Databeveiliging & Dataverlies

Tutanota biedt end-to-endversleuteling als zowel zender als ontvanger een Tutanota-account heeft. Dat betekent dat berichten op het apparaat van gebruikers worden versleuteld en pas bij de ontvanger worden ontsleuteld. Tutanota zelf kan dan de inhoud niet inzien.

Als bij een e-mailconversatie een van de twee partijen geen account bij Tutanota heeft, kan er geen sprake zijn van end-to-end-encryptie: het bedrijf versleutelt een bericht dan zodra het zijn servers bereikt. Tot deze categorie berichten moet Tutanota op verzoek toegang bieden.

Het bedrijf verklaarde niet aan het verzoek van de rechtbank te willen voldoen. "Ik dacht dat de eis verkeerd was toen we de brief ontvingen en ik denk dat het vandaag de dag nog steeds verkeerd is", zegt Tutanota-directeur Matthias Pfau tegen de Süddeutscher Zeitung. Eerder dit jaar oordeelde het Duitse gerechtshof dat Tutanota de gegevens moet verstrekken en een boete van duizend euro moet betalen.

Ontwikkelaars van de dienst maken nu een functie die kopieën van e-mails maakt die de politie kan lezen als er een geldig bevel van een Duitse rechtbank binnenkomt. Het gaat hierbij dus niet om berichtenverkeer tussen twee Tutanota-gebruikers dat beschermd is met end-to-end-encryptie: daartoe kan geen toegang gegeven worden.

Alles bij de bron; Tweakers


 

Het Europese identificatiesysteem eIDAS (electronic Identification, Authentication and trust Services) bevatte een lek waardoor hackers zich bij een officiële transactie voor konden doen als iedere EU-burger of een Europees bedrijf. Het lek is inmiddels gedicht met een patch. 

Simpel gezegd zorgt het systeem ervoor dat burgers en bedrijven eenvoudiger kunnen praten met instellingen binnen de Europese Unie, doordat ze zich online kunnen identificeren.

Om dat mogelijk te maken, worden digitale handtekeningen en transacties geverifieerd tegen officiële databases, die in ieder EU-land staan. Die databases bevatten alle transacties, ongeacht waar deze in eerste instantie hebben plaatsgevonden. Dat systeem bleek dus een lek te bevatten, ontdekten beveiligingsonderzoekers van SEC Consult. 

Het probleem bevond zich binnen eIDAS-Node, het officiële softwarepakket dat overheidsorganisaties op hun servers draaien om eIDAS-transacties met hun privédatabases te ondersteunen. De problemen zijn inmiddels door de Europese Commissie opgelost. Vandaag wordt een patch uitgerold naar de lidstaten, samen met het dringende advies om het systeem zo snel mogelijk te updaten. 

Alles bij de bron; AGConnect


 

De website van het Bewoners Aanspreekpunt Schiphol (BAS) ging deze week uit de lucht nadat bekend was geworden dat er een datalek is. Wel kunnen nog telefonisch klachten worden doorgegeven over het vliegverkeer.

„Door een melding bij de Autoriteit Persoonsgegevens is bekend geworden dat de beveiliging van de klachtendatabase van Schiphol niet op orde is. De bewonersdelegatie is daarvan zeer geschrokken, zij mocht ervan uitgaan dat Schiphol zorgvuldig zou omgaan met persoonlijke gegevens van klagers”, laat voorzitter Matt Poelmans weten.

De gegevens van "bijna 60.000" mensen die via het Bewoners Aanspreekpunt Schiphol (BAS) een klacht hebben ingediend, waren inzichtelijk via een lek in de website van het klachtenloket, bevestigt een woordvoerder vrijdag na eerdere berichtgeving door de actiegroep SchipholWatch. Afhankelijk van de situatie zijn namen, adressen, e-mailadressen, telefoonnummers en wachtwoorden van klagers gelekt. 

De bewonersdelegatie grijpt het datalek aan om te pleiten voor een andere manier van klachtenafhandeling. „Behalve dat het kennelijk schort aan beveiliging is de kritiek dat er te weinig wordt gedaan met deze gegevens. Het blijft beperkt tot registratie van klachten, zonder dat er voldoende wordt gedaan om de oorzaken weg te nemen. Nu het klachtensysteem opnieuw moet worden opgezet, eisen wij dat de klachtenprocedure wordt gemoderniseerd en er serieus werk wordt gemaakt van die informatie”, eist Poelmans.

Schiphol laat in een reactie weten dat BAS dan wel is opgezet door de luchthaven en de luchtverkeersleiding, maar dat het meldpunt onafhankelijk is. Zij registreren alle klachten en maken eigen rapportages. 

Alles bij de bron; Gooi & Eemlander & NU [bron update]


 

Minister Hoekstra van Financiën is vanwege de vele zorgen over de privacy van ondernemers als gevolg van de invoering van het UBO-register met de Kamer van Koophandel tot twee aanvullende maatregelen gekomen. De identificatie van raadplegers van het register wordt verbeterd met betrouwbaarder identificatiemiddelen en uiteindelijk belanghebbenden krijgen inzicht in hoe vaak hun informatie wordt geraadpleegd. Dat schrijft de minister in de nota naar aanleiding van het verslag UBO-register die hij vrijdag samen met de nota van wijziging aan de Tweede Kamer heeft gestuurd.

Ten eerste wordt de identificatie van raadplegers van het register verbeterd. Een account om informatie uit het handelsregister op te vragen bestaat momenteel uit een zelfgekozen naam en wachtwoord, zonder robuuste verificatie van de identiteit. Ik wil dat de vaststelling van de betrouwbaarheid van de identiteit van de raadpleger verhoogd wordt. Dit maakt de drempel voor kwaadwillenden om het register te misbruiken hoger omdat daarmee de identiteit van die personen wordt vastgelegd door de Kamer van Koophandel en eventueel teruggehaald kan worden in geval van strafrechtelijk onderzoek. 

Ten tweede krijgen uiteindelijk belanghebbenden inzicht in hoe vaak hun informatie wordt geraadpleegd. Raadplegingen door de FIU-Nederland en bevoegde autoriteiten zijn hiervan uitgezonderd. Het inzicht in de hoeveelheid raadplegingen komt tegemoet aan de wens van meerdere vertegenwoordigers van belanghebbenden. Het geeft UBO’s een beeld van de verwerking van hun gegevens.

Alles bij de bron; Accountancy-van-Morgen (via DeDikkeBlauwe)


 

De website van een Nederlandse vermogensbeheerder is lek. Nobel Vermogensbeheer, dat particulieren en ondernemingen bedient die minstens 100.000 euro kunnen beleggen, heeft informatie op internet staan die niet voor de buitenwereld is bedoeld. Zo was op de website een persoonlijke brief aan een klant te lezen. Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land.

De brief is gericht aan een winkelier die zijn zaak heeft gesloten en voorbereidingen treft voor zijn pensioen. ‘Persoonlijk’ staat erboven en de ondertekening is van directeur Suzanne Band en een vermogensbeheerder van Nobel. De brief schetst de vermogenspositie van de winkelier en noemt allerlei bedragen. Bijvoorbeeld over de hypotheken van de winkelier zelf en een van zijn kinderen. De brief stond tot gisteren in een map die publiek toegankelijk is en door Google te vinden is.

Ook stond er per abuis een handleiding online waarin Nobel de IT-procedures en de gebruikte computersystemen beschrijft. Deze procedures moeten het risico beheersen “dat dataverlies ontstaat vanwege falende of gebrekkige procedures en systemen in combinatie met tekortschietende interne controles.” Dit document is voor intern gebruik...

...in allerlei mappen zijn computerbestanden zichtbaar, onder meer met een verouderde softwarebibliotheek genaamd ‘PHPExcel’. De ontwikkelaars ervan ontraden al twee jaar om het nog te gebruiken. Opgeteld wijzen deze voorbeelden op een slordige en riskante manier van werken. Nobel heeft de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten op de hoogte gesteld. Ook heeft Nobel contact gezocht met de klant en de brief verwijderd.

Alles bij de bron; Trouw


 

Een reserveringssysteem dat door tal van hotels, reisbureaus en accommodaties wordt gebruikt heeft via een open database 179GB aan data van hotelgasten en reizigers gelekt. De database was afkomstig van AutoClerk, een reserveringssysteem dat eigendom van Best Western Hotels is en door allerlei partijen en externe platformen wordt gebruikt.

Onderzoekers van vpnMentor ontdekten de database, die miljoenen records bleek te bevatten. Het ging onder andere om naam, geboortedatum, adresgegevens, telefoonnummer, datums, reiskosten, gemaskeerde creditcardgegevens, kamernummers en inchecktijd.  

In één van de databases werden persoonsgegevens en reisplannen van Amerikaanse overheids- en militair personeel gevonden. Het ging onder andere om gegevens van Amerikaanse generaals, waaronder hun e-mailadressen, telefoonnummers en andere gevoelige persoonlijke data.

De database werd op 13 september ontdekt, waarna het United States Computer Emergency Readiness Team (US-CERT) werd benaderd. De onderzoekers stellen dat US-CERT niets met de melding deed. Vervolgens benaderden de onderzoekers op 26 september een contact bij het Pentagon, waarna de database op 2 oktober werd beveiligd.

Alles bij de bron; Security


 

De gegevens van 250.000 gebruikers van Hookers.nl, een forum waar ervaringen over prostituees en escorts worden uitgewisseld, zijn gestolen en worden op internet te koop aangeboden. Het gaat om e-mailadressen, gebruikersnamen, ip-adressen en gehashte wachtwoorden. Het is onbekend wanneer de gebruikersgegevens van Hookers.nl precies zijn gestolen. 

Uit de gegevens die door de NOS werden ingezien blijkt dat veel forumgebruikers een e-mailadres gebruiken waaruit hun echte naam is af te leiden. Naar aanleiding van het datalek hebben tientallen gebruikers op Hookers.nl gevraagd om hun account op te heffen.

Hookers.nl, dat melding bij de Autoriteit Persoonsgegevens heeft gedaan, heeft inmiddels op het eigen forum ook een bericht over het datalek geplaatst: "....Desondanks is er een datalek ontstaan en zijn de e-mailadressen ontvreemd van alle gebruikers."

Alles bij de bron; Security


 

De namen, adressen, geboortedata en bankrekeningnummers van "naar alle waarschijnlijkheid" alle huidige en voormalige medewerkers van bouwbedrijf Strukton Rail zijn door een ex-medewerker gestolen, maakt het bedrijf woensdag bekend. Het gaat om duizenden mensen, bevestigt een woordvoerder.

Bovendien zijn ook de gegevens van medewerkers van Eurailscout gestolen. Dit bedrijf is voor de helft in handen van Strukton. Om hoeveel gedupeerden het in totaal precies gaat, is onduidelijk.

Uit onderzoek bleek dat de gegevens zouden zijn gestolen door een oud-medewerker die toegang had tot de systemen. Deze persoon zou er foto's van hebben gemaakt.

Een woordvoerder kon geen antwoord geven op aanvullende vragen. Zo is niet bekend waarom de gegevens van oud-medewerkers bewaard werden, en hoe ver terug deze gegevens gaan.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha