Databeveiliging & Dataverlies

De criminelen die eind augustus de systemen van de Universiteit van Newcastle met ransomware infecteerden en daarbij ook allerlei data buitmaakten hebben een deel van de gegevens online gezet. Het gaat om privégegevens van zowel medewerkers als studenten, waaronder namen, e-mailadressen, telefoonnummers, adresgegevens en informatie over de gevolgde opleiding.

In eerste instantie liet de universiteit nog weten dat er geen persoonlijke data van studenten was gestolen. Dat blijkt toch het geval te zijn en de aanvallers hebben een deel van de data gepubliceerd, zo melden The Newcastle Tab en de universiteit. Studenten en medewerkers krijgen het advies om alert te zijn op phishingmails die op basis van de gelekte gegevens kunnen worden verstuurd.

Alles bij de bron; Security


 

De oude vertrouwde pager heeft al binnen veel organisaties plaatsgemaakt voor een echte alleskunner: de zorgsmartphone die vaak allerlei functionaliteiten combineren.

Het is eigenlijk een telefoon, pager en tablet in één. De functionaliteiten op de zorgsmartphone, zoals toegang tot het elektronisch patiënten- of cliëntendossier (EPD/ECD), zorgen ervoor dat een zorgverlener over veel meer patiënt- of cliëntinformatie beschikt.

Daarnaast wordt berichtgeving en alarmering steeds persoonlijker. Zorgverleners zien bijvoorbeeld dat er een melding binnenkomt van mevrouw Janssen met een stijgende hartslagfrequentie op kamer 1.02. Het feit dat de melding persoonlijke informatie bevat (in plaats van alleen een kamernummer), zorgt ervoor dat je te maken krijgt met de AVG. Je moet volgens deze privacywet namelijk weten welke zorgverlener toegang heeft tot welke patiënt- of cliëntinformatie. Zomaar anoniem een smart device uit het rek pakken is niet meer mogelijk. Het moet traceerbaar zijn wie welke patiëntinformatie heeft gezien.

Hoe realiseer je deze autorisatie en traceerbaarheid?...

...Om hieraan te voldoen, zonder het werkproces omslachtig te maken, zijn twee zaken noodzakelijk: een single sign-on functie en het dynamisch toewijzen van rollen voorafgaand aan een shift.

Alles bij de bron; ICT&Health


 

Het aantal datalekken wereldwijd is in de eerste 9 maanden van dit jaar flink gedaald, maar het aantal records dat hierbij is betrokken is verviervoudigd ten opzichte van dezelfde periode een jaar eerder tot 36 miljard.

Dat blijkt uit onderzoek van Risk Based Security, dat elk kwartaal cijfers hierover publiceert. Het gaat daarbij om lekken die RBS in publiek toegankelijke bronnen verzamelt.

De enorme stijging van het aantal records dat betrokken was bij datalekken wordt voornamelijk veroorzaakt door enkele grote slecht geconfigureerde databases, aldus het rapport van RBS. Bij twee datalekken werden in beide gevallen ruim een miljard records geraakt. Bij vier andere lekken waren ruim 100 miljoen records betrokken.

Maar ook de daling van het aantal datalekken is niet zo mooi als het lijkt, benadrukken de onderzoekers. Het lijkt er op dat er minder lekken gemeld worden dan daadwerkelijk hebben plaatsgevonden. Zo worden vrijwel zeker veel aanvallen met ransomware niet gemeld, terwijl bij de datalekken die wèl zijn gemeld zeker 21 procent veroorzaakt werd door ransomware. Bovendien zorgt volgens de onderzoekers van RBS de pandemie voor veel minder aandacht voor datalekken, waardoor het makkelijker is die voor je te houden.

Alles bij de bron; AGConnect


 

Het Britse National Cyber Security Centre (NCSC) heeft afgelopen jaar één miljoen ip-adressen van de National Health Service (NHS), waaronder ziekenhuizen, medische centra en andere zorgaanbieders, op kwetsbaarheden gescand. Dat laat het NCSC in het jaaroverzicht weten (pdf). De scan leverde meer dan 160 kwetsbaarheden op die als "high-risk" en kritiek werden aangemerkt. 

Het NCSC was het afgelopen jaar betrokken bij het afhandelen van 723 cybersecurity-incidenten. De Britse overheidsinstantie meldt verder dat het aantal ransomware-incidenten waar het bij werd ingeschakeld meer dan verdrievoudigde.

Britse internetgebruikers kunnen verdachte e-mails en phishingmails naar het NCSC sturen. Dat werd het afgelopen jaar meer dan 2,3 miljoen keer gedaan. Hierdoor konden meer dan 22.000 malafide url's en 9300 scams worden geblokkeerd of offline gehaald. Tevens gingen door toedoen van het NCSC bijna 167.000 phishing-url's offline.

Alles bij de bron; Security


 

De CoronaMelder-app is niet volledig anoniem. Het is namelijk mogelijk voor derden om te achterhalen of gebruikers van de app met corona besmet zijn, zo stelt privacyontwerper en technologiecriticus Tijmen Schep. "Je zou bijvoorbeeld stiekem in de gaten kunnen houden of je buurman besmet is geraakt."

Schep ontwikkelde een website genaamd Corona Detective waarmee dergelijke informatie te achterhalen is. Via de website is het mogelijk om te zien wie in de omgeving CoronaMelder geïnstalleerd heeft. Hiervoor is het niet nodig om de app zelf geïnstalleerd te hebben. De website vraagt toegang tot bluetooth en zoekt vervolgens naar alle telefoons in de omgeving die CoronaMelder geïnstalleerd hebben. Het is daarbij mogelijk om de afstand te zien en welke richting de telefoon op beweegt. Zo kan de gebruiker van Corona Detective bepalen welk signaal bij welke persoon hoort.

Vervolgens is het mogelijk om de door CoronaMelder uitgezonden code van een naam te voorzien. Wanneer de betreffende gebruiker later besmet blijkt en zijn codes naar de centrale server uploadt, zal Corona Detective die downloaden en kan vervolgens aan de hand van de eerder gemaakte koppeling tussen naam en code bepalen wie de besmette persoon is. Zo is het bijvoorbeeld mogelijk om te achterhalen wie het coronavirus in zijn omgeving heeft verspreid, stelt Schep....

...Niet alleen personen kunnen voor hun omgeving codes onderscheppen. Voor bedrijven kan het meten van CoronaMelder-gebruikers ook interessant zijn. Het bedrijf BlueMark biedt een platform voor bedrijven en organisaties om bezoekers van hun evenement, winkel of locatie via wifi of bluetooth te meten. In september publiceerde Bluemark een blogposting met de titel "Measure the COVID-19 app usage at your location using the BlueMark WiFi/Bluetooth platform", waarin het bedrijf uitlegde hoe ondernemers het platform kunnen gebruiken om te zien hoeveel mensen CoronaMelder hebben geïnstalleerd. Daarnaast zou met de data de drukte kunnen worden gemeten.

De blogposting is inmiddels door BlueMark verwijderd. Het bedrijf verklaart aan de NOS dat er geen klanten zijn die de CoronaMelder-signalen gebruiken. De verwijderde blogposting laat echter zien dat BlueMark tijdens een pilot in een winkelstraat het gebruik van CoronaMelder anderhalve maand heeft bijgehouden, zo ontdekten oplettende Twitteraars. BlueMark verklaart dat het hier om nepdata ging om klanten te laten zien wat technologisch mogelijk is. 

Alles bij de bron; Security


 

Het Brits Information Commissioner's Office legt hotelketen Marriott een boete van 18,4 miljoen pond op, omgerekend 20,5 miljoen euro. 

De Britse privacyautoriteit komt na onderzoek tot de conclusie dat Marriott niet de juiste technische en organisatorische maatregelen had genomen om de data van klanten voldoende te beschermen, zoals de Europese General Data Protection Regulation wel vereist. Het VK was ten tijde van de ontdekking van het datalek, in 2018, nog onderdeel van de EU, waardoor de GDPR van toepassing was.

Gegevens van 339 miljoen accounts van klanten kwamen in 2018 bij een aanval op Marriotts Starwood Hotels en Resorts Worldwide Inc op straat te liggen, waaronder onversleutelde paspoortdata. Volgens het ICO had Marriott meer moeten doen om het betreffende reserveringssysteem te beveiligen. De aanval vond al in 2014 plaats. In 2016 nam Marriott Starwood over en in 2018 werd het datalek ontdekt.

Alles bij de bron; Tweakers


 

Het op privacy gerichte sociale netwerk True heeft door een fout de persoonlijke data van gebruikers gelekt. Een dashboard voor één van de databases van de app was sinds begin september voor iedereen op internet zonder wachtwoord toegankelijk.

Zo was het mogelijk om allerlei gegevens van gebruikers te vinden, aldus TechCrunch. Het ging om e-mailadressen, telefoonnummer, inhoud van privéberichten, berichten tussen gebruikers, locatiegegevens en e-mailadressen en telefoonnummers die door gebruikers zelf waren geüpload om contacten op het sociale netwerk te vinden.

True laat aan gebruikers weten dat als ze hun account verwijderen al hun content direct van de servers wordt verwijderd, maar dat bleek niet het geval te zijn. Privéberichten, berichten en foto's bleken na het opheffen van een account nog steeds via het dashboard te bekijken.

True heeft het datalek tegenover TechCrunch bevestigd en het dashboard inmiddels beveiligd. De Android-app van True heeft meer dan 500.000 downloads. Van hoeveel gebruikers de gegevens via het dashboard toegankelijk waren is onbekend.

Alles bij de bron; Security


 

Een Finse psychotherapiepraktijk die locaties in heel Finland heeft en duizenden patiënten behandelt is afgeperst nadat een aanvaller toegang tot zeer gevoelige patiëntdata wist te krijgen. Een deel van de data, tweehonderd patiënten "records, is inmiddels door de afperser openbaar gemaakt. Het gaat om namen, adresgegevens, persoonlijke identificatienummers en patiëntenrapporten.

Als de psychotherapiepraktijk geen 450.000 euro betaalt zal de afperser elke dag honderd nieuwe records online zetten, zo meldt televisiestation YLE. De afpersers heeft naar eigen zeggen de gegevens van 40.000 patiënten in handen. In een verklaring bevestigt Vastaamo de datadiefstal en afpersing.

Alles bij de bron; Security


 

Farmaceutische gigant Pfizer heeft door een verkeerd geconfigureerde Google Cloud Storage bucket de privégegevens van honderden medicijngebruikers gelekt, alsmede informatie over gebruikte medicijnen en gezondheidstoestand. Dat laten onderzoekers van vpnMentor weten.

Pfizer had één van hun buckets verkeerd geconfigureerd, waardoor die voor iedereen op internet toegankelijk was. De bucket bevatte honderden transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht die allerlei persoonlijke identificeerbare informatie bevatten, zoals volledige naam, adresgegevens, e-mailadres, telefoonnummer en gedeeltelijke details over de medische en gezondheidstoestand.

In de transcripties werden ook de medicijnen genoemd die de gebruikers gebruikten, zoals Viagra en Advil.

Vpnmentor waarschuwde Pfizer op 13 juli, gevolgd door een tweede poging op 19 juli. Een derde poging volgde op 22 september, waarop de farmaceut reageerde. Volgens de onderzoekers stelde Pfizer dat het niet om belangrijke data ging. Daarop deelden de onderzoekers een deel van de persoonlijke informatie die ze hadden gevonden, waarop de bucket door Pfizer werd beveiligd.

Alles bij de bron; Security


 

De Volkbank schakelt de hulp van Schluss in om op een veilige en snelle manier toegang te krijgen tot persoonsgegevens van klanten die nodig zijn om een hypotheekaanvraag doen. 

Een hypotheekaanvraag duurt bij de Volksbank gemiddeld zo’n acht weken. In die tijd besteedt de bank vooral veel tijd aan het verzamelen, delen en controleren van de benodigde data van (potentiële) klanten. Denk aan inkomsten, uitgaven, leningen en eigen vermogen. Deze data is afkomstig van verschillende partijen zoals de Belastingdienst, BKR, UWV en DUO. De klanten leveren deze documenten per mail aan bij de Volksbank. Naast het feit dat dit relatief onveilig is, ontvangt de bank ook veel overbodige informatie. Dit terwijl de bank werkt aan dataminimalisatie.

Schluss ontwikkelt een datakluis waarin eindgebruikers persoonsgegevens kunnen opslaan. Zij kunnen deze data via een link openstellen voor individuen, waaronder medewerkers van bepaalde instanties. Deze toegang kan op elk gewenst moment worden stopgezet. Omgekeerd kunnen instanties toestemming vragen om specifieke data in te zien. Hiervoor moeten zij een qr-code genereren en delen met de datakluisbeheerder, die op zijn beurt het verzoek tot inzage kan goedkeuren.

Schluss brengt eind dit jaar een betáversie van hun product op de markt. Voorlopig zijn er nog geen instanties die gebruikmaken van de Schluss-app.

Alles bij de bron; Computable


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha