Onderzoekers van de Universiteit Leiden en de TU Delft hebben vastgesteld dat een groot aantal gevoelige bestanden, waaronder API-sleutels en inloggegevens, per ongeluk is blootgesteld via misconfiguraties in cloudopslag.
Het onderzoek toont aan dat 215 gevallen van blootgestelde geheime bestanden zijn geïdentificeerd. Deze bestanden kunnen toegang verlenen tot databases, cloudinfrastructuur en externe API's, waardoor er aanzienlijke veiligheidsrisico's ontstaan.
Na de ontdekking van de lekken hebben de onderzoekers de betrokken organisaties en cloudproviders op verantwoorde wijze geïnformeerd. In 95 gevallen zijn de problemen vervolgens verholpen.
De toenemende afhankelijkheid van clouddiensten voor opslag en implementatie maakt het beveiligen van cloudomgevingen van cruciaal belang. Misconfiguraties in cloudopslag kunnen leiden tot onbedoelde blootstelling van gevoelige gegevens.
Het is van essentieel belang dat organisaties hun cloudomgevingen zorgvuldig configureren en beveiligen om dergelijke incidenten te voorkomen.
Alles bij de bron; Dutch-IT-Channel
De geplande online openbaarmaking van het oorlogsarchief op 2 januari aanstaande is na een formele waarschuwing van de Autoriteit Persoonsgegevens (AP) uitgesteld.
De Autoriteit waarschuwde het Nationaal Archief voor het online openbaar maken van het oorlogsarchief, omdat dit in strijd met de Archiefwet en de Algemene verordening gegevensbescherming (AVG) is.
Het CABR is het grootste en meest geraadpleegde archief over de Tweede Wereldoorlog in Nederland. In het archief zijn dossiers opgenomen van personen die na de Tweede Wereldoorlog verdacht werden van collaboratie met de Duitse bezetter.
Het archief bevat ongeveer 485.000 dossiers van personen die verdacht werden van collaboratie of hiervoor berecht zijn. Het archief bevat veel strafrechtelijke gegevens, ook van mogelijk nog levende mensen, bijvoorbeeld in processen-verbaal, verhoren en getuigenverklaringen. In de dossiers zitten ook persoonlijke documenten zoals brieven, dagboeken en foto’s. Daarmee bevat het CABR ook veel gevoelige gegevens over bijvoorbeeld de religie, politieke voorkeur, gezondheid of etniciteit van mensen, aldus de Autoriteit Persoonsgegevens.
"Deze gevoelige gegevens hebben niet alleen betrekking op de verdachten, maar bijvoorbeeld ook op slachtoffers, getuigen en nabestaanden die in 2025 mogelijk nog in leven zijn. De wet – ook de Archiefwet – schrijft voor dat gevoelige gegevens niet zomaar voor iedereen beschikbaar mogen worden gemaakt als ze gaan over mensen die in leven zijn", laat de toezichthouder weten.
De AP had naar eigen zeggen geen andere keuze dan de minister van Onderwijs formeel te waarschuwen dat de geplande online openbaarmaking van het CABR op deze manier niet kan doorgaan. Een wettelijke grondslag kan volgens de AP wel gecreëerd worden in de Archiefwet. Daarom komt de minister met een wetswijziging met daarin een grondslag voor verwerking van bijzondere, strafrechtelijke en gewone persoonsgegevens die zijn bewaard voor archiveringsdoeleinden.
Alles bij de bron; Security
Verschillende systemen rond de Roemeense verkiezingen kregen de afgelopen weken meer dan 85.000 cyberaanvallen te verwerken.
Onder meer de IT-infrastructuur van AEP, de Roemeense verkiezingsautoriteit, is op 19 november aangevallen. Ook zijn inloggegevens van verkiezingswebsites en het centraal verkiezingsbureau (bec.ro) gestolen en gelekt op een Russisch hackersforum.
De Roemeense inlichtingendienst spreekt van 85.000 aanvallen op verkiezingsinfrastructuur. Die aanvallen gingen door tot 25 november, de avond na de eerste verkiezingsronde.
Ook op sociale media werd er last minute een stevige offensief gestart in het voordeel van Georgescu. Meer dan honderd Roemeense TikTok influencers begonnen de relatief kleine kandidaat te promoten, waardoor hij ook in de top tien van onderwerpen opdook.
Deze week maakte TikTok zelf bekend dat het een netwerk van accounts heeft verwijderd die in het geheim campagne voerden voor Georgescu. Het merkte onder meer dat er meer dan 25.000 accounts plots zeer actief werden vlak voor de verkiezing.
Alles bij de bron; Dutch-IT-Channel
TikTok moet alle gegevens rond de Roemeense verkiezingen bewaren. Daartoe heeft de Europese Unie een zogenoemd bewaringsbevel uitgevaardigd.
Roemenië is de afgelopen weken het doelwit geweest van "agressieve Russische hybride aanvallen", staat in documenten van de Roemeense veiligheidsraad. Ook de Europese Unie heeft signalen gekregen van buitenlandse inmenging tijdens de verkiezingscampagne in Roemenië. Die zou vooral hebben plaatsgevonden op TikTok.
De Europese Unie verplicht TikTok daarom om alle informatie over gebeurtenissen op het platform rond de Roemeense verkiezingen te bewaren. Op basis van die gegevens kan onderzoek gedaan worden naar de signalen van buitenlandse inmenging.
TikTok meldde eerder al dat het een netwerk van accounts heeft verwijderd die in het geheim campagne voerde voor de Roemeense rechts-radicale kandidaat Calin Georgescu.
Georgescu zou op TikTok veel aandacht hebben gekregen, onder meer door betaalde berichten en loftuitingen op accounts die daar niet voor geregistreerd waren. Daarnaast zou het algoritme van TikTok hem hebben voorgetrokken ten opzichte van andere kandidaten.
Alles bij de bron; NU
De Nederlandse inlichtingendiensten mogen IMSI-catchers alleen inzetten met voorafgaande toestemming. De AIVD en MIVD stelden dat ze alleen ministeriële toestemming nodig hadden voor het inzetten van de zendmastnabootsers, maar de toezichthouders zijn het daarmee niet eens.
IMSI-catchers zijn draagbare apparaten waarmee gebruikers een zendmast kunnen nabootsen. De apparatuur wordt door de AIVD en MIVD gebruikt om telefoonverkeer van verdachten te kunnen onderscheppen.
De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, of Ctivd, heeft samen met de Toetsingscommissie Inzet Bevoegdheden een zogeheten rechtseenheidbrief gestuurd naar de ministers van Binnenlandse Zaken en van Defensie. Die zijn verantwoordelijk voor respectievelijk de Algemene en de Militaire Inlichtingen- en Veiligheidsdiensten. In de brief schrijven de twee toezichthouders dat de AIVD en de MIVD niet zonder meer zogeheten IMSI-catchers mogen inzetten bij onderzoeken.
De ministers en de diensten stelden dat de diensten IMSI-catchers altijd mogen inzetten, met slechts toestemming van de ministers. Zij beroepen zich daarbij op artikel 40 van de Wiv 2017. Die geeft de diensten bevoegdheid voor het 'volgen en in het kader daarvan vastleggen van gegevens betreffende natuurlijke personen of zaken, al dan niet met behulp van volgmiddelen, plaatsbepalingsapparatuur en registratiemiddelen'. Daarmee zijn de toezichthouders het niet eens. "Wij beschouwen een IMSI-catcher als een zwaarder middel dan een (passief) observatie- en registratiemiddel of plaatsbepalingsapparatuur", schrijven de instanties in hun brief.
In de praktijk is er maar één rechtsgrond waarop de diensten wél IMSI-catchers mogen gebruiken, zeggen de toezichthouders. Dat is artikel 47 van de wet. Dat heeft gevolgen voor hoe de AIVD en MIVD in de praktijk moeten werken. Onder artikel 40 is er geen voorafgaande toestemming nodig van de TIB om IMSI-catchers in te zetten, maar onder artikel 47 is dat wel verplicht.
"Gelet op de privacyinbreuk die het gebruik van een IMSI-catcher door de diensten maakt, vinden wij een toetsing van de rechtmatigheid door de TIB voorafgaand aan de inzet van dit middel op zijn plaats", schrijven de toezichthouders. "Bij deze toetsing kan rekening gehouden worden met onder meer de proportionaliteit, subsidiariteit en gerichtheid van de inzet."
Ook moeten de diensten bij de inzet van IMSI-catchers anders omgaan met verzamelde data. "Ontvangen gegevens die geen betrekking hebben op het hier bedoelde nummer of technische kenmerk moeten door de diensten terstond worden vernietigd", schrijven de toezichthouders.
Alles bij de bron; Tweakers
De gegevens van meer dan één miljoen medewerkers van de Britse National Health Service (NHS) waren via verkeerd ingestelde Microsoft Power Pages voor iedereen op internet toegankelijk. Het ging om naam, adresgegevens, telefoonnummer en e-mailadres. Dat meldt beveiligingsonderzoeker Aaron Costello op basis van eigen onderzoek.
Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Het maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers.
Costello ontdekte dat verschillende organisaties de permissies van anonieme gebruikers verkeerd hadden ingesteld, waardoor die toegang hadden tot data die alleen voor geauthenticeerde gebruikers had moeten zijn. Daarnaast bleek ook dat alle data in een tabel onbedoeld als toegankelijk was aangemerkt. Hierdoor was onbeperkte leestoegang tot gegevens mogelijk.
In het geval van de gegevens van NHS-medewerkers ging het om een grote, niet nader genoemde, zakelijke serviceprovider die de gegevens voor de Britse gezondheidszorg verwerkte en de eerder genoemde configuratiefouten had gemaakt. Na te zijn ingelicht werden de instellingen aangepast.
Alles bij de bron; Security
Een spionagegroep heeft in 2022 verschillende organisaties in de VS gecompromitteerd door het wifi-netwerk van de buren te gebruiken, zo stelt securitybedrijf Volexity in een analyse. De aanvallers bevonden zich op duizenden kilometers afstand toen de aanval plaatsvond.
De aanvallers hadden eerder een password spraying-aanval tegen een publiek toegankelijke service van de organisatie uitgevoerd, wat een werkende gebruikersnaam en wachtwoord opleverde. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen.
De service in kwestie maakte gebruik van multifactorauthenticatie (MFA), waardoor alleen een gebruikersnaam en wachtwoord niet voldoende waren om op de service in te loggen. Het wifi-netwerk vereiste echter geen MFA.
De aanvallers waren niet in staat om zelf fysiek verbinding met het wifi-netwerk te maken. Om deze barrière te overkomen werden verschillende organisaties in de buurt van de aan te vallen organisatie gecompromitteerd. De doelwit organisatie, organisatie A, werd aangevallen via het wifi-netwerk van organisatie B. Organisatie B was echter aangevallen via het wifi-netwerk van organisatie C, alsmede gecompromitteerde vpn-inloggegevens.
Uiteindelijk kregen de aanvallers zo toegang tot een systeem dat zowel over een bedrade verbinding als wifi-adapter beschikte. Vervolgens werd er via deze wifi-adapter en de eerder verkregen gebruikersnaam en wachtwoord ingelogd op het netwerk van organisatie A.
Alles bij de bron; Security
De medische gegevens van 750.000 Fransen zijn door hackers openbaar gemaakt na een cyberaanval op het elektronisch patiëntendossier MediBoard.
Een hacker of hackersgroep verkoopt volgens Bleeping Computer toegang tot de systemen van MediBoard, een Frans platform om medische gegevens van ziekenhuis- en dokterspatiënten uit te wisselen. Dat platform wordt door meerdere Franse ziekenhuizen gebruikt.
De hackers zeggen toegang te hebben en toegang te verkopen tot de gegevens van 1,5 miljoen patiënten. Het gaat daarbij om persoonsgegevens en paspoort- en identiteitsbewijzen, maar ook om medische gegevens zoals facturen, medicatie en afspraken met artsen en specialisten.
De maker van het medische platform, Softway Medical Group, bevestigt in een reactie dat er inderdaad een inbraak heeft plaatsgevonden. De aanval zou hebben plaatsgevonden op 19 november.
Alles bij de bron; Tweakers
Het datalek waar de Finse hoofdstad Helsinki begin dit jaar mee te maken kreeg, en werd veroorzaakt door een vergeten beveiligingsupdate, is veel groter dan eerst gedacht. In eerste instantie werd gesproken over 80.000 leerlingen en hun ouders/voogden, alsmede 38.000 medewerkers van de onderwijsdivisie. Dat aantal werd vervolgens verhoogd naar 150.000 leerlingen/voogden.
Nu blijkt het te gaan om de gegevens van zo'n 300.000 mensen, aldus de Finse Onderzoeksraad voor Veiligheid. Dat werd verzocht een onderzoek naar het incident bij de onderwijsafdeling uit te voeren. De raad stelt dat op de gecompromitteerde netwerkschijf 2,5 miljoen documenten stonden. Hoeveel er daarvan zijn gestolen wordt nog uitgezocht.
Het is al bekend dat de aanvaller gebruikersnamen en e-mailadressen van al het stadspersoneel heeft buitgemaakt, alsmede persoonlijke 'ID's' en adresgegevens van leerlingen, voogden en personeel van de onderwijsafdeling. Ook werd er toegang verkregen tot de netwerkschijven van de organisatie. Sommige van de bestanden op de netwerkschijven bevatten vertrouwelijke of gevoelige persoonlijke informatie.
"Onze beveiligingsupdate- en systeembeheerprocedures waren onvoldoende. Na de inbraak hebben we maatregelen genomen om een soortgelijk datalek in de toekomst te voorkomen", aldus Hannu Heikkinen, chief digital officer van de Finse hoofdstad.
Alles de bron; Security
X-alternatief Bluesky heeft meer dan vijftien miljoen gebruikers. Naar verwachting komt dat omdat een groot deel van de X-gebruikers na de recente verkiezing van Donald Trump naar een nieuw platform zoekt.
Bluesky kreeg met name de afgelopen dagen een grote toestroom een nieuwe gebruikers van met name Amerikaanse gebruikers. De toename lijkt voornamelijk te komen door de uitslag van de Amerikaanse presidentsverkiezingen. Elon Musk, die ook X bezit, speelde daarin een grote rol.
Alles bij de bron; Tweakers