Databeveiliging & Dataverlies

Privégegevens van Nederlanders die in twee coronasystemen van de GGD staan, worden illegaal verhandeld. Het gaat onder meer om burgerservicenummers. De politie heeft twee verdachten gearresteerd.

Uit onderzoek van RTL Nieuws blijkt dat privégegevens uit twee GGD-systemen te koop zijn via chatdiensten als Telegram, Snapchat en Wickr. Afnemers ontvangen adresgegevens, het e-mailadres, telefoonnummer en burgerservicenummer. Er zijn ook accounts die grote datasets aanbieden, met daarin gegevens van tienduizenden Nederlanders. 

De persoonsgegevens komen uit CoronIT en HPzone Light. Eerstgenoemde is een registratiesysteem voor coronatesten waar zo'n 26.000 GGD'ers en callcentermedewerkers van testlijnen toegang toe hebben. Het tweede systeem wordt gebruikt voor het bron- en contactonderzoek van de GGD. In HPzone Light staan de gegevens van met het coronavirus besmette Nederlanders.

De GGD wist niet van de handel in persoonsgegevens uit zijn systemen. De Autoriteit Persoonsgegevens spreekt van een mogelijk ernstig datalek en eist opheldering van de GGD.

Alles bij de bron; Tweakers


 

Bij een aanval op datingsite MeetMindful zijn de privégegevens van ruim 2,2 miljoen gebruikers gestolen en vervolgens op internet gelekt. Het gaat om namen, e-mailadressen, woonplaats, lichaamskenmerken, datingvoorkeuren, burgerlijke staat, geboortedatum, ip-adres, via bcrypt gehasht wachtwoord en Facebookgebruikersnaam en -authenticatietokens, meldt ZDnet.

Berichten, foto's, bekeken profielen of andere persoonlijke informatie met betrekking tot matches zijn niet in handen van de gebruiker gekomen.

Volgens MeetMindful maakte de aanvaller misbruik van een kwetsbaarheid om de gebruikersgegevens, die zo'n zes maanden oud zijn, te stelen. Om wat voor beveiligingslek het precies gaat laat de datingsite niet weten, maar het probleem is inmiddels verholpen. Alle gedupeerde gebruikers zijn door de datingsite ingelicht. 

Alles bij de bron; Security


 

De gegevens van aanhangers van de Nederlandse organisatie Viruswaarheid waren te achterhalen door de URL van een petitie te veranderen. 

Het gaat om zeker zestienduizend formulieren, meldt de Volkskrant. Viruswaarheid bevestigt het lek en gaat een melding doen bij de Autoriteit Persoonsgegevens. Kwaadwillenden konden bij onder meer de voor- en achternaam en e-mailadres van ondertekenaars van de petitie door de URL te wijzigen. Zo waren de gegevens van andere ondertekenaars in te zien.

Volgens Viruswaarheid ontstond het lek mogelijk na het herstellen van de website na een ddos-aanval van eerder deze maand. Bewijs of uitleg daarvoor geeft de organisatie niet. De petitie is anoniem te ondertekenen, maar ook de gegevens van die mensen waren daardoor opvraagbaar. Inmiddels is het lek gedicht en zijn de gegevens niet meer in te zien. Het is onbekend of kwaadwillenden de gegevens van de ondertekenaars hebben achterhaald.

Bron; Tweakers


 

Meer dan honderdduizend gegevens van medewerkers van de United Nations Environmental Programme (UNEP) waren toegankelijk voor onbevoegden. 

Het datalek is ontdekt door ethische hackers van de onderzoeksgroep Sakura Samurai. De onderzoekers melden naar aanleiding van het Vulnerability Disclosure-programma van de VN gericht op zoek te zijn gegaan naar kwetsbaarheden in de systemen van de organisaties. En niet zonder resultaat. De onderzoekers identificeerde een endpoint dat inloggegevens voor Git lekte. Met deze inloggegevens wisten zij toegang te krijgen tot Git-respositories van de VN.

In de repositories is een grote hoeveelheid gegevens over VN-medewerkers aangetroffen. Het gaat onder meer om ruim 102.000 reisgegevens, met onder meer identificatienummers, namen en reisbestemming van werknemers. Ook zijn ruim 7.000 HR-gegevens van VN-medewerkers aangetroffen, waaronder namen, identificatienummers, nationaliteiten, geslacht en salarisgegevens. Ook meer dan 4.000 gegevens over projecten van de VN en de financiering hiervan zijn uitgelekt, evenals evaluatierapporten van 283 projecten.

Een uitgebreide analyse van het datalek is hier beschikbaar.

Bron; DutchITChannel


 

Amerikaanse veiligheidsdiensten onderzoeken of via het Russische softwarebedrijf JetBrains, met ook een r&d-vestiging in Amsterdam, de loper is uitgerold voor de SolarWinds-kraak. 

Onderzocht wordt nu of hackers bij JetBrains zijn binnengedrongen en langs die weg achterdeuren konden plaatsen bij andere tech-bedrijven. JetBrains levert software-tools aan ontwikkelaars bij circa 300.000 bedrijven. Een daarvan is SolarWinds, wiens monitoring-software de hackers inzetten om vervolgens binnen te dringen bij tal van Amerikaanse overheidsinstellingen.

De veiligheidsdiensten denken dat er wat mis is met TeamCity, een tool die ontwikkelaars helpt software-code te testen en uit te wisselen voordat de release plaatsvindt. Mogelijk zit er een kwetsbaarheid in deze veelgebruikte tool. Ook wordt gekeken of de aanvallers via gestolen wachtwoorden of op andere manieren zich via TeamCity een weg hebben kunnen banen naar de gekraakte netwerken.

Volgens The New York Times kent TeamCity grote aantallen gebruikers. Als inderdaad blijkt dat TeamCity is gehackt dan kan dat verstrekkende gevolgen hebben. Developers van onder meer Google, NASA, Netflix, HP, VMware, Samsung en Volkswagen gebruiken graag tools van JetBrains. 

Alles bij de bron; Computable


 

Gemeenten, jeugdhulp en samenwerkingsverbanden moeten persoonsgegevens van leerlingen die zij ondersteunen op correcte wijze met elkaar kunnen delen. Met het Modelconvenant Privacy kunnen vanaf nu heldere afspraken gemaakt worden over samenwerking en persoonsgegevensuitwisseling. 

Het convenant is ontwikkeld door Het Steunpunt Passend Onderwijs, in samenwerking met het Nederlands Jeugdinstituut, de Onderwijsraden, Kennisnet, NVO/NIP, Ingrado, VNG, OCW, VWS en Ouders en Onderwijs.

Het Modelconvenant Privacy biedt een basis voor alle partijen om effectief samen te werken en daarin zorgvuldig en met oog voor privacy te kunnen handelen. Zo kan in het convenant vastgelegd worden hoe gedeelde informatie wordt geregistreerd en welke veilige communicatiekanalen gebruikt kunnen worden.

Alles bij de bron; Nationale Onderwijs Gids


 

De Belgische Federale Overheidsdienst Financiën heeft het UBO-register offline gehaald na een mogelijke kwetsbaarheid. In het register staan gegevens van vennootschappen en andere organisaties, maar het bleek mogelijk er rijksregisternummers van Belgen uit te achterhalen.

Het gaat om het register van Ultimate Beneficial Owners, een databank met iedereen die bij vennootschappen of stichtingen is betrokken. De Belg Koen van den Wijngaert ontdekte dat hij via een tool om het register te raadplegen, gevoelige informatie over landgenoten kon vinden. Via de tool kunnen gebruikers met de voor- en achternaam en geboortedatum iemand opzoeken in het register. Daarbij wordt echter het rijksregisternummer gebruikt als een unieke identifier. Dat is de Belgische tegenhanger van het burgerservicenummer.

De FOD Financiën heeft de tool inmiddels uit voorzorg offline gehaald. "Er is een probleem met een van de toepassingen van de FOD, namelijk die voor de aanleg van een UBO-register. De toepassing is intussen niet meer toegankelijk. We lossen het probleem op", zegt een woordvoerder. Het UBO-register bestaat sinds oktober 2018. Volgens van den Wijngaert zit het lek daar waarschijnlijk al sinds die tijd in.

UBO register België

Alles bij de bron; Tweakers


 

Persoonsgegevens van 4,1 miljoen mensen die nu of in het verleden klant waren bij UWV, zijn simpel op te vragen door duizenden ambtenaren. Alle informatie over uw uitkering, de begeleiding die u heeft gehad - maar ook uw naam, adres, bsn, nationaliteit en geboortedatum - zijn niet netjes opgeborgen door het UWV. De problemen bij UWV zijn jaren geleden al door meerdere instanties, waaronder de Autoriteit Persoonsgegevens, gemeld.

Van ruim 3,1 miljoen voormalige klanten van UWV én de huidige 1 miljoen uitkeringsgerechtigden zijn persoonsgegevens in te zien door veel medewerkers van het UWV en door de gemeentelijke ambtenaren van de sociale dienst. Een ambtenaar uit Doetinchem kan dus op zijn werkcomputer zo zien welke Hagenaren een WIA-uitkering ontvangen of ontvingen. En kan die informatie eenvoudig downloaden. 

