Databeveiliging & Dataverlies

Te koop: namen, adressen, burgerservicenummers en andere persoonsgegevens van mensen die zich de afgelopen periode hebben laten testen op corona. Het nieuws dat deze data zijn gestolen en verhandeld doet flink wat stof opwaaien.

De gestolen gegevens komen uit twee databases van de GGD: het systeem waarin medewerkers test- en vaccinatieafspraken registreren (CoronIT) en het dossier waarin ze informatie uit bron- en contactonderzoeken vastleggen (HPZone).

Als je je laat testen, worden in CoronIT je naam, adres, contactgegevens (zoals telefoonnummer of e-mailadres), bsn, geslacht en geboortedatum vastgelegd. Na een positieve test volgt een bron- en contactonderzoek, waarvan de resultaten in het HPZone-systeem terechtkomen. Denk aan informatie over waar je bent geweest, over je nauwe contacten en je klachten ("noodzakelijke medische gegevens").

Volgens NOS-techredacteur Joost Schellevis is alleen al de combinatie van iemands geboortedatum en postcode interessant voor criminelen. "Daar kom je bij sommige bedrijven al heel ver mee. En die gegevens zijn ook handig als je iemand wil lastigvallen."

Hoe weet je of jouw gegevens zijn gestolen? Dat is nog niet zo makkelijk, zegt ICT-hoogleraar Borgesius. "Even afwachten dus, je hoort het vanzelf", zegt Borgesius. Zelf zegt de GGD in een verklaring dat de dienst nu nog niets kan zeggen over welke gegevens op straat liggen. "Op het moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te informeren en dat zullen wij dan ook doen."

Techredacteur Joost Schellevis snapt dat mensen zich zorgen maken over de huidige beveiliging van persoonlijke data bij de GGD. "Dat geldt zeker zolang die automatische monitoring er nog niet is, die nu dus voor eind maart gepland staat. Het lastige is dat je slachtoffer kunt zijn van datalekken zonder dat je het weet. Je merkt het pas als er iemand misbruik van maakt. Houd dus gekke mailtjes en appjes in de gaten."

Alles bij de bron; NOS


 

De GGD is al maanden op de hoogte van de vele privacyproblemen rondom de coronasystemen met daarin de privégegevens van miljoenen Nederlanders. De interne kritiek van medewerkers is door leidinggevenden telkens weggewuifd. "Het boeit ze gewoon niet", aldus een medewerker die anoniem wenst te blijven. 

"Ik heb toegang tot de gegevens uit de coronasystemen van allerlei andere GGD-regio's waar ik helemaal geen toegang tot zou moeten hebben", vertelt een werknemer die via een derde partij voor de GGD werkt. "Iedereen zoekt vrienden, familie of bekende mensen op en met de exportknop kon je er tot voor kort alle gegevens uit halen. Het verbaast me niets dat er wordt gehandeld in die privégegevens." De GGD bevestigt dat medewerkers 'soms toegang blijven houden' tot gegevens uit andere GGD-regio's zodat ze snel kunnen bijspringen.

Een student die voor de testafsprakenlijn werkt vult aan: "Studenten kunnen nog geen tentamen maken zonder webcamsurveillance, maar om toegang te krijgen tot de persoonsgegevens van miljoenen Nederlanders is niets meer nodig dan een laptop en een beetje geduld. Het is een schande. Waarom is er zo paniekerig opgeschaald? Waarom is er niks gedaan met eerdere tekenen van problemen? En waarom kan ik nog steeds alle persoonsgegevens opzoeken die ik maar wil met alleen een achternaam en geboortedatum of geslacht?"

Zowel de GGD als minister Hugo de Jonge benadrukken dat medewerkers die met dit soort gevoelige data werken altijd een verklaring omtrent gedrag (VOG) moeten inleveren. Meer dan tien medewerkers die RTL Nieuws sprak hebben nooit een VOG ingeleverd of pas maanden nadat zij al aan de slag waren. Opvallend genoeg kreeg een aantal van hen deze week opeens de vraag of ze toch nog een VOG konden inleveren.

Alles bij de bron; RTLNieuws


 

Maandag bracht RTL Nieuws naar buiten dat er gehandeld wordt in persoonlijke gegevens die verkregen zijn uit de IT-systemen voor testregistratie en Bron- en contactonderzoek. Uit onderzoek van Dit is de Dag blijkt dat dezelfde risico's bestaan voor de registratie voor vaccins, waarvoor bovendien nog meer persoonlijke gegevens worden geregistreerd.

De GGD maakt voor het inplannen van coronatests gebruik van het programma CoronIT. Datzelfde programma wordt gebruikt voor het inplannen en registreren van vaccinaties. De onderzoeksredactie van Dit is de Dag heeft achterhaald dat voor het registreren van vaccins ook medische gegevens worden opgeslagen. Het gaat, naast de registratie van het BSN-nummers en adresgegevens, om informatie over zwangerschappen en allergieën. 

