Gegevens

Hoofdcategorie: Internet en Telecom

24 juli 2020

Profielen van dna-database GEDmatch waren door een aanval op een server tijdelijk voor alle gebruikers toegankelijk, waaronder politie. GEDmatch is een database met genetische data afkomstig van verschillende dna-testdiensten zoals 23andMe, FTDNA en AncestryDNA. In database staan 1,2 miljoen mensen.

...Afgelopen zondag werd GEDmatch naar eigen zeggen doelwit van een "geraffineerde aanval" op één van de servers, waarbij de aanvallers via een bestaand gebruikersaccount wisten binnen te komen. Door de aanval werden de permissies van gebruikers gereset. Daardoor waren alle profielen voor alle gebruikers zichtbaar, waaronder politie. Profielen van gebruikers die geen toestemming hadden gegeven om toegankelijk te zijn voor opsporingsdiensten waren dat drie uur lang wel...

...Tijdens onderzoek naar de aanval werd ontdekt dat de website nog steeds kwetsbaar was, waarop besloten werd die uit de lucht te halen. Twee dagen na de aanval op GEDmatch meldde dna-testdienst MyHeritage dat gebruikers het doelwit van een phishingaanval waren. De phishingsite is inmiddels uit de lucht gehaald. MyHeritage biedt twee-factor-authenticatie voor accounts en raadt gebruikers aan dit in te stellen.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

24 juli 2020

Het klinkt als een flauwe grap, maar ondertussen zijn meer dan duizend onbeveiligde databases permanent verwijderd door de aanvallen. Daarbij laat de aanvaller in kwestie alleen het woord 'meow' (de Engelse versie van 'miauw', moest dat niet duidelijk zijn) achter als visitekaartje.

De aanval kwam eerst aan het licht toen hij een database van gelekte gebruikersgegevens vernietigde. Het gaat daarbij om een slecht beveiligde database aan gebruikersgegevens van de UFO vpn-dienst. Dat lek bevatte onder meer wachtwoorden, IP-adressen, sessie-logs, locaties en andere gevoelige informatie van gebruikers, die door de dienst zelf niet met de nodige voorzichtigheid werd bijgehouden.

Dat UFO vpn-lek is op zich al een schandaal, niet alleen omdat er dus bijzonder gevoelige informatie werd gelekt, maar ook omdat de vpn-dienst altijd beloofd had dat het geen logs bijhield, iets wat het lekken van sessie-logs moeilijk zou moeten maken. 

Meow (want zo gaan we die aanval vanaf nu uiteraard altijd noemen) heeft sindsdien nog meer dan duizend andere databanken vernietigd. Het lijkt te gaan om een bot die automatisch op zoek gaat naar slecht beveiligde databases. Er wordt geen losgeld gevraagd en geen verdere uitleg gegeven. De data zijn gewoon weg, zoals het glas dat je kat net van de kast heeft gemept.

Alles bij de bron; DutchIT

Gegevens

Hoofdcategorie: Internet en Telecom

23 juli 2020

Krijg je een sms met een link om de CoronaMelder-app of CoronaApp te downloaden? Klik dan niet op de link die in het bericht staat. De sms komt namelijk niet echt van het RIVM, het gaat hier om phishing.

De afzender van het sms-bericht wordt weergegeven als het telefoonnummer 0800-1202. Dit klopt echter niet; de berichten zijn niet verzonden door de Nederlandse overheid. Het ministerie raadt dan ook aan om niet op de link in de sms te klikken en het bericht direct te verwijderen van je telefoon.

Alles bij de bron; Margriet

Gegevens

Hoofdcategorie: Internet en Telecom

22 juli 2020

Een app die de Zuid-Koreaanse overheid ontwikkelde voor mensen die in quarantaine moeten heeft de privégegevens van 162.000 gebruikers gelekt. Het gaat om naam, geboortedatum, geslacht, nationaliteit, adresgegevens, telefoonnummer, real-time locatie en medische klachten.

"We hadden erg veel haast om deze app zo snel als mogelijk te ontwikkelen en uit te rollen om de verspreiding van het virus tegen te gaan", zegt Jung Chan-hyun van het Zuid-Koreaanse ministerie van Binnenlandse Zaken. "We konden geen tijdrovende veiligheidscontrole van de app veroorloven die de uitrol zou vertragen."

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

22 juli 2020

Internetgebruikers worden op allerlei manieren op internet gevolgd en het gebruik van trackingparameters in url's is er daar één van. Aanleiding voor de Brave-browser om bekende trackingparamters uit de url's te verwijderen die gebruikers openen, zo laat de ontwikkelaar in een blogposting weten.

Via een url-parameter is het mogelijk om informatie over een klik van een gebruiker te verzamelen. De parameter wordt na het ? in de url toegevoegd, bijvoorbeeld https://example.org?fbclid=uniquevalue. Via de Facebook Click Identifier (fbclid) kan Facebook zien wanneer iemand op de link klikt en zo welke websites hij of zij buiten Facebook bezoekt. De Google Click Identifier (gclid) van Google koppelt advertentie- en analyticsdata aan elkaar, net zoals Microsoft via het Microsoft Click ID (msclkid) doet.

De ontwikkelaars van Brave stellen dat trackingparameters lastig door een browser zijn te blokkeren, omdat ze aanwezig zijn in de url die de gebruiker wil bezoeken, naast mogelijke onschuldige waardes in de link. Het willekeurig blokkeren van url's met een parameter zou ervoor zorgen dat gebruikers allerlei websites niet meer kunnen bezoeken. Daarom maakt Brave gebruik van een lijst met bekende trackingparameters. Wanneer de browser een dergelijke parameter tegenkomt, zoals fbclid, wordt die uit de url verwijderd.

De browserontwikkelaar merkt op dat het meer trackingparameters wil gaan identificeren en blokkeren, en zal hiervoor binnenkort automatische crawlers in gaan zetten. Verder worden er maatregelen genomen om false positives met het verwijderen van de parameters tegen te gaan. De functionaliteit om trackingparameters te verwijderen is alleen aanwezig in de Android- en desktopsversies van Brave. 

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

21 juli 2020

Het HagaZiekenhuis is opnieuw de fout in gegaan met patiëntgegevens. Twee jaar lang heeft het hospitaal gegevens van patiënten van de KNO-afdeling gedeeld met een bedrijf terwijl dat niet conform de AVG gebeurde. Volgens het ziekenhuis zijn alle betrokken patiënten geïnformeerd. Volgens Omroep West zou het om 6493 mensen gaan.

De patiënten vulden voor een consult vragenlijsten in die waren ontwikkeld door het bedrijf Outcome Measurement. De antwoorden werden zowel in het patiëntendossier als in de database van het bedrijf opgeslagen. Omdat de methode zo succesvol was, wilde het ziekenhuis bekijken of die ook bij andere poliklinieken kon worden gebruikt. Tijdens dat onderzoek bleek dat de vragenlijsten niet aan de AVG-privacyregels voldoen. 

Reden voor Haga direct te stoppen met de vragenlijsten en een externe partij in te schakelen om na te gaan hoe het verkeerd is kunnen gaan.

Het is niet de eerste keer dat het ziekenhuis in opspraak raakte vanwege persoonsgegevens. In 2018 werd bekend dat zorgmedewerkers zonder toestemming het dossier van realityster Barbie hadden bekeken. Een medewerker van het ziekenhuis werd vorig jaar ontslagen omdat ze patiëntgegevens in een winkelwagentje van een supermarkt liet liggen. Ze had het papier gebruikt als boodschappenlijstje.

Alles bij de bron; Telegraaf

Gegevens

Hoofdcategorie: Internet en Telecom

20 juli 2020

Zeven vpn-providers die vanuit Hong Kong opereren en claimen geen logs bij te houden hebben via een onbeveiligde server wachtwoorden en persoonlijke gegevens van miljoenen gebruikers gelekt.  Het gaat om FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN en Rabbit VPN, zo meldt vpnMentor.

De gelekte data bevat allerlei persoonlijke gegevens van gebruikers, waaronder namen, e-mailadressen, adresgegevens, plaintext wachtwoorden, bitcoin-betaalinformatie, supportberichten, apparaatgegevens, accountinformatie en andere zaken. Ook werden activiteitenlogs met ip-adressen en bezochte websites aangetroffen. Op basis van claims die de vpn-providers zelf maken zou het om data van meer dan 20 miljoen gebruikers gaan.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

20 juli 2020

Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit gaat de corona-app van de overheid installeren als die straks komt, maar wel op een apart toestel. Ook zal hij dit toestel niet overal mee naar toe nemen, zo liet Jacobs in een interview weten. 

De hoogleraar voegt toe dat hij van plan is om de telefoon met de corona-app maar af en toe bij zich te dragen en de app maar af en toe zal aanzetten. "Bijvoorbeeld als ik in de trein ga zitten, maar als ik thuis ben ga ik die app niet aanzetten. Ik wil er zelf controle over houden wanneer ik die app wel of niet aanzet." Jacobs stelt dat het gebruik van een corona-app mensen passief maakt en het een onvoorspelbaar psychologisch effect kan hebben. "Het zal mij niet verbazen als na het uitkomen van de app het aantal besmetting omhoog gaat", merkte de hoogleraar op. "Dit is één groot sociaal medisch technisch experiment wat er met deze app gaat gebeuren."

Ook heeft Jacobs zorgen over de technologie. Eerder liet hij al weten dat dit technologie is waar dictators opgewonden van raken. "Dit is het soort techniek waar je heel rare dingen mee kunt doen", reageert Jacobs in het interview. Zo zou het mogelijk zijn om via een dergelijke app mensen met een bepaalde politieke achtergrond of mening in kaart te brengen. "Natuurlijk wordt er nu gezegd dat dat niet wordt gedaan, maar je normaliseert een bepaalde techniek die ik bloedlink vind."

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

18 juli 2020

Door middel van je inzagerecht kun je bij organisaties en bedrijven je persoonlijke gegevens opvragen. Dat kun je ook doen bij je accounts op sociale media, zoals Facebook, Snapchat, Instagram en Twitter. We leggen stap voor stap uit hoe je dat precies doet en wat je ermee kunt...

...Het opvragen van gegevens kan en mag in principe overal. Er is een aantal uitzonderingen op de regel, bijvoorbeeld wanneer de openbare veiligheid in het geding komt. Maar het is jouw recht om je eigen gegevens te kunnen bekijken. Lees hier meer over je inzagerecht en wat je ermee kunt. 

Gegevens

Hoofdcategorie: Internet en Telecom

17 juli 2020