45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Britse regering pleit opnieuw voor toegang tot versleutelde berichtenapps

Vlak voor de aanslag maakte de dader gebruik van WhatsApp. De berichten zijn voor veiligheidsdiensten niet te ontcijferen door een zogeheten 'end-to-end encryptie' die de chatdienst gebruikt. Daarmee zijn berichten versleuteld met een specifieke code die alleen de verzender en ontvanger hebben.

Rudd noemde het "volledig onacceptabel" dat veiligheidsdiensten er niet bij kunnen en ze doet een beroep op technologiebedrijven om met de overheid mee te werken. Op welke manier Whatsapp en soortgelijke berichtenapps daar gehoor aan zouden moeten geven, zegt ze niet.

De minister ziet graag een industriebrede groep die zich bezig gaat houden met hoe terroristen geweerd kunnen worden van websites en platformen als Whatsapp en Facebook. Twee jaar geleden riep de toenmalige Britse premier David Cameron al dat hij apps als Whatsapp wilde laten verbieden vanwege het feit dat zij versleuteld berichten versturen.

Alles bij de bron; NU


 

Microsoft verwijdert zoekfunctie Docs.com wegens privacylek

Microsoft heeft de zoekfunctie van documentendeelsite Docs.com verwijderd, omdat het gebruikers de mogelijkheid bood om in gevoelige bestanden van andere personen te zoeken. Dit weekend klaagden gebruikers op Twitter dat er allerlei gevoelige informatie via de zoekfunctie kon worden gevonden, zoals echtscheidingsdocumenten, social security nummers, geboortecertificaten, aanvragen voor leningen, voogdijzaken en andere gevoelige gegevens.

Microsoft laat op de website vinden dat gebruikers de bestanden kunnen uploaden om vervolgens later te bepalen wie er toegang toe krijgt.

Gebruikers hadden echter niet door dat gegevens via de zoekfunctie waren te vinden. Een aantal uren na de kritiek op Twitter verwijderde Microsoft de zoekfunctie. Het blijkt echter nog steeds mogelijk om via Google Docs.com te doorzoeken en zo alsnog bestanden van anderen te vinden.

Alles bij de bron; Security


 

Beveiliging persoonsgegevens gemeente Rotterdam schiet ernstig tekort

Uit een onderzoek van de rekenkamer Rotterdam blijkt dat de beveiliging van persoonsgegevens door de gemeente Rotterdam ernstig tekortschiet. De onderzoekers konden e-mailsessies inzien, wachtwoorden eenvoudig achterhalen en zonder toegangspas binnenkomen. Volgens de rekenkamer gebruikt de gemeente ook verouderde software die veiligheidsrisico's met zich meebrengt.

De onderzoekers komen tot de conclusies na het uitvoeren van penetratie-, inloop- en social engineering-testen. Het onderzoek, dat een jaar geleden van start is gegaan en in december is afgerond, heeft zich grotendeels gericht op systemen waarin gegevens over Rotterdammers zijn opgeslagen.

Dat de beveiliging van informatiesystemen ernstig tekortschieten, blijkt uit een brief die de directeur van de rekenkamer heeft gestuurd naar de gemeente. Daarin staan in grote lijnen de bevindingen van het onderzoek. Die brief is een reactie op het verzoek van de gemeente om het rapport niet openbaar te maken. 

Applicaties waarnaar specifiek onderzoek is verricht, worden niet bij naam genoemd. Wel wordt beschreven welke soort gegevens hierin omgaan en hoeveel gebruikers er zijn. De rekenkamer begrijpt zorgen over de publicatie, maar is van mening dat eventuele gevolgen van tekortschietende informatiebeveiliging de rekenkamer niet kan en mag worden aangerekend. Het rapport beschrijft niet hoe de systemen binnengedrongen kunnen worden, maar wel wat het betekent voor de lokale samenleving. Die duiding van mogelijke gevolgen is volgens de rekenkamer cruciaal omdat het inzicht geeft in de ernst van de bevindingen.

Burgemeester Aboutaleb van Rotterdam heeft naar aanleiding van de brief de gemeenteraad verzocht om te proberen de publicatie van het rapport tegen te houden. Volgens de burgemeester brengt de openbaarmaking van het rapport met 'specifieke informatie over de kwaliteit van de informatiebeveiliging' de veiligheid van persoonsgegevens verder in gevaar. Hoewel het college probeert om de publicatie van onderzoek tegen te gaan, heeft het wel aan de rekenkamer laten weten alle hoofdconclusies te onderschrijven en alle aanbevelingen te zullen opvolgen.

Alles bij de bron; Tweakers


 

Gemeente Apeldoorn blundert met privacy

Gemeente Apeldoorn blundert met het versturen van mails naar zorginstellingen. Zorginstanties die betaald worden vanuit de Zorg in Natura krijgen mails van de gemeente Apeldoorn over hun cliënten via hun persoonlijke mailadressen, in plaats van het daarvoor bedoelde, beveiligde Cryptshare.

Apeldoorn Direct is in het bezit van een mail met daarin BSN-nummers van cliënten. Die informatie is verstuurd naar een onbeschermd mailadres van één van de zorginstellingen. De instelling, die anoniem wil blijven, zegt dat deze mail één van velen is. Volgens de organisatie komt het door het gebrekkig werkende Cryptshare dat communicatie ,,makkelijker en sneller te versturen is via persoonlijke mails.”

Volgens de gemeente Apeldoorn is het niet de bedoeling dat gevoelige, persoonlijke informatie buiten het beveiligde Cryptshare verspreid wordt. ,,Dit betekent dat alle betrokkenen zich erg bewust moeten zijn van de privacyregels en daar zijn wij ook steeds over in gesprek om dit bewustzijn te vergroten”, laat de afdeling Voorlichting van de gemeente in een reactie weten. 

Bron; A'doornDirect


 

Google vindt ernstig lek in wachtwoordmanager LastPass

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de wachtwoordmanager LastPass ontdekt waardoor een aanvaller systemen in het ergste geval kan overnemen en anders wachtwoorden kan stelen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.

Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren en wachtwoorden te stelen. Details zal de onderzoeker later bekend maken. LastPass laat weten dat het na te zijn ingelicht een tijdelijke oplossing heeft uitgerold en aan een permanente fix werkt. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen.

Alles bij de bron; Security


 

McDonald's India lekt gegevens 2,2 miljoen gebruikers

De Indiase tak van fastfoodketen McDonald's heeft via een mobiele bestel-app de gegevens van 2,2 miljoen gebruikers gelekt, zoals naam, e-mailadres, telefoonnummer, adresgegevens, coördinaten en een link naar een socialmediaprofiel. De app blijkt een onbeveiligd api-endpoint te gebruiken.

Daardoor kan iedereen via internet de gegevens opvragen. Na aandacht in de media stelde McDonald's India dat het lek was verholpen en gebruikers geadviseerd zou worden om een nieuwe versie van de app te installeren. De onderzoekers ontdekten echter dat de oplossing van McDonald's incompleet is en de api-endpoint nog steeds gegevens lekt. Wederom is de fastfoodketen ingelicht.

Alles bij de bron; Security


 

Wachtwoord verplicht? De 5 gouden regels

Wachtwoorden zijn een beroerd middel om je op internet te identificeren. Maar vooralsnog is dat de meest gehanteerde methode. Jeff Atwood, mede-oprichter van Stack Overflow schreef zijn bevindingen op in een bijdrage aan een blogpagina: Coding Horror. En de titel windt er ook geen doekjes om 'Wachtwoordregels zijn gelul'. De regels die bij het gebruik van wachtwoorden worden opgelegd, zijn vaak onhanteerbaar.

Atwood formuleert 5 regels die software-ontwikkelaars zouden moeten respecteren.

1. Stop met wachtwoordregels

Wachtwoordregels werken niet, ze straffen je ideale klant - de klant die een wachtwoordgenerator gebruikt, ze frustreren de gemiddelde gebruiker - die vervolgens creatief ezelsbruggetjes verzint waarmee het wachtwoord minder veilig wordt, en de regels zijn vaak incompleet of soms ronduit onzinnig.

2. Dwing een minumumlengte af

In weerwil van regel 1 formuleert Atwood 4 regels die wél moeten gelden. De eerste is een minimumlengte. Als men wachtwoorden in Unicode laat invoeren, is 10 tekens een mooi aantal. Dat zorgt automatisch voor enige entropie, en bant bovendien 20 van de 25 meest gebruikte wachtwoorden uit; die zijn goed voor 80 procent van alle wachtwoorden. Als men ook emoji's en Chinese karakters toelaat, kan het wellicht met minder tekens, Hoe minder beperkingen men oplegt, hoe beter het is.

3. Check op veelgebruikte wachtwoorden.

Hackers beginnen altijd met een lijst veelgebruikte wachtwoorden; die kun je om je klant een dienst te bewijzen dus beter verbieden.

4. Check op voldoende entropie

Hoe willekeuriger de karakters in een wachtwoord verdeeld zijn, hoe lastiger het te kraken is. Je zou als eis moeten stellen dat een wachtwoord een minimum aantal elementen moet bevatten dat slechts eenmaal voorkomt.

5. Weiger wachtwoorden die een hacker makkelijk zal raden

Sommige wachtwoorden die wellicht aan alle eisen voldoen,zijn toch een slecht idee. Denk aan een wachtwoord dat gelijk is aan gebruikersnaam, e-mailadres, url, app-naam ...Software-ontwikkelaars zouden moeten proberen te denken als een gebruiker - dan komen ze een heel eind bij het opstellen van een lijstje afraders.

Alles bij de bron; AGConnect [Thnx-2-Dick]


 

Privégegevens duizenden Britse zorgmedewerkers gestolen

Bij de hack van een medisch bedrijf zijn de privégegevens van duizenden Britse zorgmedewerkers gestolen. Het gaat om namen, geboortedata, stralingsdosis en verzekeringsgegevens van medisch personeel dat zich met röntgenfoto's bezighoudt. De data werden gestolen van een server van een Amerikaans bedrijf dat röntgenproducten en -diensten aanbiedt.

Alle getroffen medewerkers gebruiken een stralingsdosismeter om tijdens het werk met röntgenfoto's hun blootstelling te meten. Deze gegevens worden vervolgens door Landauer voor de Britse gezondheidszorg verwerkt. Hoe de aanvallers toegang tot de server wisten te krijgen is onbekend. Het datalek deed zich vorig jaar oktober al voor, maar sommige werknemers kregen dit pas begin deze maand te horen, zo meldt de BBC.

Alles bij de bron; Security