Hoewel de modules voor testplanning en vaccinregistratie gescheiden zijn en daarmee niet toegankelijk voor alle GGD-medewerkers, hebben er volgens de GGD op dit moment ongeveer 2000 medewerkers toegang tot informatie over de vaccinregistratie.

De verwachting is dat dat aantal toeneemt naar mate er meer gevaccineerd wordt. Verschillende GGD-medewerkers bevestigen tegenover de onderzoeksredactie van Dit is de Dag dat zoekopdrachten in CoronIT niet gecontroleerd worden. Daarmee dreigt hetzelfde probleem te ontstaan als bij het inplannen van testen.

Tweede Kamerlid Kathalijne Buitenweg (GroenLinks) vindt dat het registratiesysteem ook veiliger moet worden gemaakt om misbruik te voorkomen: "Als je al die gegevens voor alle callcentermedewerkers zichtbaar maakt, dan is er een probleem met je systeem."

Volgens Theo Hooghiemstra, expert gegevensbescherming in de zorg, kan de GGD een break the glass-systeem inbouwen, waardoor automatisch melding wordt gemaakt van onnodige zoekopdrachten. Op die manier kan fraude worden voorkomen. Ook kunnen er alarmbellen afgaan bij een bovengemiddeld aantal zoekopdrachten. Buitenweg stelt dat daar nu in geïnvesteerd moet worden: "Dan kunnen we corona bestrijden en dat op een privacy-vriendelijke manier doen." 

Alles bij de bron; NPO-Radio1


 

Privégegevens van Nederlanders die in twee coronasystemen van de GGD staan, worden illegaal verhandeld. Het gaat onder meer om burgerservicenummers. De politie heeft twee verdachten gearresteerd.

Uit onderzoek van RTL Nieuws blijkt dat privégegevens uit twee GGD-systemen te koop zijn via chatdiensten als Telegram, Snapchat en Wickr. Afnemers ontvangen adresgegevens, het e-mailadres, telefoonnummer en burgerservicenummer. Er zijn ook accounts die grote datasets aanbieden, met daarin gegevens van tienduizenden Nederlanders. 

De persoonsgegevens komen uit CoronIT en HPzone Light. Eerstgenoemde is een registratiesysteem voor coronatesten waar zo'n 26.000 GGD'ers en callcentermedewerkers van testlijnen toegang toe hebben. Het tweede systeem wordt gebruikt voor het bron- en contactonderzoek van de GGD. In HPzone Light staan de gegevens van met het coronavirus besmette Nederlanders.

De GGD wist niet van de handel in persoonsgegevens uit zijn systemen. De Autoriteit Persoonsgegevens spreekt van een mogelijk ernstig datalek en eist opheldering van de GGD.

Alles bij de bron; Tweakers


 

Bij een aanval op datingsite MeetMindful zijn de privégegevens van ruim 2,2 miljoen gebruikers gestolen en vervolgens op internet gelekt. Het gaat om namen, e-mailadressen, woonplaats, lichaamskenmerken, datingvoorkeuren, burgerlijke staat, geboortedatum, ip-adres, via bcrypt gehasht wachtwoord en Facebookgebruikersnaam en -authenticatietokens, meldt ZDnet.

Berichten, foto's, bekeken profielen of andere persoonlijke informatie met betrekking tot matches zijn niet in handen van de gebruiker gekomen.

Volgens MeetMindful maakte de aanvaller misbruik van een kwetsbaarheid om de gebruikersgegevens, die zo'n zes maanden oud zijn, te stelen. Om wat voor beveiligingslek het precies gaat laat de datingsite niet weten, maar het probleem is inmiddels verholpen. Alle gedupeerde gebruikers zijn door de datingsite ingelicht. 

Alles bij de bron; Security


 

De gegevens van aanhangers van de Nederlandse organisatie Viruswaarheid waren te achterhalen door de URL van een petitie te veranderen. 

Het gaat om zeker zestienduizend formulieren, meldt de Volkskrant. Viruswaarheid bevestigt het lek en gaat een melding doen bij de Autoriteit Persoonsgegevens. Kwaadwillenden konden bij onder meer de voor- en achternaam en e-mailadres van ondertekenaars van de petitie door de URL te wijzigen. Zo waren de gegevens van andere ondertekenaars in te zien.

Volgens Viruswaarheid ontstond het lek mogelijk na het herstellen van de website na een ddos-aanval van eerder deze maand. Bewijs of uitleg daarvoor geeft de organisatie niet. De petitie is anoniem te ondertekenen, maar ook de gegevens van die mensen waren daardoor opvraagbaar. Inmiddels is het lek gedicht en zijn de gegevens niet meer in te zien. Het is onbekend of kwaadwillenden de gegevens van de ondertekenaars hebben achterhaald.

Bron; Tweakers


 

Meer dan honderdduizend gegevens van medewerkers van de United Nations Environmental Programme (UNEP) waren toegankelijk voor onbevoegden. 

Het datalek is ontdekt door ethische hackers van de onderzoeksgroep Sakura Samurai. De onderzoekers melden naar aanleiding van het Vulnerability Disclosure-programma van de VN gericht op zoek te zijn gegaan naar kwetsbaarheden in de systemen van de organisaties. En niet zonder resultaat. De onderzoekers identificeerde een endpoint dat inloggegevens voor Git lekte. Met deze inloggegevens wisten zij toegang te krijgen tot Git-respositories van de VN.

In de repositories is een grote hoeveelheid gegevens over VN-medewerkers aangetroffen. Het gaat onder meer om ruim 102.000 reisgegevens, met onder meer identificatienummers, namen en reisbestemming van werknemers. Ook zijn ruim 7.000 HR-gegevens van VN-medewerkers aangetroffen, waaronder namen, identificatienummers, nationaliteiten, geslacht en salarisgegevens. Ook meer dan 4.000 gegevens over projecten van de VN en de financiering hiervan zijn uitgelekt, evenals evaluatierapporten van 283 projecten.

Een uitgebreide analyse van het datalek is hier beschikbaar.

Bron; DutchITChannel


 

Amerikaanse veiligheidsdiensten onderzoeken of via het Russische softwarebedrijf JetBrains, met ook een r&d-vestiging in Amsterdam, de loper is uitgerold voor de SolarWinds-kraak. 

Onderzocht wordt nu of hackers bij JetBrains zijn binnengedrongen en langs die weg achterdeuren konden plaatsen bij andere tech-bedrijven. JetBrains levert software-tools aan ontwikkelaars bij circa 300.000 bedrijven. Een daarvan is SolarWinds, wiens monitoring-software de hackers inzetten om vervolgens binnen te dringen bij tal van Amerikaanse overheidsinstellingen.

De veiligheidsdiensten denken dat er wat mis is met TeamCity, een tool die ontwikkelaars helpt software-code te testen en uit te wisselen voordat de release plaatsvindt. Mogelijk zit er een kwetsbaarheid in deze veelgebruikte tool. Ook wordt gekeken of de aanvallers via gestolen wachtwoorden of op andere manieren zich via TeamCity een weg hebben kunnen banen naar de gekraakte netwerken.

Volgens The New York Times kent TeamCity grote aantallen gebruikers. Als inderdaad blijkt dat TeamCity is gehackt dan kan dat verstrekkende gevolgen hebben. Developers van onder meer Google, NASA, Netflix, HP, VMware, Samsung en Volkswagen gebruiken graag tools van JetBrains. 

Alles bij de bron; Computable


 

Gemeenten, jeugdhulp en samenwerkingsverbanden moeten persoonsgegevens van leerlingen die zij ondersteunen op correcte wijze met elkaar kunnen delen. Met het Modelconvenant Privacy kunnen vanaf nu heldere afspraken gemaakt worden over samenwerking en persoonsgegevensuitwisseling. 

Het convenant is ontwikkeld door Het Steunpunt Passend Onderwijs, in samenwerking met het Nederlands Jeugdinstituut, de Onderwijsraden, Kennisnet, NVO/NIP, Ingrado, VNG, OCW, VWS en Ouders en Onderwijs.

Het Modelconvenant Privacy biedt een basis voor alle partijen om effectief samen te werken en daarin zorgvuldig en met oog voor privacy te kunnen handelen. Zo kan in het convenant vastgelegd worden hoe gedeelde informatie wordt geregistreerd en welke veilige communicatiekanalen gebruikt kunnen worden.

Alles bij de bron; Nationale Onderwijs Gids


 

De Belgische Federale Overheidsdienst Financiën heeft het UBO-register offline gehaald na een mogelijke kwetsbaarheid. In het register staan gegevens van vennootschappen en andere organisaties, maar het bleek mogelijk er rijksregisternummers van Belgen uit te achterhalen.

Het gaat om het register van Ultimate Beneficial Owners, een databank met iedereen die bij vennootschappen of stichtingen is betrokken. De Belg Koen van den Wijngaert ontdekte dat hij via een tool om het register te raadplegen, gevoelige informatie over landgenoten kon vinden. Via de tool kunnen gebruikers met de voor- en achternaam en geboortedatum iemand opzoeken in het register. Daarbij wordt echter het rijksregisternummer gebruikt als een unieke identifier. Dat is de Belgische tegenhanger van het burgerservicenummer.

De FOD Financiën heeft de tool inmiddels uit voorzorg offline gehaald. "Er is een probleem met een van de toepassingen van de FOD, namelijk die voor de aanleg van een UBO-register. De toepassing is intussen niet meer toegankelijk. We lossen het probleem op", zegt een woordvoerder. Het UBO-register bestaat sinds oktober 2018. Volgens van den Wijngaert zit het lek daar waarschijnlijk al sinds die tijd in.

UBO register België

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha