Databeveiliging & Dataverlies

Na de database van meer dan 500 miljoen Facebook-gebruikers die dit weekend online verscheen, is er ook eentje gevonden met 500 miljoen LinkedIn-gebruikers. Dat meldt de site CyberNews. Waarschuwingen voor de gebruikers in kwestie zijn dan ook gelijkaardig: wees alert op phishing-aanvallen.

Het gaat om een grote hoeveelheid gegevens van LinkedIn-accounts, waaronder mailadressen, telefoonnummers, links naar andere sociale media en - typisch voor LinkedIn - professionele gegevens. Er zouden geen creditcardinformatie of andere meer administratieve en financiële gegevens bij zitten.

Het bestand werd gevonden op een hackersforum, waar het te koop is aangeboden. De aanbieders zeggen dat het gegevens van 500 miljoen gebruikers bevat. Als 'sample' heeft de groep erachter 2 miljoen van deze gegevens gelekt...

...de aanbieders zeggen dat het om geschraapte data gaat. Daarbij wordt er niet zozeer ingebroken op een server, maar maken de aanvallers gebruik van ingebouwde (zeer onveilige) tools van de dienst om informatie te verzamelen en samen te brengen.

Dat is ook hoe het bestand van gelekte Facebook-gegevens is samengesteld. En een bestand als dit brengt ongeveer dezelfde gevaren met zich mee als de eerder gelekte gegevens van Facebook. 

Alles bij de bron; DutchIT-Channel


 

De afgelopen week herinnerde ons er weer eens aan dat iedereen online wél iets te verbergen heeft. Dit alles kwam in beweging door de onbedoeld openbaar gemaakte documenten van de verkenners Jorritsma en Ollongren, die de Kamer na de verkiezingen had aangesteld. Hun verslagen van gesprekken, scenario’s of voorstellen gaven een inkijkje in een doorgaans bewust vertrouwelijk gehouden proces...

...Ik hoop dat – nu de gevoeligheid van informatie zo zichtbaar is geworden – misschien ook in andere gevallen wat bewuster met gegevens zal worden omgegaan. Ik hoop ook dat de Kamer hierin de regie neemt. En dat er op het hoogste politieke niveau meer verontwaardiging komt over het feit dat informatie(systemen) in de praktijk zwaar onvoldoende beschermd worden. Er moet een oplossing komen voor de ongekende kwetsbaarheid van data van burgers in ons land...

...Onbedoeld varen hier containerschepen aan data het land uit. Informatie die elders een functie heeft – criminelen rijk maken bijvoorbeeld of buitenlandse overheden inzicht geven in onze samenleving – kan onze veiligheid of stabiliteit ondermijnen. Ook ziekenhuizen en laboratoria vormen een populair doelwit voor cyberaanvallen en digitale inbraken. Groepen of landen azen op de ingrediënten en productieprocessen van Covid-vaccins om ze zelf na te kunnen maken.

Ik kijk niet alleen uit naar een serieus debat in de Tweede Kamer over de kwetsbaarheid van data in ons land, maar vooral ook naar concrete oplossingen. Die kunnen er alleen komen als het probleem wordt gevoeld en tastbaar wordt gemaakt. Tot dan blijven datalekken duizelingwekkend en onduidelijk tegelijk, en krijgen ze te weinig politieke prioriteit.

Alles bij de bron; NRC


 

Het zorgvuldig en technisch kunnen uitwisselen van medische gegevens wordt van steeds groter belang, maar het ontbreekt zorgorganisaties op dit gebied vaak aan kennis en ervaring....

...In de praktijk merken wij dat het zorgorganisaties niet ontbreekt aan wilskracht – het medisch beroepsgeheim is onderdeel van het zorgverlener-DNA en zo oud als de hippocratische eed – maar aan kennis en ervaring over hoe het wettelijk kader zich moet manifesteren op de werkvloer.

De rechten van patiënten in relatie tot (de bescherming van) hun medische gegevens zijn vastgelegd in een complex geheel van zorg- en privacywetten, waaronder het medisch beroepsgeheim in de Wet op de geneeskundige behandelovereenkomst (“WGBO”). In aanvulling hierop zijn relevante richtsnoeren vastgesteld en geldt bijzondere wetgeving voor gegevensgebruik in het kader van medisch-wetenschappelijk onderzoek. Deze wetten zijn niet nieuw, maar de Algemene Verordening Gegevensbescherming (“AVG”) legt zorgaanbieders aanvullende verplichtingen op die in de context van voornoemde specifieke zorgwetten moeten worden vormgegeven.

In deze juridisch-technische complexiteit ligt de uitdaging voor het veld. Hoe kunnen we zorgen voor een duurzaam data- en privacy beleid in zorgorganisaties waarbij zowel de zorg als de patiënt centraal staan?....

...De eerste stap van zorgorganisaties is wat ons betreft goed te onderzoeken wat wél kan binnen het huidige wettelijke stramien en de huidige technologische oplossingen, bijvoorbeeld op het gebied van logging of authenticatie. Goed gegevensgebruik in de zorg is ten slotte een zeer belangrijke randvoorwaarde voor het verlenen van verantwoorde (digitale) zorg. Daarover kan geen discussie bestaan.

Alles bij de bron; ZorgVisie


 

Ziekenhuizen, biotechbedrijven en farmabedrijven hebben de taak gevoelige informatie te beschermen - van persoonlijke patiëntgegevens tot waardevol eigen onderzoek - van bekwame tegenstanders die gevoelige gegevens willen stelen, verkopen of afpersen van slachtofferorganisaties.

Zoals het gezegde luidt, hoeven hackers maar één keer gelijk te hebben. Een succesvolle phishing-e-mail kan een kettingreactie van ransomware veroorzaken die elk bestand dat het aanraakt, versleutelt. Een enkele insider met onbeperkte toegang tot bestandsshares kan duizenden of zelfs miljoenen documenten kopiëren, wijzigen of verwijderen.

Om een licht te werpen op gegevensbeveiliging in de life sciences-ruimte, heeft Varonis het Healthcare Data Risk Report 2021 ontwikkeld. Het bedrijf onderzocht daarbij de staat van gegevensbeveiliging - on-premise, cloud en hybride omgevingen - voor zorginstellingen, waaronder ziekenhuizen, biotech- en farmaceutische bedrijven. 

Enkele belangrijke bevindingen uit het onderzoek: Bijna 20% van alle bestanden staat open voor elke medewerker. De gemiddelde zorgorganisatie heeft 31.000 gevoelige bestanden die voor iedereen toegankelijk zijn. Gemiddeld staat meer dan 1 op de 10 gevoelige dossiers open voor iedere medewerker. 77% van de bedrijven die we hebben ondervraagd, heeft 500 of meer accounts met wachtwoorden die nooit verlopen.

Alles bij de bron; DutchIT


 

Huawei heeft jaren geleden onbeperkt toegang gehad tot klant- en facturatiegegevens van telecombedrijf Telfort. Dat blijkt uit een onderzoek van Telforts moederbedrijf KPN uit 2011.

KPN onderzocht destijds een nieuwe klant- en facturatieomgeving van Telfort, die door Huawei werd beheerd. Uit het onderzoek bleek dat Huawei regelmatig bestanden uit de klantomgeving haalde. Het is niet duidelijk hoeveel gegevens daadwerkelijk zijn opgeslagen en wat ermee is gebeurd, omdat niet werd bijgehouden wat er precies uit de systemen gekopieerd werd.

Telfort-klanten zijn er niet over ingelicht en het is niet bij de Autoriteit Persoonsgegevens gemeld. Dat was in die tijd nog niet verplicht. Het is niet bekend of er opnieuw een onderzoek wordt ingesteld. 

Alles bij de bron; NU


 

Een beveiligingsonderzoeker is door het combineren van verschillende kwetsbaarheden erin geslaagd toegang te krijgen tot het interne netwerk van Facebook. Het socialmediabedrijf heeft de problemen inmiddels verholpen en onderzoeker Alaa Abdulridha voor zijn bugmelding met een beloning van 47.300 dollar beloond.

Abdulridha had eerder al een kwetsbaarheid in een interne applicatie van Facebook gevonden waardoor hij toegang tot de applicatie en het beheerderspaneel wist te krijgen. Deze applicatie wordt binnen Facebook door de juridische afdeling gebruikt. Facebook verhielp dit probleem. Voor zijn tweede aanval richtte de onderzoeker zich opnieuw op deze applicatie.

Abdulridha rapporteerde de problemen op 9 september. Op 26 oktober vroeg het socialmediabedrijf een nieuwe melding te openen waarna er dezelfde dag mitigaties werden doorgevoerd. Op 25 februari van dit jaar kwam Facebook met een volledige oplossing en beloonde de onderzoeker voor zijn bugmelding.

Alles bij de bron; Security


 

Onderzoekers hebben in een systeem waarmee scholen de laptops van hun leerlingen kunnen besturen en monitoren verschillende kwetsbaarheden ontdekt waardoor een aanvaller op hetzelfde netwerk de machines had kunnen overnemen. Het gaat in totaal om vier beveiligingslekken in Netop Vision Pro, die vorige maand door de fabrikant zijn verholpen. 

De onderzoekers ontdekten dat al het netwerkverkeer van de software onversleuteld wordt verstuurd, waaronder Windowswachtwoorden. Het gaat om het wachtwoord dat een docent gebruikt om op de computer van een leerling in te loggen. Screenshots van de desktops van de leerlingen, die de software continu maakt, worden ook onversleuteld verstuurd naar de leraar. Iedereen op het lokale netwerk kan deze screenshots onderscheppen.

Het tweede probleem was dat de commando's die door een docent naar een computer worden verstuurd door een aanvaller zijn te onderscheppen, aan te passen en opnieuw zijn "af te spelen". Zo zou het mogelijk zijn om willekeurige applicaties te starten. De derde kwetsbaarheid maakte het mogelijk voor een aanvaller om zijn rechten te verhogen.

Via de software kunnen docenten op afstand taken op de schoolcomputers van leerlingen uitvoeren, zoals het blokkeren van websites, het installeren of uitvoeren van applicaties en het delen van documenten. Volgens de onderzoekers hoort Netop Vision Pro in de standaardconfiguratie nooit toegankelijk te zijn vanaf het internet. Door de coronapandemie worden schoolcomputers echter op allerlei netwerken aangesloten, wat het aanvalsoppervlak vergroot.

Alles bij de bron; Security


 

Een Weens bedrijf heeft via een IDOR-kwetsbaarheid de uitslagen van 136.000 coronatests gelekt. Alleen het aanpassen van een getal in de adresbalk van de browser was voldoende om naam, adresgegevens, geboortedatum, identiteitsnummer en uitslag van 136.000 coronatests te zien, afgenomen bij 80.000 mensen in Duitsland en Oostenrijk. Dat laat de Duitse hackersclub Chaos Computer Club (CCC) weten.

Het gaat hier om een Insecure direct object references (IDOR)-kwetsbaarheid. Deze beveiligingslekken doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van deze kwetsbaarheid komt die nog altijd geregeld voor. 

Tevens ontdekten de onderzoekers dat via een dashboard, dat voor elk aangemaakt account toegankelijk was, kon worden gezien wanneer erin een testcentra een coronatest was uitgevoerd en wat het resultaat was. Aan de hand hiervan kon een url worden afgeleid van een afbeelding met onder andere de foto van de teststrip waarop het resultaat stond. Op verschillende van deze foto's waren ook de namen van patiënten te zien, meldt de CCC.

Alles bij de bron; Security


 

In tientallen landen wereldwijd wordt er gebruikgemaakt van corona-apps die gebruikers waarschuwen als ze in contact zijn geweest met een besmet persoon, maar bij veel van deze apps buiten de EU is de privacy niet goed geregeld. Dat stelt securitybedrijf Symantec op basis van eigen onderzoek naar de corona-apps uit 31 landen.

Van de 31 onderzochte corona-apps hebben er 18 toegang tot apparaatgegevens die persoonlijke informatie bevatten, waardoor de identiteit van de gebruiker kan lekken. Het gaat dan om toegang tot de microfoon, kalender, adresboek, wifi-informatie en telefoonservice. Verder blijkt dat 16 van de onderzochte corona-apps gebruikersgegevens onbeveiligd versturen zodat die door aanvallers kunnen worden afgeluisterd.

Van de 18 corona-apps die toegang tot apparaatgegevens hebben komen er vier uit de Europese Economische Ruimte (EER), namelijk Hongarije, Ierland, Noorwegen en Polen. In het geval van het onbeveiligd versturen van data is dit het geval bij twee apps uit de EER, te weten Hongarije en Polen. De Nederlandse CoronaMelder-app is niet in het onderzoek van Symantec meegenomen.

Alles bij de bron; Security


 

De maatschappelijke kosten van verzwakken van versleuteling zijn hoog. Encryptie is hard nodig, vinden  en 

Digitale beveiliging is een race. Cybercriminelen en buitenlandse geheime diensten proberen voortdurend computers te hacken, geheimen te ontfutselen en data te gijzelen. Cybersecurityfirma’s, de staat en burgers die een moeilijk wachtwoord bedenken, proberen die inbraken te stoppen. Helaas liggen in deze race de beveiligers inmiddels ver achter...

...Dus wat staat de politiek te doen? Welke stappen kan de samenleving nemen om de hackers weer in te halen en de veiligheid van het internet structureel op te voeren? Encryptie aanmoedigen! Want encryptie lijkt zo ongeveer de enige beveiligingsmaatregel te zijn die werkt. Met encryptie kan iedere Nederlander zijn of haar digitale veiligheid significant versterken.

Het is onverstandig om encryptie te verzwakken. Omdat je het meest betrouwbare en breed beschikbare beveiligingsmiddel minder betrouwbaar maakt. Overheden die zelf voortdurend gehackt worden, kunnen ons niet garanderen dat alleen criminelen last zullen hebben van zwakkere encryptie. Het zal ons allemaal raken. Niet doen dus.

Alles bij de bron; NRC


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha