Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) heeft tientallen medische gegevens van mensen die hun rijbewijs wilden verlengen per ongeluk in digitale dossiers van anderen geplaatst. De gegevens kunnen niet meer worden teruggevonden.

Van 71 gevallen is bekend dat het mis is gegaan, meldt het AD. Onderzoeken van specialisten, formulieren van huisartsen, adresgegevens en burgerservicenummers werden aan de verkeerde dossiers toegevoegd. De fouten werden gemaakt in de maanden januari tot en met juni. Het CBR erkent dat het om meer dan de 71 tot nu toe ontdekte gevallen kan gaan. 21 mensen die de medische gegevens van wildvreemden ontvingen trokken zelf aan de bel. In de overige gevallen ontdekte het CBR de fouten. 

Alles bij de bron; RTL


 

In het rapport, genaamd ‘Thin Red Line: Penetration Testing Practices Examined’, toetsten de onderzoekers een ​​serie pentests met een twijfelachtige betrouwbaarheid, evenals de resultaten van die tests. Het rapport behandelde een aantal vraagstukken over de navolging van privacy- en betrouwbaarheidsverwachtingen, evenals de naleving van wettelijke vereisten en regelgeving zoals de Europese GDPR...

...In het rapport wordt gesteld dat pentests soms even gevaarlijk zijn als daadwerkelijke bedreigingen. Het onderzoek toont verder aan dat de blootstelling van klantgegevens in semi-openbare databases veel voorkomt. Dit blijkt uit een test onder 24 gerenommeerde bedrijven die pentesting aanbieden.

“In de afgelopen vijf jaar is er wereldwijd een enorme toename van partijen die offensieve testdiensten aanbieden. Dit leidt uiteindelijk tot praktijken die de beveiliging van een bedrijf aanzienlijk in gevaar kunnen brengen”, meldt Josh Lemos, VP Research & Intelligence bij BlackBerry Cylance.

Alles bij de bron; TechZine


 

Het lek zit in Biostar-2, een 'webgebaseerd, open en geïntegreerd beveiligingsplatform' waarmee gebruikers zich online kunnen identificeren bij diensten van derde partijen. Het gaat om een gecentraliseerde dienst waarmee naast gebruikersnamen en wachtwoorden ook biometrische gegevens kunnen worden opgeslagen...

...In de database stonden meer dan 27,8 miljoen records, met een totale omvang van 23 gigabyte. Die gegevens bestonden naast vingerafdrukken en gezichtsscans ook uit gebruikersnamen en onversleutelde wachtwoorden, logs van toegang tot gebouwen, beveiligingsniveau's van medewerkers en persoonlijke informatie van werknemers. De onderzoekers merken ook op dat de vingerafdrukken in hun geheel werden opgeslagen, in plaats van alleen een hash daarvan. De onderzoekers wisten de informatie niet alleen in te zien, maar ook nieuwe gebruikers toe te voegen en data te wijzigen. Zo konden zij hun eigen vingerafdruk toevoegen aan specifieke gebruikersaccounts.

De onderzoekers ontdekten het lek eerder deze maand en lichtten het bedrijf erachter in. Die heeft nog geen officiële reactie gegeven, maar de database is inmiddels niet meer online te vinden. Daarop besloten de onderzoekers hun bevindingen alsnog te publiceren. Hoe lang de data openbaar te vinden is geweest en of daar misbruik van is gemaakt is niet bekend.

Alles bij de bron; Tweakers


 

Tientallen Nederlandse gemeenten volgen bezoekers van drukke wijken en evenementen via hun telefoon. Via antennes detecteren ze wifi- en bluetooth-signalen die telefoons doorlopend uitzenden om te communiceren met andere apparatuur. Deze signalen bevatten ook unieke codes waarmee de telefoon, en mogelijk ook de eigenaar, geïdentificeerd kan worden.

Op de eigen website vertelt CityTraffic, een van de twee grote Nederlandse leveranciers, dat het ook kan vastleggen „hoeveel unieke bezoekers er in een winkelstraat zijn, hoe lang zij verblijven, hoe zij lopen en hoe vaak zij terugkomen.” 

