Databeveiliging & Dataverlies

Door een fout in de website van Marktplaats waren gebruikers afgelopen weekend per ongeluk ingelogd op de profielen van anderen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Dat bevestigt Marktplaats, dat de afgelopen dagen verschillende meldingen ontving van mensen die zeiden opeens toegang te hebben tot het Marktplaats-account van een onbekende.

Het probleem is ontstaan door een update aan de website die Marktplaats afgelopen weekend heeft doorgevoerd. Toen is iets misgegaan waardoor een aantal gebruikers toegang had tot het account van iemand anders. Daar hadden ze naast de naam, het e-mailadres, de postcode en het telefoonnummer ook toegang tot advertenties, zoekopdrachten, chatgesprekken en betalingen. 

Alles bij de bron; RTL


 

Met een ernstig datalek op zijn website heeft het Centraal Orgaan opvang Asielzoekers (COA) honderden slachtoffers van mensenhandel in gevaar gebracht. Het COA plaatste vorige week tweemaal een document met meldingen van mensenhandel op en rondom asielzoekerscentra in heel Nederland online. In de documenten stond veel privacygevoelige informatie, zoals namen, geboortedata, telefoonnummers en kentekennummers. Opsporingsbronnen zeggen tegen VPRO-radioprogramma Argos en NRC dat daardoor mogelijk strafrechtelijke onderzoeken verstoord kunnen worden.

Een woordvoerder van het COA zegt dat het lek „nooit had mogen gebeuren”. Wat precies misging is het COA een raadsel. Het heeft het incident vrijdag gemeld bij de Autoriteit Persoonsgegevens – dat is wettelijk verplicht. De privacytoezichthouder moet de zaak onderzoeken en beoordelen of verdere maatregelen volgen.

Alles bij de bron; NRC


 

De Belgische autoriteiten zijn gestopt met het onderzoek naar de daders die begin 2019 op de website van de Oost-Vlaamse politieschool wisten in te breken en daar de persoonlijke gegevens van Belgische politieagenten en rechters wisten te stelen. Het lukt het Belgische parket niet om de daders te identificeren.

Bij de inbraak werden namen, adresgegevens, telefoonnummers en in aantal gevallen ook bankrekeningnummers van vijftig rechters, driehonderd politieagenten en honderdvijftig leerling-agenten buitgemaakt.

In de maanden na de inbraak op de website ontvingen zo'n vijftig van de personen een phishing-sms. Hoe de aanvallers op de website konden inbreken is onbekend. De ­politieschool laat de website door een externe firma beheren. Inmiddels zijn er maatregelen genomen om de website beter te beschermen.

Alles bij de bron; Security


 

Een kritiek beveiligingslek bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen, zoals gebruikersnaam, naam, e-mailadres, telefoonnummers, adresgegevens, registratiedatum, land en het systeem waarmee er werd geregistreerd. Starbucks heeft de kwetsbaarheid inmiddels verholpen.

Alles bij de bron; Security


 

Op internet zijn gigabytes aan gestolen data van meer dan tweehonderd Amerikaanse politiekorpsen verschenen. Het gaat om honderdduizenden documenten met namen van agenten, e-mailadressen, e-mails, telefoonnummers, afbeeldingen, rapporten, handleidingen, videobestanden, spreadsheets en afbeeldingen van verdachten.

De data werd gestolen bij een hostingprovider die verschillende portalen host waar opsporingsdiensten data uitwisselen. Vervolgens werden de gegevens gepubliceerd door "Distributed Denial of Secrets", dat door sommigen een "alternatief voor WikiLeak" wordt genoemd.

De National Fusion Center Association (NFCA) heeft het datalek in een recent verstuurde waarschuwing bevestigd, zo meldt it-journalist Brian Krebs. Fusion centers zijn door de Amerikaanse overheid aangestuurde centra die politie-informatie verzamelen en onder andere instanties en opsporingsdiensten delen. De gestolen data gaat terug tot 1996.

Alles bij de bron; Security


 

Juridische vraag: Deze vraag krijg ik in vele varianten, daarom een algemeen antwoord vandaag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vul maar in] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Antwoord: Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. 

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. 

Alles bij de bron; Security


 

De namen, adressen, telefoonnummers en wachtwoorden van honderdduizenden klanten van maaltijdbezorger Foodora zijn gelekt. Onder de 50.000 gelekte gegevens van Nederlandse klanten bevinden zich in ieder geval 22.000 versleutelde wachtwoorden, zegt Gevers. In een aantal gevallen zouden die ook te kraken zijn.

Het gaat in ieder geval om de persoonlijke gegevens van klanten die sinds 2016 via de dienst eten hebben laten bezorgen, bevestigt moederbedrijf Delivery Hero. Destijds was Foodora ook actief in Nederland. Het merk verdween uit het straatbeeld nadat het Delivery Hero in 2018 niet lukte om een koper voor de Nederlandse tak te vinden.

Alles bij de bron; NU


 

Een hacker heeft toegang weten te krijgen tot de e-mailbox van het Centrum voor Jeugd en Gezin (CJG) Rijnmond. Op die manier had hij toegang tot e-mailverkeer met duizenden cliënten, bevestigt woordvoerder Mariska Briët. 

Om welke gevoelige informatie het gaat, hangt af van het e-mailverkeer dat cliënten met het CJG Rijnmond hebben gehad. "Dat gaat soms om een naam, soms om een adres en soms om een BSN", schetst de woordvoerder de situatie.

Uit onderzoek van een computerbeveiligingsbedrijf komt naar boven dat de hacker niet verder in de systemen is gekomen dan de e-mailbox, aldus Briët. "Daaruit is gebleken dat er geen toegang is geweest tot cliëntendossiers." Ook is er "geen activiteit" meer waargenomen nadat het CJG Rijnmond ontdekte dat een onbevoegde toegang had tot de mailbox. 

Aan de betrokkenen is een brief gestuurd waarin het CJG hen waarschuwt dat de persoonlijke informatie van cliënten misbruikt kan worden. Informatie zoals namen en BSN's zijn gevoelig voor bijvoorbeeld identiteitsfraude.

De hacker wist toegang te krijgen tot de e-mailbox via een phishingmail naar enkele medewerkers. Nadat een medewerker op een malafide link had geklikt, kon de onbevoegde in het systeem.

Alles bij de bron; NU


 

Het bedrijf Formdesk wist van het beveiligingslek in de Infectieradar die het bedrijf ontwikkelde voor het RIVM, liet minister de Jonge dinsdag aan de Tweede Kamer weten. In een reactie zegt het bedrijf "werkelijk geen idee" te hebben waar de minister dit op baseert.

Zaterdag werd bekend dat de Infectieradar, waarmee mensen hun ziekteverschijnselen rond het coronavirus kunnen doorgeven aan het RIVM, een lek bevatte. Door het webadres aan te passen, kon iemand inzicht krijgen in de gegevens die een ander had ingevuld.  

"Bij het ontwikkelen van die site zijn juist wel veiligheidschecks gedaan, waarbij ook dit (specifieke lek, red.) als een van de veiligheidsrisico's in beeld is gekomen", zei De Jonge over wat er op dit moment over het lek bekend is. "Vervolgens is daar ook een oplossing voor aangedragen die Formdesk moest doorvoeren. Deels is dat overgenomen en deels niet", aldus De Jonge. "Zo gaan de dingen soms. Menselijke fouten zijn menselijk."

Marco Beuk van Formdesk laat in een reactie weten verbaasd te zijn over het verhaal van De Jonge. Volgens hem is de kwetsbaarheid niet eerder aan het licht gekomen en dus ook niet aan Formdesk teruggekoppeld. "Ik heb werkelijk geen idee waar de minister het over heeft", zegt hij over de verklaring van de minister.

De onderzoeker en de journalist die het lek hebben ontdekt en gemeld hadden toegang tot de formulieren van 49 personen. Deze mensen zijn daarvan op de hoogte gesteld.

Alles bij de bron; NU


 

De Infectieradar van het RIVM, waar Nederlanders aan kunnen geven of ze last hebben van coronaklachten, bevatte een ernstig datalek. Dat blijkt zaterdag uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. Het RIVM heeft de database uit de lucht gehaald.

Volgens de NOS kon "iedereen met enige technische vaardigheid tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen".

Deelnemers aan de Infectieradar vullen wekelijks een formulier in waarbij ze aangeven welke klachten ze hebben. Hiermee kan het RIVM volgen hoe gezondheidsklachten verspreid zijn in Nederland en hoe zich dat ontwikkelt in de tijd.

Deelnemers aan de Infectieradar krijgen een uniek nummer toegewezen. Bij het invullen van het formulier was dat nummer te zien in de adresbalk. Wie het nummer veranderde, kreeg een formulier te zien van een andere deelnemer. Onder meer e-mailadres, geboortejaar en postcodecijfers waren dan zichtbaar.

Het lek bestond al sinds de introductie van Infectieradar op 17 maart.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha