Het Duitse autoverhuurbedrijf Buchbinder heeft via een onbeveiligde MSSQL-database de gegevens van meer dan 3 miljoen klanten gelekt, waaronder beroemdheden, politici, ministeries en ambassades. De tien terabyte aan klantendata was wekenlang voor iedereen op internet zonder wachtwoord toegankelijk.
Tevens ontdekten de onderzoekers een database met meer dan 500.000 ongelukken die tot 2006 teruggingen. Naast informatie over de bestuurders van de huurauto's en namen, adresgegevens en kentekennummers van de andere partij in het ongeluk, werden ook gegevens van getuigen gevonden, zoals telefoonnummers. De onderzoekers zagen ook namen en contactgegevens van personen die bij het ongeluk waren overleden of gewond geraakt. Naast de tijd en locatie stond er in de gegevens ook vermeld of de politie een bloedonderzoek had gevraagd.
Alleen het invoeren van het ip-adres van de server in bijvoorbeeld Windowsverkenner was voldoende, zo meldt het Duitse magazine c't dat over het datalek bericht. De oorzaak van het datalek was een configuratiefout in de back-upserver. Poort 445 stond open, waardoor de server en back-ups via het SMB-protocol toegankelijk waren. Burchbinder is één van de grootste autoverhuurbedrijven van Duitsland met 165 locaties in Europa en 2500 medewerkers.
Alles bij de bron; Security
‘Een zwaar deontologisch probleem, schandalig, ontoelaatbaar’. Minister van Sociale Zaken Maggie De Block (Open VLD) is in alle staten nu blijkt dat verzekeringsartsen de digitale medische dossiers van patiënten hebben kunnen inkijken. De Morgen schreef dat die artsen de informatie in die dossiers zo kunnen gebruiken om de terugbetaling in verzekeringsdossiers te betwisten.
Volgens De Block komen deze lekken neer op misbruik en fraude, zeker als zou blijken dat de gegevens in dossiers aangepast zouden zijn. ‘Dat heeft alles te maken met een volledig gebrek aan normbesef bij de betrokken artsen. Ze beschadigen daarmee de rechten en het vertrouwen van individuele patiënten en ondermijnen ook het vertrouwen van veel andere burgers in zorgverleners en in IT-systemen’, klinkt het.
De digitale dossiers zijn bedoeld om het delen van medische gegevens te faciliteren als de patiënt daar zijn of haar toestemming voor heeft gegeven. Maar daar zijn strikte voorwaarden aan verbonden.
Bron; de Standaard
Microsoft heeft via een onbeveiligde database miljoenen klantgegevens gelekt. Volgens het techbedrijf was de klantensupportdatabase door een misconfiguratie 25 dagen lang voor iedereen op internet toegankelijk.
De miljoenen records bleken logs te bevatten van gesprekken tussen Microsoftmedewerkers en klanten van over de gehele wereld. Het ging om een periode van 14 jaar, van 2005 tot december 2019. De data was voor iedereen op internet met een browser toegankelijk. Er was geen wachtwoord of andere vorm van authenticatie vereist. Microsoft en Diachenko stellen dat de meeste persoonlijke identificeerbare informatie, zoals e-mailnamen, contractnummers en betaalinformatie, was verwijderd.
In veel records werden echter toch persoonlijke gegevens aangetroffen, zoals e-mailadressen, ip-adressen, locaties, oplossingen, interne notities gemarkeerd als vertrouwelijk en andere zaken.
Alles bij de bron; Security
21 januari 1950 stierf schrijver George Orwell. In zijn klassieker 1984 schetste hij een inktzwarte dystopische toekomst met een alwetende surveillancestaat en Big Brother die in elk huis, op elke straathoek alles en iedereen in de gaten houdt via telescreens: schermen met een ingebouwde camera.
Is die surveillancestaat dichterbij dan we denken? Daarover gaat het in De Nieuws BV.
70 jaar na Orwell loopt bijna iedereen met een 'tiny brother' rond we appen, Instagrammen en Google Mapsen ons een slag in de rondte. Intussen zijn de telefoon en veel apps die we zo graag gebruiken vaak heel precies aan het bijhouden waar we ons bevinden.
De coördinaten van die plek worden soms alleen op jouw eigen telefoon gebruikt. Sommige apps seinen jouw locatie door naar de server van de app-aanbieder die de gegevens voor kortere of langere tijd opslaat en ze dan verwijdert of juist doorverkoopt.
Alles bij de bron; NPORadio1 [tekst, audio & videofragment]
Sinds de invoering van de AVG in 2018 zijn er in Nederland 40.647 datalekken gemeld. Dat zijn er meer dan alle andere EU-landen. In totaal zijn er 160.921 datalekken gemeld. Daarnaast hebben Europese gegevensbeschermingsautoriteiten 114 miljoen euro aan AVG-boetes opgelegd.
Het is het tweede jaar op rij dat Nederland de nummer een positie inneemt als het gaat om de hoeveelheid gemelde datalekken, zo blijkt uit het rapport van het juridische kantoor DLA Piper. Uit die informatie blijkt dat Duitsland relatief dicht bij het Nederlandse aantal datalekken komt, met 37.636 meldingen. Het Verenigd Koninkrijk volgt met 22.181 lekken.
Nederland heeft volgens het rapport sinds de invoering van de AVG 460.000 euro aan boetes uitgedeeld.
Alles bij de bron; Tweakers
Zeker zestig dienstkaarten van leerling-agenten van de Oost-Vlaamse politieschool PAULO zijn spoorloos. Volgens een goede bron verdwenen ze telkens in de school. Gevreesd wordt dat mensen met slechte bedoelingen ze gaan gebruiken om zich voor te doen als valse agenten. Of de kaarten verloren of gestolen zijn is niet duidelijk.
Politieschool Paulo kwam eerder al in het nieuws toen bekend raakte dat de persoonlijke gegevens van honderden docenten, allen politiemensen en magistraten, gestolen werden nadat de website van de school gehackt werd. Verschillende docenten worden sindsdien lastiggevallen door een buitenlandse phishingbende die de geheime bankcode van de slachtoffers probeert te ontfutselen.
Alles bij de bron; Nieuwsblad
Winkelketen Blokker heeft last gehad van een datalek. Er is ingebroken bij accounts, al is niet bekend bij hoeveel klanten dat gebeurde.
Blokker schrijft dat in een e-mail naar klanten, die inmiddels door meerdere tweakers is ontvangen. "Met een aantal e-mailadressen is geprobeerd in te loggen bij meerdere accounts op Blokker.nl", schrijft het bedrijf. Dat gebeurde 'eerder deze week'. De winkelketen schrijft dat het geen aanwijzingen heeft dat de gebruikte e-mailadressen en wachtwoorden zijn buitgemaakt bij Blokker zelf. Mogelijk werd er gebruik gemaakt van credential stuffing. Het bedrijf schrijft dat inbrekers toegang hadden de contactgegevens en bestelhistorie van klanten. In de Blokker-accounts stonden 'geen bank- of betalingsgegevens', staat in de e-mail.
Het bedrijf heeft de getroffen accounts geblokkeerd. Klanten kunnen het laten deblokkeren door de klantenservice te bellen, die dan een resetlink stuurt. Blokker heeft melding gedaan bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Google heeft een nieuwe versie van Chrome uitgebracht die in totaal elf beveiligingslekken verhelpt, waaronder een kritieke kwetsbaarheid in de spraakherkenningsfunctie van de browser. Via dit lek is het mogelijk om systemen van Chrome-gebruikers in het ergste geval volledig over te nemen. Een aanvaller kan via dergelijke beveiligingslekken code op het systeem van gebruikers uitvoeren. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie vereist.
Tevens heeft Google aan de nieuwste versie van Chrome beveiligingsmaatregelen toegevoegd die gebruikers moeten beschermen tegen het crypto-lek in Windows waarvoor deze week een patch van Microsoft verscheen. Via de kwetsbaarheid zijn man-in-the-middle-aanvallen uit te voeren en is het mogelijk om malware van een legitiem lijkende digitale handtekening te voorzien.
De overige verholpen kwetsbaarheden maakten het mogelijk om code binnen de context van de browser uit te voeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Updaten naar de Chrome 79.0.3945.130 zal op de meeste systemen automatisch gebeuren.
Alles bij de bron; Security
De politie heeft een Arnhemmer opgepakt die in verband wordt gebracht met het populaire WeLeakInfo. De website verkocht abonnementen waarmee gebruikers door miljarden gestolen inloggegevens konden grasduinen.
De beveiligingscamera's van het Chinese merk Xiaomi werken weer met de Google Nest Hub, bevestigt het bedrijf aan 9to5Google en XDA Developers. Google weerde het bedrijf begin januari van zijn slimme speaker met scherm, omdat bezitters camerabeelden van andere gebruikers te zien kregen.
Hoe het probleem kon ontstaan en hoeveel mensen de beelden van Xiaomi-camera's op de Nest Hub van een andere gebruiker werden getoond is vooralsnog niet duidelijk.
Alles bij de bron; NU