Het IT-systeem bij UWV dat klantgegevens bewaart, voldoet aan ‘geen van de beginselen uit de AVG’, meldt KPMG dat op verzoek van het UWV onderzoek deed naar haar IT-systeem, genaamd Sonar. Dat zoveel werknemers van de uitkeringsorganisatie en van gemeenten in Sonar kunnen, moet onmiddellijk stoppen, melden de onderzoekers.

 ‘De privacy van betrokkenen wordt momenteel buitensporig geschaad’, schrijven ze. IT-deskundige René Jan Veldwijk: “Het interesseert ze niet bij UWV. Ook omdat ingrijpen als een groter risico wordt gezien. Als er dan iets fout gaat, kunnen drieduizend mensen die dagelijks gebruik maken van Sonar hun werk niet doen. Dat willen ze te allen tijde voorkomen.” 

Alles bij de bron; Trouw


 

Mozilla heeft relaydienst Firefox Relay officieel gelanceerd. Daarmee kunnen gebruikers een e-mailalias genereren om zich bijvoorbeeld op websites te registreren. Dit moet voorkomen dat e-mailadressen van gebruikers in handen van spammers, trackers en dubieuze websites komen. 

Gebruikers maken via Firefox Relay een alias aan. E-mails worden via de aangemaakte alias naar het echte e-mailadres van de gebruiker doorgestuurd. "De meeste mensen hebben maar één of twee e-mailadressen, waar tientallen of honderden online accounts aan zijn gekoppeld. Je e-mailadres is een unieke identifier, aangezien je de enige bent die het heeft. En dat houdt in dat er zeer veel data aan is gekoppeld, wat je e-mailadres een aantrekkelijk doelwit maakt", liet Mozilla bij de aankondiging weten. Door een e-mailalias te verstrekken moet worden voorkomen dat het echte e-mailadres op spamlijsten belandt of in handen van dubieuze bedrijven komt. 

Gebruikers kunnen op dit moment vijf aliassen aanmaken. Per alias kan worden ingesteld of e-mails naar het echte e-mailadres van de gebruiker moeten worden doorgestuurd of dat Mozilla ze moet blokkeren. Firefox Relay is alleen toegankelijk voor gebruikers die over een Firefox Account beschikken. Mozilla zal later met betaalde opties voor de dienst komen, zodat er meer aliassen zijn aan te maken.

Alles bij de bron; Security


 

De meldingsapp Verbeter de buurt was lange tijd zo lek als een mandje. Door een datalek lagen privégegevens van duizenden gebruikers jarenlang op straat, zowel van geregistreerde als anonieme gebruikers. De ontwikkelaar heeft de problemen inmiddels verholpen en melding gedaan bij de Autoriteit Persoonsgegevens.

Een groot aantal gemeenten in ons land maakt gebruik van de app Verbeter de buurt. Het is een laagdrempelige manier om wantoestanden kenbaar te maken. Ook is het een handige manier om te inventariseren wat er zoal speelt in de buurt en gemeente.

Iedere melding die via de Verbeter de buurt-app wordt ingediend, is zichtbaar voor iedereen. Wie niet wil dat zijn naam in beeld verschijnt, is er de mogelijkheid om een anoniem account aan te maken. 

Zo anoniem zijn deze personen echter niet. Ethische hacker Jan van Kampen, die tevens kunstenaar is, zag dat iemand had geklaagd over een kunstproject van hem. Deze persoon deed dat anoniem. Van Kampen wilde graag weten wie deze persoon was en ging op onderzoek uit. Via een proxy zag hij dat de API waar de app gebruik van maakt bij elke melding de owner_email meestuurt. Aangezien veel mensen hun voornaam of voorletters met achternaam gebruiken, is het kinderlijk te achterhalen wie degene is die achter het e-mailadres schuilgaat. Zeker als het om iemand gaat die in een kleine gemeente woont, waar iedereen elkaar kent.

Van Kampen probeerde contact te leggen met de ontwikkelaar, maar dat was makkelijker gezegd dan gedaan. Er was geen responsible disclosure, waar ethische hackers problemen kunnen voorleggen aan de ontwikkelaar. Vervolgens belde bij verschillende malen met het telefoonnummer van de ontwikkelaar, maar er werd niet opgenomen. Tot slot vulde hij het contactformulier in, maar ook daar werd niet op gereageerd. Als ultieme poging besloot hij om contact op te nemen met de gemeente. Toen ging het balletje rollen en belde de ontwikkelaar naar Van Kampen. Die rolde een patch uit, waardoor e-mailadressen niet langer werden verstuurd naar de API. Tevens meldde hij het lek bij de Autoriteit Persoonsgegevens.

Alles bij de bron; VPN-gids


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha