopiëren, wijzigen of verwijderen.

Om een licht te werpen op gegevensbeveiliging in de life sciences-ruimte, heeft Varonis het Healthcare Data Risk Report 2021 ontwikkeld. Het bedrijf onderzocht daarbij de staat van gegevensbeveiliging - on-premise, cloud en hybride omgevingen - voor zorginstellingen, waaronder ziekenhuizen, biotech- en farmaceutische bedrijven. 

Enkele belangrijke bevindingen uit het onderzoek: Bijna 20% van alle bestanden staat open voor elke medewerker. De gemiddelde zorgorganisatie heeft 31.000 gevoelige bestanden die voor iedereen toegankelijk zijn. Gemiddeld staat meer dan 1 op de 10 gevoelige dossiers open voor iedere medewerker. 77% van de bedrijven die we hebben ondervraagd, heeft 500 of meer accounts met wachtwoorden die nooit verlopen.

Alles bij de bron; DutchIT


 

Huawei heeft jaren geleden onbeperkt toegang gehad tot klant- en facturatiegegevens van telecombedrijf Telfort. Dat blijkt uit een onderzoek van Telforts moederbedrijf KPN uit 2011.

KPN onderzocht destijds een nieuwe klant- en facturatieomgeving van Telfort, die door Huawei werd beheerd. Uit het onderzoek bleek dat Huawei regelmatig bestanden uit de klantomgeving haalde. Het is niet duidelijk hoeveel gegevens daadwerkelijk zijn opgeslagen en wat ermee is gebeurd, omdat niet werd bijgehouden wat er precies uit de systemen gekopieerd werd.

Telfort-klanten zijn er niet over ingelicht en het is niet bij de Autoriteit Persoonsgegevens gemeld. Dat was in die tijd nog niet verplicht. Het is niet bekend of er opnieuw een onderzoek wordt ingesteld. 

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha