Databeveiliging & Dataverlies

De GGD Twente heeft een schadeclaim ontvangen als onderdeel van de miljardenclaim die is neergelegd bij de overheid na het lekken van persoonsgegevens bij de GGD. Tientallen Twentenaren werden daar de dupe van. In een zogenaamde massaclaim wordt 3,2 miljard euro geëist van de overheid.

Bij de coronacallcenters van de GGD ging het vorig jaar - op het hoogtepunt van de crisis - goed mis. Callcentermedewerkers maakten misbruik van de toegang die ze hadden tot persoonlijke gegevens van ruim 6,5 miljoen Nederlanders, die zich hadden laten testen op corona. Deze informatie is op grote schaal verkocht aan criminelen.

Van zeker 1250 mensen is bewezen dat hun vertrouwelijke gegevens zoals Burgerservicenummers en adresgegevens uit coronadossiers zijn gestolen en aan criminelen zijn verkocht. Dat aantal ligt vermoedelijk veel hoger. In Twente is van tientallen mensen bekend dat hun gegevens daar bij zaten.

De stichting ICAM eist 500 euro voor iedere Nederlander die ten tijde van de datadiefstal in de systemen stond en 1500 euro voor elke burger waarvan blijkt dat diens data verhandeld zijn. De claim loopt op tot minimaal 3,2 miljard euro. Volgens de stichting is het GGD-lek qua omvang het grootste datalek ooit in Nederland.

De staat is primair aansprakelijk gesteld, maar daarnaast zijn ook de 25 GGD’en, GGD GHOR Nederland, de 25 veiligheidsregio’s en van ieder van de 25 GGD‐regio’s de grootste gemeente aangeschreven.

Alles bij de bron; Tubantia


 

Het Duitse hostingbedrijf ZAP-Hosting heeft klanten gewaarschuwd voor een datalek waarbij hun privégegevens zijn gestolen en vervolgens op internet gepubliceerd. 

Volgens ZAP wist een aanvaller tussen 13 en 15 maart van dit jaar in te breken op de systemen en maakte daarbij zestig gigabyte aan data buit. Het ging om e-mailadressen van 747.000 klanten, alsmede ip-adressen, namen, aankopen, fysieke adresgegevens, telefoonnummers en chatlogs. De dataset was van november vorig jaar. Beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned meldt dat de data in die periode ook is gestolen.

Klanten vroegen de hostingprovider dan ook waarom het datalek pas op 15 maart werd gemeld. ZAP stelt dat de gestolen dataset van 22 november 2021 is. "De aanvaller publiceerde de dataset pas op 13/14 maart. Daarvoor was niets bij ons of het publiek bekend", aldus een verklaring van ZAP. De hostingprovider is nog steeds bezig met het onderzoek naar de datadiefstal. 

Alles bij de bron; Security


 

Microsoft MVP Rudy Ooms heeft een flink gebrek ontdekt in de ingebouwde tools voor het schoonmaken van schijven in Windows, zoals beschreven op zijn blog Call4Cloud. Als de optie om alle data te verwijderen wordt gebruikt, bijvoorbeeld om een systeem door te verkopen, blijft persoonlijke data achter. Het probleem speelt bij lokale wipes en op afstand, op Windows 10 en 11, versie 21H2.

Op de leeggemaakte schijf blijft in de meeste gevallen een map genaamd Windows.old achter, ondanks de waarschuwing vooraf dat alle persoonlijke en zakelijke data en instellingen verwijderd worden. Hierbij komt nog dat de Bitlocker-encryptie wordt uitgeschakeld, waardoor alle data onversleuteld bewaard wordt. Ditzelfde geldt voor OneDrive-bestanden waarvoor gekozen was om deze altijd lokaal te bewaren.

Alles bij de bron; HardwareInfo


 

De hack op het Internationale Rode Kruis gebeurde via een kwetsbaarheid in netwerktool ManageEngine van Zoho. Daarin zat een bug waarmee authenticatie kon worden omzeild. De kwetsbaarheid was al bekend en er was sinds 7 september ook al een patch beschikbaar, maar het Rode Kruis had die nog niet doorgevoerd. Het Internationale Rode Kruis en de Rode Halve Maan schrijven dat in een update over de hack die in januari plaatsvond.

Het Rode Kruis meldde toen dat er gegevens van zeker 515.000 kwetsbare personen waren gestolen, waaronder die van 4600 Nederlanders. De organisatie zegt nu dat de hack kon plaatsvinden door een ongepatchte kwetsbaarheid. De aanval vond plaats op 9 november vorig jaar, schrijft de organisatie. Het duurde vervolgens tot 18 januari voordat die ontdekt werd.

Opvallend is dat het Rode Kruis niet met stelligheid wil zeggen of er gegevens zijn buitgemaakt. "We moeten daarvan uitgaan", zegt de organisatie, maar ze wijst daarbij niet op bewijs uit bijvoorbeeld logs.

Alles bij de bron; Tweakers


 

Onderzoekers van CCC hebben de afgelopen weken persoonsgegevens gevonden bij 'meer dan vijftig' datalekken, schrijft de Duitse hackersgroep. Het zou gaan om datalekken bij bedrijven en overheidsinstanties. De hackers ontdekten kwetsbaarheden bij het Ministerie van Volksgezondheid, Welzijn en Sport, BMW, Deutsche Bahn, Nestlé en MediaMarktSaturn in Oostenrijk.

De CCC schrijft dat de onderzoekers toegang hadden tot meer dan 6,4 miljoen persoonsgegevens, onder meer klantgegevens van winkels, passagiersgegevens van een luchtvaartmaatschappij, patiëntgegevens, gegevens van sollicitanten, verzekeringsgegevens en informatie van sociale netwerken. Alle data die de onderzoekers vonden was afkomstig uit onbeveiligde bronnen.

De club ontdekte ook een kwetsbaarheid bij het Nederlandse Ministerie van Volksgezondheid, Welzijn en Sport. In een reactie aan Tweakers zegt een woordvoerder dat het een responsible disclosure-melding ontvangen heeft van iemand die in een van de systemen van VWS een kwetsbaarheid in de beveiliging had ontdekt. "We zijn dankbaar voor dat soort meldingen en hebben het diepgravend onderzocht. De kwetsbaarheid is inderdaad geconstateerd en vervolgens hersteld." maar het was al publiek beschikbare informatie. Daarom is er volgens de woordvoerder geen sprake van een datalek en is er als zodanig ook geen melding gedaan bij de Autoriteit Persoonsgegevens.

Alles bij de bron; Tweakers


 

Naar schatting meet ruim de helft van de Nederlanders zelf zijn gezondheid. Dit biedt ook mogelijkheden voor cybercriminelen. Zo ontdekten Kaspersky-experts meer dan dertig kwetsbaarheden in het meest gebruikte protocol voor gegevensoverdracht van wearable devices die worden gebruikt voor patiëntmonitoring op afstand.

Het aantal kwetsbaarheden groeit, want dit zijn er 10 meer dan in het jaar ervoor. Veel van deze kwetsbaarheden blijven ongepatcht. Sommige van deze kwetsbaarheden geven cybercriminelen de mogelijkheid om gegevens te onderscheppen die online vanaf het device worden verzonden.

Lees het volledige rapport over e-healthsecurity op Securelist. Het volledige rapport en details over de huidige stand van zaken in de e-healthsector zijn hier beschikbaar.

Alles bij de bron; WinMagPro


 

Het lekken van persoonlijke informatie die bij de Nederlandse politie- en defensieleverancier Abiom door een ransomwaregroep werd gestolen heeft naar verwachting een beperkte impact, zo stelt minister Yesilgöz van Justitie en Veiligheid. Vorig jaar werd het bedrijf slachtoffer van de LockBit-ransomwaregroep, waarbij de aanvallers allerlei gegevens buitmaakten en vervolgens online publiceerden. De VVD wilde onder andere van de minister weten wat de impact van het datalek was.

Ze stelt dat Abiom geen kopieën van paspoorten van politieambtenaren, verdachten, verbalisanten en benadeelden vanuit de politie heeft ontvangen. De informatie die de ransomwaregroep publiceerde betreft in het geval van de politie kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. De gegevens stonden op facturen van Abiom aan de politie.

De minister laat verder weten dat het Digital Trust Center (DTC) van de overheid Abiom om meer informatie over de aanval heeft gevraagd, maar nog geen reactie heeft ontvangen.

Alles bij de bron; Security


 

Meer dan tachtigduizend Nederlanders hebben zich inmiddels aangesloten bij de massaclaim tegen het ministerie van Volksgezondheid over het datalek bij de GGD. Dat laat stichting ICAM weten, de partij die de rechtszaak is gestart. De komende maanden kunnen mensen zich via datalek-ggd.nl aanmelden voor de claim en zich zonder kosten inschrijven. 

Vorig jaar bleek dat callcentermedewerkers van de GGD toegang hadden tot de privégegevens van ruim 6,5 miljoen Nederlanders. Deze data werd via Telegram te koop aangeboden. Uiteindelijk werden meerdere GGD-medewerkers aangehouden waarvan er verschillende al zijn veroordeeld. Volgens de stichting heeft het ministerie van Volksgezondheid een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen.

De stichting meldt op Twitter dat het inmiddels diverse meldingen heeft ontvangen die erop duiden dat er van gestolen persoonsgegevens misbruik wordt gemaakt. Het zou daarbij ook om gegevens van kinderen gaan. Binnenkort komt ICAM met een update over de massaclaim en stand van zaken.

Alles bij de bron; Security


 

Meer dan de helft (55%) van de Nederlandse consumenten vindt dat dataprivacy onmogelijk is in het digitale tijdperk waarin we nu leven. Dat blijkt uit de nieuwe Unisys Security Index™, wereldwijd het langstlopende veiligheidsonderzoek onder 11.000 consumenten, waaronder 1.000 uit Nederland. 

Zo blijkt uit het onderzoek dat zeven van de tien (73%) werknemers zich onprettig voelen bij één centrale ruimte waarin biometrische gegevens worden opgeslagen voor verificatiedoeleinden door een commerciële partij. Dit percentage is iets lager wanneer de overheid (65%) of een bank (64%)  deze gegevens in een centrale plek opslaat voor verificatiedoeleinden.

Daarnaast voelt bijna driekwart van de respondenten (73%) zich oncomfortabel bij organisaties die hun dynamisch gedrag, zoals de manier waarop ze hun toetsenbord gebruiken, inzetten voor verificatiedoeleinden. Zes van de tien werknemers (58%) voelen zich bovendien niet fijn bij het gebruik van hun vingerafdruk, iris of gezichtsherkenning voor verificatiedoeleinden van organisaties.

Jeroen Zonnenberg, Team Lead Security Consulting bij Unisys: “Uit de resultaten van de Unisys Security Index blijkt dat Nederlanders erg weinig vertrouwen hebben in dataprivacy....”

Alles bij de bron; Emerce


 

De app My2022 die deelnemers aan de Olympische Spelen van Peking verplicht zijn te gebruiken om gegevens aangaande hun gezondheid door te geven, blijkt een aantal cruciale beveiligingsproblemen te hebben. Verkeer van en naar de app waarin zaken als paspoortgegevens en medische details worden gedeeld, kan hierdoor worden onderschept.

Het Citizen Lab van de Universiteit van Toronto ontdekte dat de zogeheten SSL-certificaten in de app niet worden gevalideerd. Dat is de codering die wordt gebruikt voor beveiliging, zodat onbevoegden geen toegang hebben tot informatie terwijl deze wordt verzonden.

Daarnaast kan de encryptie van spraakaudio en bestandoverdrachten worden omzeild. Tevens blijken serverreacties te kunnen worden nagemaakt, waardoor hackers vervalste instructies aan gebruikers van My2022 kunnen versturen. Ten slotte blijken op de app gevoelige zoekwoorden als 'Tibet' en 'Xinjiang', verwijzend naar de situatie van de Oeigoeren, te kunnen worden gedetecteerd.

Mensenrechtenorganisatie Human Rights Watch spreekt inmiddels van de Orwelliaanse Spelen. Sophie Richardson, leider van het Chinese programma binnen HRW, maakt zich ernstige zorgen om de huidige gang van zaken.

Alles bij de bron; NOS


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha