Databeveiliging & Dataverlies

Als je gedomicilieerd bent in Brussel, kan je werkgever, je verzekeraar of je bank in een handomdraai zien of je gevaccineerd bent of niet. Een rijksregisternummer en een postcode. Meer is niet nodig om te weten of een Brusselaar al dan niet gevaccineerd is. Als je die twee gegevens ingeeft op het Brusselse inschrijvingsplatform voor vaccinaties, Bruvax, zie je in één klik of er nog een afspraak vastgelegd kan worden of niet. Kan het wel nog, dan gebeurde de vaccinatie nog niet.

Charta21, een non-profitorganisatie die tijdens de lockdown is opgericht en voor privacy en grondrechten strijdt, stuurde maandagavond een brief naar de Brusselse Gemeenschappelijke Gemeenschapscommissie (GGC) met de dringende vraag ‘onmiddellijk een einde te stellen aan het datalek’.

‘Veel organisaties hebben het rijksregisternummer van hun klanten of werknemers’, zegt Charta21-voorzitter Hubert Petre. ‘Het gaat om werkgevers, bankiers, verzekeraars en gemeentepersoneel. Met het rijksregisternummer bij de hand is het ongelofelijk simpel om te zien of iemand gevaccineerd is of niet. Een flagrante schending van de privacy en een datalek van medische gegevens.’

Alles bij de bron; DataPanik


 

Transavia krijgt een boete van 400.000 euro van de Autoriteit Persoonsgegevens wegens de slechte beveiliging van persoonsgegevens, die leidde tot een lek van zeker 83.000 klantgegevens. 

De privacywaakhond vindt het zeer ernstig dat een hacker in 2019 toegang kon krijgen tot persoonsgegevens van 25 miljoen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord.

Door de slechte beveiliging kon de hacker, toen hij toegang had, gemakkelijk rondsnuffelen binnen andere systemen op het Transavia-netwerk. Zo kreeg de hacker toegang tot systemen waarin hij gegevens van 25 miljoen mensen had kunnen inzien, waaronder naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens. Vastgesteld is dat de hacker persoonsgegevens van zo'n 83.000 personen downloadde.

Alles bij de bron; NU


 

Vorige maand is WhatsApp begonnen om end-to-end versleutelde back-ups beschikbaar te maken voor gebruikers. Het externe beveiligingsonderzoek naar deze feature leverde meerdere kwetsbaarheden op, waaronder de mogelijkheid voor aanvallers om back-ups te ontsleutelen. Het onderzoeksrapport is onlangs openbaar gemaakt door securitybedrijf NCC Group, dat het onderzoek uitvoerde.

De onderzoekers van NCC Group ontdekten dat WhatsApp gebruikmaakte van een zwakke 512 bits RSA key signing key, waardoor aanvallers twee diensten van de berichtenapp konden imiteren en zo back-ups van gebruikers zouden kunnen ontsleutelen. Een andere kwetsbaarheid maakte het mogelijk voor een aanvaller om het WhatsApp-wachtwoord en versleutelde back-up-informatie van de gebruiker te achterhalen. In totaal vonden de onderzoekers zeventien kwetsbaarheden en zes "informational findings". 

WhatsApp ging met de onderzoeksresultaten aan de slag en voerde verschillende aanpassingen door. Vervolgens werden deze aanpassingen eind augustus getest. Voor de uitrol van feature zijn vijftien van de gevonden bevindingen verholpen. De resterende problemen hebben een lage impact of zijn informatief. WhatsApp legt in het onderzoeksrapport ook uit waarom deze problemen niet zijn verholpen (pdf).

Alles bij de bron; Security


 

Securityspecialisten van Booking.com vermoedden altijd al dat inlichtingendiensten interesse hadden in klantendata van de website. Maar een spion echt betrappen? Dat was nog nooit gelukt.

...De securitymensen van Booking, doorgaans druk met onschadelijk maken van phishingmails en beschermen van klant- en creditcardgegevens, zijn iets vreemds op het spoor. Zo vreemd, dat ze twee experts van inlichtingendienst AIVD hebben uitgenodigd. 

De securityman heeft bij een controle van een oude server, waarmee het bedrijf nieuwe ideeën voor de website test, verdachte activiteiten opgemerkt. De server had al lang opgeschoond moeten zijn, maar dat is niet gebeurd. Nu gebruikt een onbekende hacker de server om via PIN-codes – unieke codes die horen bij specifieke reserveringen – stiekem informatie over duizenden hotelboekingen op te vragen.

Booking.com heeft vaker te maken gehad met cybercriminelen die azen op de reusachtige hoeveelheid data die de hotelwebsite iedere dag verzamelt. Op de Booking-servers staan van miljoenen klanten naam, e-mailadres en telefoonnummer, wanneer ze met vakantie gaan en met welke creditcards (en codes) ze betalen. 

Doorgaans is het de digitale inbrekers om geld te doen. Deze keer is het anders, beseffen de medewerkers van de securityafdeling begin 2016 als ze de ene na de andere PIN-code in vreemde handen zien vallen. Deze gegevens zijn kapitalen waard op het dark web, waar een levendige handel in gestolen klantgegevens bestaat. Maar er gebeurt niets: het lijkt erop dat de inbreker bij Booking helemaal niet op zoek is geweest naar creditcardnummers.

Hun tegenstander is deze keer groter en moeilijker grijpbaar dan een eenvoudige hacker. Hier zou wel eens een buitenlandse mogendheid achter kunnen zitten. Spionage.

Alles bijde bron; NRC


 

Covid gehad? Een vaccin laten zetten? Of je geboortedatum? Via de CovidScan-app, die horeca- en fitnessuitbaters moeten gebruiken om je coronapas te testen, is het kinderspel om gevoelige medische gegevens te achterhalen.

Privacy-activist Matthias Dobbelaere-Welvaert zegt naar de rechtbank te trekken. 

Sinds maandag moet ook in Vlaanderen in horeca- en fitnesszaken de coronapas getoond worden. Dat via de CovidSafe-app, of een geprint exemplaar. Het is iemand van de zaak of het evenement die moet scannen, en dat via de officiële CovidScan-app. Dan komt de naam van de persoon tevoorschijn die binnen wil, met een groen of rood scherm.

Maar de applicatie heeft ook een profiel voor douane en politie, om terugkerende reizigers te scannen. Die functie is letterlijk voor iedereen beschikbaar, en toont plots ook heel wat meer info. Dat berichtte Data News eind vorige week. Een proef met een eigen smartphone en eigen QR-code bevestigt dat.

“Een caféuitbater kan plots ook iemands geboortedatum zien, of iemand een vaccin heeft gehad, welk vaccin precies, en wanneer de laatste prik was”, waarschuwt Matthias Dobbelaere-Welvaert, advocaat en bezieler van de ngo Ministry of Privacy. “Ik hoor dat ook een recent herstelcertificaat, en dus ook een besmetting, zichtbaar is. Terwijl dat allemaal niet nodig is.”

“Onze vaccinatiestatus is een medisch gegeven en wordt vanuit de GDPR sterk beschermd. Je kunt je afvragen of de uitbater daar veel mee aan kan, maar ook de werkgevers vragen nu al een tijd dat ook zij het CST mogen invoeren.” 

“Je komt dus op een slippery slope terecht waarbij we steeds meer informatie moeten achterlaten. Vorig jaar zijn in horecazaken ook mailadressen en telefoonnummers van klanten gebruikt voor andere doelen dan voor de contacttracing.”

De privacy-activist plant nu een rechtszaak te starten. “De app is gewoon slecht gemaakt."

Alles bij de bron; Gazet-v-Antwerpen


 

De school-app Scoolio heeft via een onbeveiligde API de privégegevens van 400.000 minderjarige leerlingen gelekt. Het ging om het e-mailadres van leerlingen en bij jonge leerlingen ook van hun ouders, gps-locatie waar de app was geopend, schoolnaam en klas, interesses en gebruikersnaam...

...Wittmann waarschuwde Scoolio op 21 september. De app-ontwikkelaar rolde op 25 oktober een oplossing uit. Volgens Wittmann had Scoolio het lek binnen 72 uur moeten dichten en alle gebruikers moeten informeren, zo laat ze tegenover MDR weten. Scoolio bedankt de onderzoeker op de eigen website voor het melden van de kwetsbaarheid en stelt dat het later dit jaar aanvullende beveiligingsmaatregelen zal doorvoeren.

Alles bij de bron; Security


 

Privésleutels voor het genereren van valse coronacertificaten die door Europese corona-apps worden geaccepteerd zijn gelekt op internet. 

Twee gesigneerde coronacertificaten die op internet circuleren zijn met de privésleutels van de Franse en Poolse corona-apps ondertekend. Hoe de sleutels precies konden lekken is onbekend.

Het ministerie van Volksgezondheid laat weten dat het een onderzoek heeft ingesteld naar het lekken van de private keys.

Alles bij de bron; Security


 

Volgens schattingen zou een derde van ruim tweehonderd miljoen Netflix-gebruikers zijn inloggegevens doorfluisteren aan ‘familieleden’ – zelfs al zijn ze geen familie. Door wachtwoorden te delen met anderen, deel je de abonnementskosten van het groeiend aantal videodiensten. Hoe meer zielen, hoe lager de prijs. In goed Nederlands: password sharing is het nieuwe filesharing. 

Afgezien van de economische impact is het niet zonder risico om wachtwoorden te delen. Je weet niet of anderen wel voorzichtig zijn met je gegevens. Wachtwoorden zijn an sich al zwak – makkelijk te raden, makkelijk te stelen en te misbruiken. In het ergste geval gebruik je het gedeelde wachtwoord ook nog voor andere diensten. Zo’n slordigheid is voer voor hackers....

...De wereld is veranderd in een inlogmaatschappij die vraagt om ijzersterke wachtwoorden, extra verificatie, een telefoon met DigiD en biometrische beveiliging. Voor veel gebruikers – niet alleen ouderen – is dat een hoge drempel.

Zelfstandige wachtwoord-apps ondervinden concurrentie van de webbrowsers. Chrome, Safari, Edge en Firefox werpen zich allemaal op als geheugensteun en helpen gebruikers bij het verzinnen van complexe wachtwoorden.

Je weg vinden tussen die verschillende wachtwoordkluizen en authenticatiegereedschap is niet eenvoudig en het blijft een rotklus.

Alles bij de bron; NRC


 

Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt heeft nu ook beloningen uitgeloofd voor zerodaylekken in de Windowsapplicaties van vpn-aanbieders.

Er wordt gezocht naar kwetsbaarheden waardoor informatie is te achterhalen, het echte ip-adres van gebruikers zichtbaar wordt en erop afstand code op het systeem van gebruikers is uit te voeren. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Alles bij de bron; Security


 

Volgens security bedrijf WizCase kon er 100GB aan data ingekeken worden. Daarin troffen de onderzoekers 500 miljoen records aan met informatie over de persoonlijke gegevens van 1 miljoen klanten en informatie over geïnstalleerde software op apparaten van ongeveer 300.000 QuickFox-klanten. Alle uitgelekte data dateert uit de periode tussen juni 2021 en september 2021. Het securitybedrijf kreeg toegang tot de data zonder dat het daarvoor inloggegevens of een wachtwoord moest ingeven. 

De persoonlijke gegevens betroffen namen, e-mailadressen, telefoonnummers, apparaattypen en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld waren opgeslagen. Ook de originele IP-adressen van de vpn-gebruikers waren terug te vinden. Aan de hand daarvan kon WizCase zien dat het merendeel van de getroffen klanten zich in de Verenigde Staten, Japan, Indonesië en Kazachstan bevindt.

QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase.

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn. WizCase nam contact op met QuickFox, maar heeft geen antwoord gekregen. Volgens Security.nl is het lek inmiddels gedicht.

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha