45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

OnePlus: creditcardgegevens 40.000 klanten zijn gestolen via betaalpagina

OnePlus heeft bekendgemaakt dat er creditcardgegevens van circa 40.000 klanten zijn gestolen via een kwaadaardig script op zijn betaalpagina. Dat blijkt uit een onderzoek dat de Chinese fabrikant uitvoerde na berichten van klanten over frauduleuze betalingen met hun kaarten.

Hoeveel mensen uit de Benelux daaronder vallen, kan het bedrijf niet zeggen. Het gaat om personen die hun betaalgegevens op de OnePlus-site invulden tussen halverwege november 2017 en 11 januari 2018. Mensen die via een opgeslagen creditcard, via PayPal of met 'creditcard via PayPal' hebben betaald zijn niet getroffen. In een mail aan getroffen gebruikers schrijft OnePlus dat het bij de gestolen gegevens gaat om het kaartnummer, de verloopdatum en de beveiligingscode van de gebruikte creditcard.

Alles bij de bron; Tweakers


 

Biometrische database-kraak: Indiase regering wil dat journaliste bronnen opgeeft

De Indiase overheid heeft een journaliste die een groot databaselek onthulde opgedragen haar bronnen te openbaren. Centraal staat de toegang tot gegevens van een miljard Indiërs uit de zogeheten Aadhaar-database. Volgens journaliste Rachna Khaira van de Engelstalige krant The Tribune is zulke informatie voor een luttele 500 rupees (zo'n 6,50 euro) te bemachtigen.

De Aadhaar-database bevat naast unieke persoonlijke gegevens ook biometrische informatie van burgers. Opname in de Aadhaar-database met een 12-cijferig burgerservicenummer is verplicht voor een reeks aan overheidsdiensten, zoals uitkeringen en belastingaangifte. Ook is het een verplichte identificatie voor transacties boven een bepaalde waarde, in het kader van fraudebestrijding.

Dat informatie te benaderen was, wordt niet bestreden. Er zou geen lek zijn, maar enkel ongeautoriseerde toegang via een speciale website die eigenlijk voor mutaties van gegevens bedoeld is. Dat is volgens de Indiase overheid een misdrijf en daarom moeten betrokken personen via justitie worden aangepakt.

Met informatie uit de database is er identiteitsdiefstal mogelijk, schreef Rachna Khaira vorige week. Hackers (of mogelijk mensen met reguliere toegang tot de dienst) verhandelen de informatie via WhatsApp.

Alles bij de bron; VillaMedia


 

Wachtwoordeisen websites vaak te laag

Dat concludeert de Consumentenbond na een steekproef. Korte wachtwoorden zijn onveilig, omdat kwaadwillenden die relatief makkelijk kunnen raden. Ook zijn korte wachtwoorden extra kwetsbaar voor brute-force-aanvallen.

De bond keek naar 87 sites. Een derde (33 procent) scoort volgens de organisatie slecht en 11 procent matig. Sites van Coolblue en de Hema staan korte, makkelijk te raden wachtwoorden toe. Spotify-gebruikers kunnen zelfs een wachtwoord van slechts twee tekens kiezen en Netflix accepteert wachtwoorden van vier tekens.

Vier op de tien sites accepteren voorspelbare wachtwoorden, zoals hallo123. De website van de Consumentenbond zelf laat dit soort zwakke wachtwoorden eveneens toe. De bond beoordeelt zichzelf dan ook als matig. Achttien onderzochte sites doen het volgens de bond goed. Daaronder zijn veelgebruikte sites als Bol.com, Facebook, Gmail, Instagram, Pinterest en Twitter.

Alles bij de bron; NU


 

Datalekken blijven onbestraft

Organisaties die privégegevens van burgers verliezen, komen daar nog ongestraft mee weg. Sinds het begin 2016 verplicht werd een datalek te melden, zijn geen boetes uitgedeeld. Dagelijks worden bijna dertig datalekken gemeld, blijkt uit de laatst beschikbare cijfers van de Autoriteit Persoonsgegevens (AP). Dat aantal is gestaag toegenomen sinds de meldplicht begin vorig jaar van kracht werd: van dik duizend in het eerste kwartaal van 2016, tot 2600 het derde kwartaal dit jaar en experts gaan ervan uit dat het werkelijke aantal datalekken veel hoger ligt. Uber is daar een voorbeeld van. De hack van miljoenen accounts werd in eerste instantie onder de pet gehouden door het bedrijf.

Dat de AP tot nu toe geen boete uitdeelde – in theorie kan die oplopen tot 820.000 euro – komt volgens de privacywaakhond zelf doordat boetes niet het doel zijn ‘maar een ultiem middel’. Tot nu toe bleek waarschuwen genoeg om het doel van de meldplicht te bereiken, aldus de AP: een betere beveiliging van gegevens. Bits of Freedom vraagt zich af of organisaties niet te makkelijk wegkomen als zij de controle over gegevens verliezen. “Er zijn voortdurend datalekken, dus het probleem bestaat nog steeds”, zegt Rejo Zenger, onderzoeker bij de organisatie. 

Het is moeilijk te bepalen wat de gevolgen van een datalek zijn. Dat komt doordat bij een lek vaak niet duidelijk is of de data ook daadwerkelijk misbruikt wordt. Ook hangt de ernst van een datalek samen met welke informatie gelekt is. Gaat het om bsn-nummers, namen en geboortedata, dan is er risico op identiteitsfraude. Iemand zou onder jouw naam een rekening kunnen openen, of abonnementen kunnen afsluiten. Hoe groot dat risico daadwerkelijk is, is onbekend. Bij het Centraal Meldpunt Identiteitsfraude zijn geen voorbeelden bekend van slachtoffers van identiteitsfraude als gevolg van een datalek.

Alles bij de bron; Trouw


 

Bedrijf lekt data 123 miljoen Amerikaanse huishoudens via Amazon S3-bucket

Het Amerikaanse data-analyticsbedrijf Alteryx heeft via een verkeerd geconfigureerde Amazon S3-bucket de persoonlijke gegevens van 123 miljoen Amerikaanse huishoudens gelekt. Het gaat om adresgegevens, namen, financiële gegevens, soort woning, samenstelling van het huishouden, opleiding, koopgedrag, hypotheek en nog veel meer gegevens over voorkeuren en gedrag bij allerlei onderwerpen en categorieën.

Een deel van de data is afkomstig van kredietbeoordelaar Experian, een partner van Alteryx, en het Amerikaanse Census Bureau. Het gaat bij elkaar om miljarden aan persoonlijke, identificerende details en datapunten van bijna elk Amerikaans huishouden, aldus securitybedrijf UpGuard dat de S3-bucket ontdekte. 

In tegenstelling tot veel andere datalekken met S3-buckets vereiste die van Alteryx een gebruiker met een Amazon AWS-account. Standaard zijn de gegevens in een S3-bucket niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft of dat iedereen met een AWS-account er toegang toe mag hebben.

Het is echter eenvoudig om een AWS-account aan te maken en zodoende toegang tot de S3-bucket te krijgen. Bij elkaar ging het om meer dan 36GB aan data. Inmiddels is de S3-bucket wel goed geconfigureerd. 

Alles bij de bron; Security


 

Grootste database ooit met gestolen inloggegevens gevonden

Beveiligingsonderzoekers van 4iQ hebben op het dark web de grootste database ooit met onversleutelde gebruikersnamen en wachtwoorden gevonden. Het 41 gigabyte grote dump-bestand bevat 1.400.533.869 records en is voor het laatst bijgewerkt op 29 november 2017. "Dit is niet zomaar een lijst, het is een geaggregeerde, interactieve database die het mogelijk maakt snel te zoeken en nieuwe data toe te voegen. Deze database maakt het zoeken naar wachtwoorden sneller en makkelijker dan ooit," aldus 4iQ.

De database is waarschijnlijk een samenraapsel van verschillende andere databases en aangevuld met gebruikersnamen en wachtwoorden die eerder zijn buitgemaakt maar waren versleuteld. Al deze wachtwoorden staan nu als platte tekst in deze database samen met enkele doorzoek-tools.

Alles bij de bron; WebWereld


Oude apparaten? Voorkom dat je gegevens op straat komen te liggen

Je telefoon, tablet of laptop staan vol met persoonlijke gegevens. Foto's, berichtjes, e-mails, persoonlijke notities... Het is goed om je dat te realiseren wanneer je je apparaat wegdoet. 'Stuk maken is een optie', aldus beveiligingsexpert Brenno de Winter, 'maar dan moet het ook echt helemaal stuk zijn'. Hij raadt aan om ervoor te zorgen dat in ieder geval het moederbord (de printplaat) kapot is.

Ted van Hintum van Wecylce raadt kapotmaken niet aan. Hij adviseert om tóch even de moeite te nemen om een passende oplader te zoeken en het apparaat nog even tot leven te wekken. Je kunt dan zelf alle gegevens wissen. Dat is ook wat De Winter adviseert, boven kapotmaken. En dan liever drie keer een proces doorlopen dan dat je het risico loopt dat je gegevens toch ergens op straat (of erger: op internet) belanden.

Het liefst met behulp van een speciale app hiervoor, want zelf zie je altijd wel iets over het hoofd. Je gegevens versleutelen kan ook. Vervolgens kun je je toestel via je instellingen terugzetten naar de fabrieksinstellingen. Om er zeker van te zijn dat er écht geen data meer te vinden is, kun je je telefoon vol zetten met iets onzinnigs (bijvoorbeeld een filmpje van je plafond). Daarmee overschrijf je alle beschikbare opslagruimte. Wanneer je deze daarna weer terugzet naar de fabrieksinstellingen zou echt alles weg moeten zijn.

Alles bij de bron; Radar


 

Toetsenbord-app lekt data van 31 miljoen gebruikers

Beveiligingsexperts zijn een reusachtige lek van gebruikersdata op het spoor gekomen. Alle klantengegevens van een populaire toetsenbord-app – Ai.type – staan online door een verkeerde configuratie van de achterliggende database. Ai.type is een toetsenbord-app voor Android die bijna 40 miljoen keer gedownload werd van de Play Store.

Maar liefst 31.293.959 gebruikers zijn getroffen. De makers van Ai.type verzamelden deze klantengegevens in een MongoDB-database. Door een misconfiguratie staan alle gegevens van Ai.type-klanten online. 

De gegevens die online terug te vinden, bestaan uit namen, e-mailadressen, locaties, telefoonnummers en IP-adressen. Nog erger is het feit dat uit de gelekte data blijkt dat Ai.type wel erg veel info over zijn gebruikers verzamelde. Zo werden zelfs gegevens van contactpersonen van klanten bewaard. In één tabel zitten maar liefst 374,6 miljoen telefoonnummers van contactpersonen. Waarom Ai.type deze data verzamelde, is een raadsel.

Indien je Ai.type gebruikt of in het verleden gebruikte, moet je er van uitgaan dat je gegevens op het internet staan. Zelfs wanneer je niets met de app te maken hebt, zijn je persoonlijke data niet veilig. De app verzamelde immers eveneens gegevens van gebruikers hun contactpersonen.

Alles bij de bron; TechPulse [Thnx-2-Luc]