Al in 2014 ontdekte techsite Tweakers dat Dixons, MyCom en iCentre het komen en gaan van winkelbezoekers in kaart brachten. Naast signalen van telefoons gebruikten zij ook camera’s om vragen te beantwoorden als: ‘Hoeveel klanten zijn er op verschillende uren van de dag in onze winkels? Hoe lopen ze door de winkel, en voor welke schappen blijven ze staan?’ De betrapte ketens bezwoeren dat er geen sprake van inbreuk op de privacy was, omdat de gegevens niet werden opgeslagen.

De technologie om de locatie van telefoons te volgen werd sindsdien veel geavanceerder en wordt op steeds meer openbare plekken geïnstalleerd. Net als bij veel ‘gratis’ wifi-verbindingen staat hiervoor een toestemmingsclausule in de gebruiksvoorwaarden. 

Onderzoekers van de universiteiten van Calgary, Madrid en Berkeley troffen onlangs ook duizend apps aan die zonder toestemming locatiedata vastleggen. De apps koppelen die informatie vaak aan de namen, demografische gegevens en zo mogelijk ook het Facebook-profiel van de gebruiker. Apps die gebruikers netjes vragen hun locatiedata te delen, verbinden daar vaak ‘exclusieve’ aanbiedingen of service aan.

Marketeers noemen dat ‘geo-targeted’ en ‘hyper-relevant’ adverteren. De kans dat consumenten op een commercieel aanbod reageren, groeit door het afstemmen op de locatie van de ontvanger al snel met honderden procenten. Volgens onderzoek door BIA Advisory Services spenderen marketeers dit jaar 26 miljard dollar aan reclamecampagnes, apps en andere marketinguitingen waarin rekening wordt gehouden met de locatie van de beoogde doelgroep.

Alles bij de bron; NRC


 

Op miljoenen Android-telefoons is malware gevonden in apps die door de fabrikanten worden geïnstalleerd vóór de verkoop, aldus CNET dat zich baseert op een presentatie van een veiligheidsonderzoeker van Google.

Volgens Maddie Stone, veiligheidsonderzoeker van Google, vormt de vooraf geïnstalleerde malware een grote dreiging, doordat antivirusprogramma’s ze niet detecteren. Ook is de malware lastiger te verwijderen; de apps kunnen niet verwijderd worden, tenzij de producent een beveiligingsupdate uitstuurt.

Stone onderzocht verschillende vooraf geïnstalleerde apps die malware bevatten. Deze apps werden door zo’n 225 telefoonproducten gebruikt, waarbij miljoenen gebruikers werden getroffen. De malware maakte het mogelijk om Android-telefoons op afstand over te nemen en ongemerkt apps te installeren.

Alles bij de bron; NU


 

Uitschrijfdienst Unroll.Me heeft stiekem persoonlijke e-mails van gebruikers gedeeld met moederbedrijf Slice, dat de e--mails vervolgens voor marktonderzoeksproducten gebruikte. Unroll.Me biedt gebruikers de mogelijkheid om zich eenvoudig voor allerlei nieuwsbrieven uit te schrijven.

Daarnaast verzamelt de dienst nieuwsbrieven die gebruikers wel willen zien en toont die in één dagelijkse e-mail. Om de nieuwsbrieven te kunnen beheren vraagt Unroll.me toegang tot het e-mailaccount van de gebruiker, die hiervoor zijn inloggegevens moet afstaan. 

Tienduizenden gebruikers besloten dit in eerste instantie niet te doen en Unroll.Me stuurde deze gebruikers vervolgens een bericht waarin het liet weten dat het persoonlijke e-mails van gebruikers niet aanraakte. Op deze manier wist de uitschrijfdienst meer dan 55.000 gebruikers te overtuigen om het toch toegang tot het e-mailaccount te geven.

Persoonlijke e-mails werden echter wel gebruikt en gedeeld. Het ging dan om e-mails van producten en diensten die gebruikers hadden gekocht. Unroll.Me deelde deze e-mails met moederbedrijf Slice, dat de aankoopinformatie uit de berichten voor haar marketingonderzoeksproducten gebruikte.

Volgens de Amerikaanse toezichthouder FTC heeft Unroll.Me gebruikers op deze manier misleid. Het bedrijf heeft nu een schikking met de FTC getroffen. Als onderdeel van de schikking mag Unroll.Me gebruikers niet meer misleiden en moet het gebruikers informeren die na de misleidende verklaring besloten om de dienst toch toegang tot hun e-mailaccount te geven.

Alles bij de bron; Security


 

...wat niemand zag aankomen, is dat de AVG ook als wapen gebruikt kan worden in het arsenaal van kwaadwillende social engineers, hackers en mensen die anderen willen doxen en lastigvallen. 

Een onderdeel van de AVG is namelijk dat alle Europeanen bij elk bedrijf kunnen opvragen welke gegevens ze over hen hebben. Pavur en Knerr onderzochten of die informatieverzoeken gebruikt konden worden om gevoelige informatie van anderen te verkrijgen.

Dat is wat cybersecurity-onderzoeker James Pavur ontdekte toen hij en Casey Knerr, zijn verloofde en de co-auteur van hun onderzoek, een wedje legden over de AVG. “De weddenschap hield in dat ik haar identiteit kon stelen met die verzoeken,” zegt Pavur.

“James heeft de weddenschap gewonnen,” zegt Knerr. Dankzij de AVG kon hij persoonlijke informatie over Knerr opvragen, waaronder haar burgerservicenummer (BSN). Samen met Knerr, die ook in de cybersecurity-industrie werkt – en met haar volledige toestemming – bedacht Pavur een slim, maar simpel experiment.

Hij begon met Knerrs naam en achternaam, een paar e-mailadressen, telefoonnummers en ander laaghangend fruit dat hij online kon vinden. Met een e-mailadres dat eruitzag als dat van Knerr stuurde hij informatieverzoeken naar 75 bedrijven en met de gegevens die hij kreeg – waaronder Knerrs adres – stuurde hij nieuwe informatieverzoeken naar 75 andere bedrijven.

Met die verzoeken kreeg Pavur veel gegevens van Knerr in handen, zoals haar BSN, geboortedatum, meisjesnaam van haar moeder, wachtwoorden, eerdere adressen, reis- en hotelgegevens, cijfers van de middelbare school, gedeeltelijke creditcardnummers en informatie over of ze ooit een online datingdienst had gebruikt.

...Volgens Pavur en Knerr reageerde een kwart van de bedrijven die hij benaderde helemaal niet. Twee derde van de bedrijven, waaronder de online datingdiensten, reageerde met zoveel informatie dat Pavur erachter kwam dat zijn verloofde een account had op een datingsite. Van de bedrijven die reageerden, gaf een kwart zomaar gevoelige informatie weg zonder de identiteit van Knerr te verifiëren. 15 procent vroeg om informatie die gemakkelijk vervalst kan worden en 40 procent van de bedrijven vroeg om identificatie-informatie die volgens het onderzoek relatief moeilijk is om te vervalsen.

Pavur concludeert dat we betere mechanismen nodig hebben om te verifiëren dat de persoon die het informatieverzoek doet ook echt is wie hij beweert te zijn. Sommige bedrijven waren best goed in het verifiëren van zijn identiteit. Maar in andere gevallen namen bedrijven niet eens de moeite om te vragen naar verificatie en stuurden ze gewoon de gegevens terug, zoals in het geval van het bedrijf dat Knerrs BSN meteen aan Pavur gaf.

Alles bij de bron; Vice


 

De Australische overheid heeft bedrijven en organisaties in het land gewaarschuwd voor password spraying, aangezien het een toename van deze aanval ziet om toegang tot webmail of cloudgebaseerde diensten zoals Office 365 te krijgen.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt...

...Om de aanvallen te voorkomen adviseert het Australische Cyber Security Centre (ACSC) om multifactorauthenticatie te implementeren op alle systemen met externe toegang, het gebruik van complexe wachtwoorden via een policy te verplichten, wachtwoorden van getroffen accounts te resetten, geo blocking, ip-whitelisting of vpn's in te voeren en monitoring uit te breiden.

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha