De hacker die het eerder dit jaar gemunt had op de Technische Universiteit Eindhoven, had al dagenlang toegang tot de systemen van de onderwijsinstelling voordat hij werd ontdekt. Dat blijkt uit onderzoek dat cybersecuritybedrijf Fox-IT uitvoerde.
Fox-IT heeft niet kunnen achterhalen wie verantwoordelijk is voor de aanval. Wel acht het bedrijf het waarschijnlijk dat een zogenoemde ransomewaregroep erachter zit. Die groep was waarschijnlijk uit op losgeld.
Normaal gebeurt dat nadat gehackte systemen worden versleuteld, zodat niemand ze nog kan gebruiken. Zover kwam het niet. De universiteit kon ingrijpen voordat back-ups werden uitgeschakeld.
Alles bij de bron; NU
Drie Belgische virtuele operatoren melden dat klantgegevens zijn uitgelekt. De oorzaak ligt bij Effortel, het platform dat de drie spelers gebruiken.
Eind april bevestigde Carrefour dat de gegevens van 64.000 Carrefour Mobile klanten waren gelekt. Neibo, een andere virtuele netwerkoperator (MVNO), doet deze week een soortgelijke melding.
De naam, geboortedatum, e-mailadres, telefoonnummer, fysiek adres, btw-nummer, taal, abonnementsnummer en technische identificatiegegevens zoals het simkaartnummer zijn daardoor in handen van onbevoegden geraakt. Bankgegevens, wachtwoorden en de account bij Neibo zijn niet getroffen door het datalek.
Ook Undo, een virtuele operator van Effortel zelf, meldde een tweetal weken geleden al een datalek waarbij dezelfde klantgegevens, inclusief technische identificatiegegevens zoals simkaartnummer (IMSI), uitgelekt waren.
Alles bij de bron; Dutch-IT-Channel
Bij Fontys was tot voor kort sprake van een groot datalek waarbij gevoelige informatie van studenten door anderen in te zien waren. Omroep Brabant ontdekte het lek.
Als iemand zich aanmeldde voor een cursus bij Fontys, kreeg diegene een e-mailadres en logingegevens voor het interne netwerk. Via de zoekfunctie van het intranet kon diegene bij een grote hoeveelheid documenten met persoonlijke informatie, bleek uit onderzoek van de regionale omroep.
Het ging onder meer om lijsten met pasfoto’s, adressen en 06-nummers van studenten. Maar ook om interne e-mails tussen medewerkers en verslagen van gesprekken tussen mentors en studenten. In sommige e-mails stond medische informatie over bijvoorbeeld mentale problemen of dyslexie. Verder ontdekte Omroep Brabant cijferlijsten, ondertekende stageovereenkomsten, uitspraken van de examencommissie en lijsten met studieadviezen.
Volgens de hogeschool kon het lek ontstaan doordat medewerkers per ongeluk bepaalde documenten openbaar deelden via het interne netwerk. Alle openbare bestanden zijn omgezet naar privé, waardoor ze niet meer toegankelijk zijn voor anderen.
Bron; Beveiliging
De Europese privacytoezichthouders verenigd in de EDPB hebben conceptregels opgesteld voor het verwerken van persoonlijke gegevens via blockchaintechnologie.
"Organisaties moeten een data protection impact assessment (DPIA) uitvoeren voordat ze persoonsgegevens via blockchaintechnologieën verwerken, wanneer de verwerking waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van mensen", zo laat de Autoriteit Persoonsgegevens over de conceptregels weten.
Ook moeten organisaties het principe van dataminimalisatie toepassen wanneer ze persoonsgegevens willen verwerken in een blockchain.
Een ander punt is dat mensen gebruik moeten kunnen maken van hun privacyrechten als hun persoonsgegevens in de blockchain zitten. Het gaat dan bijvoorbeeld om het recht op inzage en het recht op rectificatie (wijzigen) van persoonsgegevens. Het publiek kan tot en met 9 juni dit jaar op de conceptregels reageren. Daarna zal de EDPB de definitieve richtlijnen vaststellen.
Alles bij de bron; Security
De gestolen inloggegevens van een vpn-account hebben voor een groot datalek bij Landmark Admin, een administratief dienstverlener voor verzekeringsmaatschappijen, in de Verenigde Staten gezorgd. Het bedrijf beschikt dan ook over persoonlijke informatie van klanten van deze verzekeraars.
Vorig jaar mei bleek dat aanvallers toegang tot het bedrijfsnetwerk hadden gekregen en daarbij data hadden gestolen. Verder onderzoek wees uit dat de aanvallers toegang hadden gekregen via geldige inloggegevens van een vpn-account. Een maand na het ontdekken van de eerste inbraak bleek dat de aanvaller opnieuw op het netwerk had ingebroken en wederom was er data buitgemaakt. Tevens waren verschillende systemen versleuteld.
De gestolen gegevens bestaan uit naam, adresgegevens, social-securitynummer, belastingsidentificatienummer, rijbewijs- of identiteitskaartnummer, foto van rijbewijs of id-kaart, bankrekeningnummer, medische en/of gezondheidsinformatie, zorgdeclaraties, verzekeringsinformatie en uitbetaalde verzekeringen en ontvangers hiervan.
In eerste instantie stelde Landmark Admin dat de gegevens van 800.000 personen waren gestolen, nu is dat aantal aangepast naar 1,6 miljoen.
Alles bij de bron; Security
Een (voormalige) politieagent bij het Amsterdamse korps zou voor zeker 27.000 euro informatie uit politiesystemen hebben verkocht.
Volgens Het Parool heeft de Rijksrecherche vastgesteld dat een hondenbegeleider de informatie met zijn in drugs handelende broer als tussenpersoon doorgaf.
Na twaalf onrechtmatige bevragingen heeft hij ‘minimaal 42’ gevoelige gegevens doorgegeven, zo is de verdenking. Dat ging vooral om kentekengegevens en identiteitsgegevens, maar hij heeft ook gekeken of er onderzoeken liepen tegen bepaalde personen, en of er acties op til waren. De man heeft recent een deels bekennende verklaring afgelegd.
De politie vond bij toeval in een ander onderzoek een chat in een iPhone, waaruit op te maken viel dat er tegen betaling informatie uit politiesystemen werd opgevraagd.
Onderzoek van de Rijksrecherche leidde vervolgens naar minstens tien verschillende accounts van Amsterdamse agenten, waarvan drie hondengeleiders omdat hij ook op accounts van collega’s in de systemen informatie zou hebben opgevraagd, bijvoorbeeld via het systeem aan boord van politieauto’s als hij met een collega op pad was.
Alles bij de bron; CrimeSite
Een recent onderzoek uitgevoerd door Autoriteit Persoonsgegevens (AP), toont aan dat veel jeugdzorgorganisaties onvoldoende zijn voorbereid op datalekken en dat de procedures voor het melden en afhandelen van deze incidenten vaak tekortschieten.
In de jeugdzorg worden zeer gevoelige persoonsgegevens verwerkt, waaronder informatie over de gezondheid, het gedrag en de thuissituatie van kinderen en jongeren. Een datalek kan ernstige gevolgen hebben voor de betrokkenen, zoals identiteitsfraude, financiële schade en psychische problemen.
Belangrijkste bevindingen van het onderzoek:
- Onvoldoende bewustzijn: Veel medewerkers in de jeugdzorg zijn onvoldoende bewust van de risico's van datalekken.
- Gebrekkige procedures: Veel organisaties beschikken niet over duidelijke procedures voor het melden en afhandelen van datalekken.
- Trage melding: Datalekken worden vaak te laat gemeld bij de Autoriteit Persoonsgegevens (AP) en de betrokkenen.
- Onvoldoende informatie: Betrokkenen worden vaak onvoldoende geïnformeerd over de aard en de gevolgen van het datalek.
-Gebrekkige nazorg: Organisaties bieden vaak onvoldoende nazorg aan de betrokkenen, zoals hulp bij het voorkomen van verdere schade.
De AP roept jeugdzorgorganisaties op om de aanbevelingen nav de bevindingen zo snel mogelijk op te volgen en de bescherming van persoonsgegevens serieus te nemen.
Naar verwachting zal de AP strenger gaan controleren op de naleving van de privacywetgeving in de jeugdzorg.
Alles bij de bron; Dutch-IT-Channel
Hoe vaak heb jij vandaag al WhatsApp of Instagram gebruikt? De app van je bank? Of die van je mail? Stond je dan stil bij de beveiliging van je persoonlijke informatie op die apps?
Voor wie huiverig is voor het gebruik van apps op zijn telefoon: niet de apps zelf zijn zo onveilig. Het is de manier waarop we onze telefoon gebruiken en bepaalde (automatische) instellingen die het kwaadwillenden een stuk makkelijker maken.
Een betere bescherming van je gegevens is daarom noodzakelijk en is gelukkig vaak in een paar seconden geregeld. Experts leggen uit hoe je dat doet.
Mailapps zoals Outlook en Gmail zijn de eerste apps die je extra moet beveiligen, zegt cybersecurity-expert Katrien Eggers. „Je e-mailaccount is dé hersteloptie bij het resetten van wachtwoorden. Als een hacker toegang tot je e-mail heeft, heeft die ook toegang tot alle accounts.”
Natuurlijk is een sterk wachtwoord – minstens twaalf tekens en een mix van hoofd- en kleine letters, symbolen en cijfers – een vereiste. „Maar enkel dat is niet meer van deze tijd”, stelt professor cyberveiligheid Bart Preneel. Tweestapsverificatie is een must geworden. Dat is een tweede beveiligingslaag die je bijvoorbeeld kunt instellen met een authenticator-app van Google of Microsoft. Je krijgt dan een code die je moet invoeren om in te loggen. „Dat kan wat omslachtig lijken, maar het is een grote stap voor je beveiliging.”
„Je hele leven staat op die telefoon”, benadrukt Preneel het belang van een goede bescherming van je gegevens. „Ga daarom in de instellingen op je telefoon na welke machtiging je apps verleent”, zegt Karen Linten van Mediawijs. „Welke app heeft toegang tot je contacten, foto’s, locatie, microfoon? Soms is dat handig, maar veelal niet nodig.”
Bank- en betaalapps hebben van zichzelf al veel aandacht voor je privacy en veiligheid, zegt Linten. „Ze werken vaak al met een extra verificatie bij aanmelding of bij betalingen zoals gezichts- en vingerafdrukherkenning.” Is dat niet het geval, dan is het een aanrader om om zo’n extra beveiligingslaag in te stellen.
Houd sowieso geregeld je transacties in de gaten. „Weet dat je bij verdachte activiteiten altijd het Centraal Meldpunt Nederland kunt contacten. Niet alleen voor je fysieke bankkaart, maar ook voor online betalingen. Je kunt daarvoor ook terecht bij de fraudehelpdesk en uiteraard bij je eigen bank. Twijfel je of een betalingsverzoek of -link betrouwbaar is? Wacht dan, vraag hulp en laat iemand anders ernaar kijken.”
Algemene tips
• Download apps enkel uit de erkende appstores zoals Google Play, Apple App Store of die van officiële verkopers. Google en Apple controleren de apps die zij aanbieden uitvoerig, onder meer op veiligheid.
• Voer altijd beschikbare updates uit. Zo worden fouten of ontdekte risico’s eruitgehaald en blijven je apps in goede gezondheid.
• Verwijder de apps die je niet gebruikt. Je zal die waarschijnlijk niet updaten of controleren hoe gegevens worden gebruikt. Allemaal toegangspoortjes voor kwaadwillenden.
Alles bij de bron; Telegraaf
Telefoonnummers, e-mailadressen en zelfs wachtwoorden van Amerikaanse topfunctionarissen zijn gewoon online te vinden. Dat schrijft het Duitse magazine Der Spiegel na een eigen onderzoek.
Der Spiegel vond de telefoonnummers, e-mailadressen en wachtwoorden met behulp van commerciële zoekmachines en gehackte gegevens die online staan. Het blad heeft niet gecontroleerd of de wachtwoorden nog actueel waren. Veel telefoonnummers en e-mailadressen zouden nog in gebruik zijn en gekoppeld zijn aan accounts op onder meer WhatsApp, Instagram en LinkedIn.
Der Spiegel schrijft dat openbaar toegankelijke privénummers van Gabbard en Waltz zijn gekoppeld aan accounts op Signal, maar zegt niet te weten of zij via deze telefoonnummers waren toegevoegd aan het chatgesprek over de Houthi’s.
Alles bij de bron; deMorgen
Apple heeft een rechtszaak aangespannen tegen de Britse overheid vanwege de eis dat de iPhone-maker een achterdeur bouwt in iCloud. De techgigant stopte onlangs al met de Advanced Data Protection-functie voor het versleutelen van iCloud-opslag in het Verenigd Koninkrijk.
De Britse overheid eist van Apple dat het bedrijf een algemene achterdeur inbouwt om toegang te kunnen krijgen tot versleutelde iCloud-inhoud van gebruikers indien een rechter daarvoor toestemming geeft. De techgigant wil niet aan dit bevel voldoen en heeft daarom een beroep ingesteld bij het Investigatory Powers Tribunal, meldt de Financial Times.
Alles bij de bron; Tweakers