Databeveiliging & Dataverlies

Vorig jaar zijn de privégegevens van ruim 6,7 miljoen gebruikers van de website OpenSubtitles.org gestolen via een zwak beheerderswachtwoord. Het gaat om e-mailadressen, ip-adressen, gebruikersnamen, geografische locaties en met het MD5-algoritme gehashte wachtwoorden...

...De aanvaller eiste losgeld, anders zou hij de data openbaar maken, wat inmiddels ook is gebeurd.

Van de 6,7 miljoen toegevoegde e-mailadressen was 75 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security


 

Safari 15 kan de recente browsegeschiedenis en sommige persoonlijke informatie, zoals het Google-account van de gebruiker, lekken naar andere websites.Het gaat om een fout in IndexedDB, een onderdeel van Safari waarmee websites bepaalde data op het apparaat van de gebruiker kunnen opslaan, en later weer kunnen opvragen. Daardoor laden sites bij latere bezoeken bijvoorbeeld sneller.

Er zit een veiligheidsmaatregel in IndexedDB, waardoor sites niet van elkaar kunnen zien welke data zij in de browser hebben opgeslagen en in Safari 15 werkt die veiligheidsmaatregel niet goed. Daardoor kunnen andere sites gedeeltelijk zien welke data er door die IndexedDB zijn opgeslagen. 

De identiteit van gebruikers kan bovendien achterhaald worden als zij inloggen bij diensten van Google. De unieke Google User ID staat in de titel van de bestanden die in IndexedDB worden opgeslagen. Met die unieke Google User ID is dus de naam van de gebruiker ongemerkt te koppelen aan het browsegedrag, met allerlei malafide mogelijkheden tot gevolg.

De kwetsbaarheid werd ontdekt door online fraudebestrijder FingerprintJS.

Alles bij de bron; RTL


 

DatPiff, een online distributieplatform voor mixtapes, heeft de gegevens van 7,5 miljoen gebruikers gelekt, die nu op internet te koop worden aangeboden. Naast e-mailadressen bevat de aangeboden data ook gekraakte wachtwoordhashes, gebruikersnamen en securityvragen en antwoorden.

De wachtwoorden waren voorzien van een statische salt en gehasht via het zwakke MD5-algoritme en zijn na de diefstal gekraakt. Van de 7,5 miljoen toegevoegde e-mailadressen was 81 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security


 

Een Amerikaanse journalist die door het bekijken van html-broncode een datalek in een overheidssite ontdekte zal waarschijnlijk worden vervolgd, zo denkt gouverneur Mike Parson van de Amerikaanse staat Missouri. Door het datalek waren social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk.

Via de website van het ministerie van Onderwijs van Missouri is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens van meer dan honderdduizend leraren waren niet op de betreffende pagina's direct zichtbaar, maar wel via de html-broncode te achterhalen.

Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast.

Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek. Parson was zeer ontstemd over de werkwijze van de journalist en publicatie en dreigde met juridische stappen. Oorspronkelijk was de staat van plan om de journalist voor zijn melding te bedanken, maar daar werd in de uiteindelijke verklaring van afgezien, zo meldt de St. Louis Post-Dispatch.

Alles bij de bron; Security


 

Gevoelige bestanden van game-uitgever SEGA waren opgeslagen in een publiek toegankelijke server, ontdekten onderzoekers van VPNGids.nl. Daardoor kregen onderzoekers toegang tot onder meer data van 250.000 leden van het forum Football Manager. Het is niet bekend hoeveel Nederlandse gebruikersgegevens toegankelijk waren. 

Onder de gebruikersgegevens waren onder meer IP-adressen en e-mailadressen. Onderzoekers kwamen erachter dat ze mails konden versturen vanuit het officiële mailaccount van Football Manager. 

SEGA werd direct na de ontdekking van de kwetsbaarheden op de hoogte gebracht. Inmiddels zijn de meeste problemen verholpen.

Alles bij de bron; NU


 

De app Amigos, waarmee veel spontane huisfeestjes worden georganiseerd, lekte maandenlang de privégegevens van zijn honderdduizenden gebruikers. Het was onder andere mogelijk om hun exacte locatie op te vragen, mee te lezen met privégesprekken, namen en wachtwoorden buit te maken.

Het lek in de app is ontdekt door Sten Lankreijer, een 21-jarige student aan de Technische Universiteit Eindhoven "Ik keek wat voor gegevens de app verstuurt en ontvangt en zag al snel dat je die data kunt manipuleren", vertelt hij. 

Het lukte Lankreijer op die manier om zichzelf beheerder van Amigos te maken. Daarmee had hij toegang tot alle gegevens van de gebruikers. Hij kon ook pushberichten namens de app sturen naar gebruikers, uit naam van anderen berichten sturen en evenementen organiseren, en ook die gewilde sterren ongelimiteerd uitdelen.

Als beheerder was het eveneens mogelijk om e-mails te sturen waarmee gebruikers hun wachtwoord opnieuw moeten instellen. Een cybercrimineel zou deze functie kunnen misbruiken om wachtwoorden van gebruikers te stelen.

Het lek in de app is een week na de melding door Amigos gedicht.

Alles bij de bron; RTLNieuws


 

Het Amerikaanse dna-laboratorium DNA Diagnostics Center (DDC), dat voor mensen wereldwijd dna-tests uitvoert waaronder in Nederland, heeft de persoonlijke informatie van 2,1 miljoen mensen gelekt. Op 6 augustus ontdekte DDC dat een aanvaller een gearchiveerde database had gestolen met de persoonlijke informatie van mensen die tussen 2004 en 2012 is verzameld.

De actief gebruikte databases van DDC zijn niet gecompromitteerd, zo laat de verklaring verder weten. Volgens DDC heeft de aanvaller tussen 24 mei en 28 juli van dit jaar mogelijk bepaalde bestanden en mappen uit de database verwijderd.

Na ontdekking van het datalek werd verder onderzoek uitgevoerd. Daaruit bleek dat de aanvaller naam, socialsecurity-nummer en andere persoonlijke informatie heeft gestolen in combinatie met rekeningnummer of creditcardnummer en accountgegevens, waaronder mogelijk wachtwoorden, zo meldt het openbaar ministerie van de staat Maine.

Alles bij de bron; Security


 

Een nieuw in Nederland ontwikkeld platform moet het mogelijk maken voor internetgebruikers om op een privacyvriendelijke wijze versleuteld bestanden te versturen. Via Cryptify is het op dit moment mogelijk om bestanden tot maximaal twee gigabyte te delen. Gebruikers vullen hun eigen e-mailadres in en dat van de ontvanger. De opgegeven ontvanger ontvangt vervolgens via e-mail een downloadlink.

Om als ontvanger de bestanden te kunnen ontsleutelen en downloaden moet met de IRMA-app een qr-code worden gescand. IRMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen. Gebruikers kunnen allerlei persoonlijke attributen aan de IRMA-app toevoegen, zoals naam, adresgegevens, geboortedatum, BSN, telefoonnummer, e-mailadres of onderwijsidentiteit. Ook vanuit sociale media zoals LinkedIn, Twitter en Facebook kunnen gegevens worden geladen.

Via de IRMA-app geeft de ontvanger alleen zijn e-mailadres vrij, om aan te tonen dat hij daadwerkelijk de ontvanger van het gedeelde bestand is. "Het mooie aan Cryptify is dat bestanden direct in de browser van de verzender worden versleuteld, voordat ze naar een server worden gestuurd”, zegt Arjen Zijlstra, één van de ontwikkelaars. "Op die manier kunnen kwaadwillenden niet bij de bestanden, zelfs niet als ze de server hacken."

Alles bij de bron; Security


 

Panasonic onderzoekt een datalek nadat een aanvaller toegang tot een fileserver van de elektronicagigant kreeg. In een melding laat het bedrijf weten dat het de ongeautoriseerde toegang op 11 november ontdekte (pdf), maar veel details worden niet gegeven. Volgens de Japanse publieke omroep NHK had de aanvaller bijna vijf maanden toegang tot de server voordat die werd opgemerkt.

Op dit moment wordt onderzocht of het om persoonlijke informatie gaat en/of gevoelige bedrijfsgegevens. 

Alles bij de bron; Security


 

De erotische webcamsite Stripchat heeft door een onbeveiligde database de privégegevens van miljoenen gebruikers en modellen gelekt. De gebruikersdatabase, die door onderzoeker Bob Diachenko werd gevonden, bevatte 65 miljoen records bestaande uit e-mailadres, gebruikersnaam, ip-adres, internetprovider, registratiegegevens, laatste inlog en saldo. Gebruikers van de website kunnen modellen tipgeld betalen.

Daarnaast trof Diachenko ook nog een modellendatabase aan met 421.000 records, bestaande uit gebruikersnaam, geslacht, tipbedragen en stripscore. Een transactiedatabase met 134 miljoen records bevatte informatie over gekochte tokens en door gebruikers betaalde tips, waaronder privétips. Verder vond de onderzoeker een moderatiedatabase met 719.000 chatberichten die naar modellen waren gestuurd, waaronder privé en openbare berichten. Elk record bevatte het gebruikers-ID van de gebruiker die het bericht had verstuurd.

De databases maakten deel uit van een Elasticsearch-database die voor iedereen op internet zonder wachtwoord toegankelijk was. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. 

De onbeveiligde database werd op 4 november door zoekmachines geïndexeerd. Een dag later ontdekte Diachenko de database, die vervolgens Stripchat waarschuwde. Op 7 november was de database niet langer beschikbaar.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha