Databeveiliging & Dataverlies

Apeldoorn heeft de inloggegevens van duizenden mensen gelekt die van de Stadspas gebruikmaken.

Een ethische hacker ontdekte dat het via de website mogelijk was om toegang tot een logbestand te krijgen met daarin gebruikersnamen en wachtwoorden van 4.600 personen. Het gaat om gebruikers die bij het inloggen één of meerdere keren foutieve gegevens, bijvoorbeeld een typfout in mailadres of een verkeerd wachtwoord, hadden ingevuld.

Naar aanleiding van het datalek heeft de gemeente de website van de Stadspas offline gehaald, alle getroffen personen ingelicht en melding gemaakt bij de Autoriteit Persoonsgegevens. De leverancier van de website heeft het betreffende logbestand inmiddels verwijderd. Verder is besloten om van alle gebruikers het wachtwoord te resetten.

Alles bij de bron; Security


 

...De gemeente heeft al mijn gegevens laten stelen door een ransomewaregroep en die heeft ze op het dark web gegooid, waar de bankrover ze kennelijk heeft gevonden. Mijn buren hebben er een excuusbrief van de burgemeester over gekregen zo kon ik lezen dat de burgemeester beloofde onze gegevens zorgvuldig te bewaren en dat ze op het gemeentehuis tot het uiterste gaan om die belofte iedere dag waar te maken. 

Nog maar net had ik de brief over de diefstal gelezen en het bericht van de boef beluisterd of ik kreeg opdracht van tijdschrift De Gids om een kopie van mijn paspoort toe te sturen. De overheid had erom gevraagd. Die eist persoonsgegevens van tijdschriftbestuurders opdat zij „zich niet kunnen verhullen achter juridische entiteiten om bijvoorbeeld fraude te plegen, geld wit te wassen, of terrorisme te financieren”. Hm.

Deze rare optelsom van gebeurtenissen is een schoolvoorbeeld van iets dat je een veiligheidsparadox zou kunnen noemen. Om misdaad te voorkomen, tuig je systemen op die de boel niet veilig maken maar juist onveilig op een andere manier. Je komt deze veiligheidsparadox vaker tegen, u kent het verhaal van het systeem dat door de Belastingdienst werd opgetuigd om toeslagenfraude te voorkomen. Het verschijnsel behoort misschien tot het wezen van het overheidsbeleid.

De systemen van de bureaucratie zijn goede antwoorden op lastige vragen, maar ze maken het leven niet vanzelfsprekend veilig. Het gebeurt helaas nogal eens dat „onrechtvaardigheid het systeem binnendringt”, zoals de voorzitter van de Raad voor de rechtspraak het deze week formuleerde. De veiligheidsparadox is via de rechter en wetsaanpassing te bestrijden, maar nooit helemaal uit te bannen.

...In de afgelopen jaren zijn mijn data nogal eens gelekt, gestolen en per ongeluk naar de verkeerde ontvanger opgestuurd: ik heb een stapeltje sorry-brieven in huis. „We doen er alles aan.” Nee, jullie doen er niet alles aan, anders zou je erkennen dat het probleem voortkomt uit je oplossing. Dat het ronddwalen van gegevens geen incident is, maar een uitvloeisel van het online verzamelen. Ook in de private sector wordt het lekken afgedaan als incident.  „Programmeerfout.” „Is inmiddels hersteld.”

Geef liever toe dat het geen incidenten zijn, maar kenmerken van het systeem. Het rondzingen van gegevens draagt bij aan de moderne moeilijkheid dat je niet weet welke instantie je nog kunt vertrouwen.

Alles bij de bron; NRC


 

GGD GHOR Nederland heeft via een brief 1250 mensen een schadevergoeding van 500 euro aangeboden. Het gaat om slachtoffers van het datalek bij de GGD van afgelopen zomer, waarbij persoonsgegevens door toenmalige GGD-medewerkers gestolen bleken te zijn.

De verzamelorganisatie van Nederlandse GGD'en benadrukt dat het om 1250 zorgvuldig geselecteerde personen gaat. Er zou op basis van het politieonderzoek naar de verdachten verantwoordelijk voor het datalek gekeken zijn wie er daadwerkelijk slachtoffer van de inbraken is. Dit werd op basis van screenshots gemaakt door de daders gedaan.

Volgens Stichting Initiatieven Collectieve Acties Massaschade is het gebaar van de GGD GHOR Nederland naar de 1250 slachtoffers niet voldoende. Stichting ICAM beweert dat het om maar liefst 6,5 miljoen slachtoffers gaat. 

Alles bij de bron; Tweakers


 

Op internet worden de privégegevens gedeeld van 21 miljoen gebruikers van verschillende vpn-diensten. Het gaat om namen, factuurgegevens, e-mailadressen, gebruikersnamen, landnamen, "willekeurig gegeneerde wachtwoordstrings" en abonnementsperiode, zo meldt vpnMentor. Het betreft gebruikers van vpn-providers GeckoVPN, SuperVPN en ChatVPN.

Vorig jaar kregen SuperVPN en GeckoVPN met een datalek te maken waarbij de gegevens van ruim twintig miljoen gebruikers online verschenen, maar de nu gedeelde data van de vorig jaar gelekte gegevens lijken te verschillen. 

Alles bij de bron; Security


 

Het Nederlands Woning Waarde Instituut (NWWI) heeft na een waarschuwing een groot datalek gedicht, meldt de Consumentenbond. Via het lek waren honderdduizenden taxatierapporten en miljoenen andere privédocumenten van Nederlandse consumenten te bekijken.

Een onderzoeker van de Consumentenbond wist begin maart via een gat in de beveiliging toegang te krijgen tot de broncode en logbestanden van het NWWI. Daar vond hij onder meer wachtwoorden en IP-adressen van banken en verzekeraars.

Ook kon de onderzoeker via de zoekmachine van Google talloze taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes en foto's (onder meer van gebreken aan huizen) inzien en downloaden. In enkele gevallen was het ook mogelijk om kopieën van identiteitsbewijzen te bekijken en te downloaden.

Alls bij de bron; NU


 

I-SEC zegt dat er zipbestanden van 23 gigabyte zijn gepubliceerd op het darkweb, het afgesloten deel van het internet.

In de dataset zijn onder meer persoonsgegevens uit de personeelsadministratie te vinden. De woordvoerder treedt verder niet in detail, maar zegt dat er in elk geval gegevens van huidige en voormalige medewerkers van I-SEC in staan. I-SEC heeft als luchthavenbeveiliger een groot aandeel in de beveiliging van Schiphol.

De bestanden werden in april gepubliceerd. Het lek is gemeld bij de Autoriteit Persoonsgegevens. 

Alles bij de bron; NU


 

De Nederlandse Aardolie Maatschappij (NAM) heeft onterecht gegevens van Groningse aardbevingsslachtoffers gedeeld met het ministerie van Economische Zaken. Dat meldt het Dagblad van het Noorden. De NAM verstuurde een Excel-bestand naar het ministerie met alle dossiers van inwoners uit Groningen die gebruik hadden gemaakt van de waardedalingsregeling van het bedrijf.

De NAM en het ministerie bevestigen dat er onbedoeld gegevens van inwoners door het gaswinningsbedrijf zijn verstrekt. Ambtenaren van het ministerie spreken van "nogal een datalek". Er is echter geen melding gedaan bij de Autoriteit Persoonsgegevens. Volgens de NAM is er namelijk geen echt risico voor de privacy van bewoners geweest.

Alles bij de bron; Security


 

Een datalek bij de gemeenten Emmen, Coevorden en Borger-Odoorn, wat vorig jaar juli plaatsvond en ontstond doordat criminelen toegang tot de e-mailaccounts van ambtenaren kregen, heeft ruim zevenduizend inwoners geraakt. Hoewel het datalek negen maanden geleden plaatsvond heeft het college van burgemeester en wethouders van Emmen dit nu pas in een brief aan de gemeenteraad bekendgemaakt.

...De gemeente heeft het datalek vorig jaar juli bij de Autoriteit Persoonsgegevens gemeld. Eind december oordeelde de privacytoezichthouder over de afhandeling van het incident dat niet kan worden uitgesloten dat er gegevens zijn ingezien. Daarom moet de gemeente getroffen inwoners alsnog over het datalek informeren. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld.

Alles bij de bron; Security


 

De GGD Twente heeft een schadeclaim ontvangen als onderdeel van de miljardenclaim die is neergelegd bij de overheid na het lekken van persoonsgegevens bij de GGD. Tientallen Twentenaren werden daar de dupe van. In een zogenaamde massaclaim wordt 3,2 miljard euro geëist van de overheid.

Bij de coronacallcenters van de GGD ging het vorig jaar - op het hoogtepunt van de crisis - goed mis. Callcentermedewerkers maakten misbruik van de toegang die ze hadden tot persoonlijke gegevens van ruim 6,5 miljoen Nederlanders, die zich hadden laten testen op corona. Deze informatie is op grote schaal verkocht aan criminelen.

Van zeker 1250 mensen is bewezen dat hun vertrouwelijke gegevens zoals Burgerservicenummers en adresgegevens uit coronadossiers zijn gestolen en aan criminelen zijn verkocht. Dat aantal ligt vermoedelijk veel hoger. In Twente is van tientallen mensen bekend dat hun gegevens daar bij zaten.

De stichting ICAM eist 500 euro voor iedere Nederlander die ten tijde van de datadiefstal in de systemen stond en 1500 euro voor elke burger waarvan blijkt dat diens data verhandeld zijn. De claim loopt op tot minimaal 3,2 miljard euro. Volgens de stichting is het GGD-lek qua omvang het grootste datalek ooit in Nederland.

De staat is primair aansprakelijk gesteld, maar daarnaast zijn ook de 25 GGD’en, GGD GHOR Nederland, de 25 veiligheidsregio’s en van ieder van de 25 GGD‐regio’s de grootste gemeente aangeschreven.

Alles bij de bron; Tubantia


 

Het Duitse hostingbedrijf ZAP-Hosting heeft klanten gewaarschuwd voor een datalek waarbij hun privégegevens zijn gestolen en vervolgens op internet gepubliceerd. 

Volgens ZAP wist een aanvaller tussen 13 en 15 maart van dit jaar in te breken op de systemen en maakte daarbij zestig gigabyte aan data buit. Het ging om e-mailadressen van 747.000 klanten, alsmede ip-adressen, namen, aankopen, fysieke adresgegevens, telefoonnummers en chatlogs. De dataset was van november vorig jaar. Beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned meldt dat de data in die periode ook is gestolen.

Klanten vroegen de hostingprovider dan ook waarom het datalek pas op 15 maart werd gemeld. ZAP stelt dat de gestolen dataset van 22 november 2021 is. "De aanvaller publiceerde de dataset pas op 13/14 maart. Daarvoor was niets bij ons of het publiek bekend", aldus een verklaring van ZAP. De hostingprovider is nog steeds bezig met het onderzoek naar de datadiefstal. 

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha