45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Twitter waarschuwt voor gelekte privéberichten

Meer dan een jaar lang zijn privéberichten van Twittergebruikers mogelijk gelekt naar derden zo meldt het socialemediabedrijf.

Het gaat niet om privéberichten tussen gebruikers onderling, wel over communicatie met bedrijven die klantendiensten aanbieden via Twitter. Het probleem bestond sinds mei 2017 en werd meteen opgelost toen het aan het licht kwam op 10 september, aldus Twitter.

Het bedrijf gaat alle betrokken gebruikers verwittigen, maar zegt niet exact hoeveel getroffenen er zijn. Het is ook niet duidelijk of effectief conversaties gelekt zijn. “We hebben geen geval gevonden waarbij data naar de verkeerde partij werd gestuurd”, luidt het. “Maar we kunnen niet met zekerheid bevestigen dat het niet is gebeurd, dus we lichten mogelijk getroffen mensen in over de bug. Als je daar mogelijk bij bent, dan contacteren we je vandaag. Het spijt ons dat dit is gebeurd.”

Alles bij de bron; HLN


 

Yahoo schikt zaken over datalek voor 47 miljoen dollar

Yahoo heeft schikkingen getroffen in drie zaken die waren aangespannen wegens een datalek in 2014 waarbij de gegevens van 500 miljoen Yahoo-gebruikers werden gestolen. Het ging om namen, e-mailadressen, telefoonnummers, geboortedata, gehashte wachtwoorden en in sommige gevallen versleutelde en onversleutelde veiligheidsvragen en antwoorden.

Verschillende partijen hadden daarop een zaak aangespannen. Drie van deze zaken heeft Yahoo nu geschikt voor een bedrag van 47 miljoen dollar. De schikkingen moeten nog wel door de rechter worden goedgekeurd. Ook trof Yahoo een schikking van 35 miljoen dollar met de Amerikaanse beurswaakhond SEC. Hoewel informatie over het datalek was gemeld aan het hogere management en de juridische afdeling, heeft Yahoo de omstandigheden van het datalek niet goed onderzocht en niet voldoende afgewogen of investeerders geïnformeerd moesten worden, aldus de SEC.

De Britse afdeling van Yahoo kreeg dit jaar een boete van 280.000 euro opgelegd voor het datalek in 2014. Volgens de Britse privacytoezichthouder ICO had Yahoo geen gepaste technische en organisatorische maatregelen genomen om de gegevens van gebruikers te beschermen.

Alles bij de bron; Security


 

Onderzoeker vindt marketingdatabase met 11 miljoen e-mailadressen

Onderzoeker Bob Diachenko heeft een onbeveiligde marketingdatabase met 11 miljoen e-mailadressen en andere persoonlijke records ontdekt. Diachenko wist de 43,5 gigabyte grote MongoDB-database via de zoekmachine Shodan te vinden. De dataset bestond uit 11 miljoen Yahoo-e-mailadressen, namen, geslacht en adresgegevens. De eigenaar van de database wist de onderzoeker niet te achterhalen.

Onlangs ontdekte de onderzoeker ook een 200 gigabyte grote marketingdatabase van softwarebedrijf Veeam.

Alles bij de bron; Security


 

British Airways meldt diefstal financiële data 380.000 reizigers

De gegevens van 380.000 klanten van British Airways zijn gestolen. Het gaat onder andere om financiële data zoals creditcardgegevens, die klanten invoerden bij het boeken van vluchten.

Om precies te zijn gaat het om de gegevens van boekingen die tussen 21 augustus en 5 september via ba.com of de app van de luchtvaartmaatschappij zijn gemaakt, staat op de waarschuwingspagina. British Airways raadt getroffen klanten aan een nieuw wachtwoord in te stellen en contact op te nemen met hun bank over de te nemen stappen.

Om welke gegevens het precies gaat, meldt het bedrijf niet. Paspoort- en reisgegevens zijn in ieder geval niet weggesluisd, belooft British Airways. Niet duidelijk is hoe de kwaadwillenden de systemen wisten binnen te dringen. Volgens het bedrijf is het lek gedicht en zijn de autoriteiten op de hoogte gebracht.

Alles bij de bron; Tweakers


 

Air Canada waarschuwt 20.000 klanten voor datalek

Air Canada heeft 20.000 klanten gewaarschuwd voor een datalek en heeft 1,7 miljoen gebruikers van de mobiele app verplicht om een nieuw wachtwoord in te stellen. De luchtvaartmaatschappij heeft van 22 tot en met 24 augustus verdacht inloggedrag op de eigen mobiele app waargenomen. Hoe er op de accounts kon worden ingelogd is niet bekendgemaakt.

Standaard bevat het account informatie zoals naam, e-mailadres en telefoonnummer, maar gebruikers kunnen ook geslacht, geboortedatum, nationaliteit en paspoortgegevens toevoegen, zoals paspoortnummer, land van uitgifte en verloopdatum.

Alles bij de bron; Security


 

Ouderlijk toezicht-app lekt 281 gigabyte aan kinderfoto's

Softwarebedrijf Family Orbit, dat een app biedt waarmee ouders hun kinderen kunnen monitoren, heeft gigabytes aan kinderfoto's gelekt. Via de app kunnen ouders zien wat hun kind met de telefoon doet, het kind in realtime lokaliseren, het toestel vergrendelen of ontgrendelen en gevaarlijke apps en websites blokkeren. Ook kunnen ouders bijvoorbeeld zien wat voor foto's hun kinderen maken en delen en met wie ze bellen.

Een hacker wist de API-leutel te vinden waarmee hij toegang tot de cloudservers van Family Orbit kon krijgen. De servers bleken allerlei foto's te bevatten die door de app waren onderschept. In totaal ging het om 281 gigabyte aan afbeeldingen. De API-sleutel die de ouderlijk toezicht-app gebruikt is versleuteld in de app opgeslagen. Om toegang tot de servers te krijgen zou daarnaast een wachtwoord zijn gebruikt dat "bijna iedereen kon vinden", aldus de hacker. Het softwarebedrijf zegt de API-sleutel en inloggegevens te hebben veranderd.

Alles bij de bron; Security


 

Ooops; Black Hat-beveiligingsconferentie lekte data bezoekers

Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt waardoor het mogelijk was om gegevens te downloaden van alle 18.000 mensen die begin augustus de Black Hat-beveiligingsconferentie in Las Vegas hebben bezocht. 

Bezoekers van het evenement ontvingen een badge met een NFC-tag die door leveranciers op het evenement kon worden gescand. Op deze manier kunnen leveranciers informatie over bezoekers verzamelen en hen vervolgens allerlei marketingmateriaal e-mailen. De onderzoeker, die van het alias "NinjaStyle" gebruikmaakt, ontdekte dat er verschillende gegevens op de tag stonden. Het ging onder andere om voor- en achternaam. Het e-mailadres stond echter niet in plain text op de tag. Wel bevatte de tag een link die gebruikers vroeg om de BCard-app te downloaden.

Via de programmeerinterface (API) van de BCard-app bleek het mogelijk te zijn om gegevens van conferentiebezoekers op te vragen door een badgeID en eventID te versturen. Er was hiervoor geen enkele authenticatie vereist. Via een bruteforce-aanval was het mogelijk om in 6 uur tijd alle mogelijke BadgeID's te proberen en zo gegevens van alle Black Hat-bezoekers te achterhalen. Het ging dan om namen, e-mailadressen, bedrijfsnamen, telefoonnummers en adresgegevens.

De onderzoeker probeerde het probleem op 9 augustus bij ITN International te rapporteren, de aanbieder van BCard en het tag-systeem. Dit bleek in eerste instantie lastig. Nadat er uiteindelijk op 12 augustus contact was gelegd werd de API binnen 24 uur uitgeschakeld. De onderzoeker zegt zich volgend jaar met valse gegevens te zullen registreren.

Alles bij de bron; Security


 

Babysitter-app lekte data 93.000 gebruikers door open database

De babysitter-app Sitter heeft door een configuratiefout de gegevens van 93.000 gebruikers gelekt. Het ging om versleutelde wachtwoorden, e-mailadressen, telefoonnummers, adresgegevens, transactiegegevens met gedeeltelijke creditcardnummers, adresboeken en andere data, aldus onderzoeker Bob Diachenko die de database via de zoekmachine Shodan ontdekte.

Door een fout was de MongoDB-database voor heel het internet openbaar. Naast de eerder genoemde gegevens bevatte de database ook in-app chatgesprekken en notificatiegeschiedenis met informatie van wie een babysitter zocht, op welk adres en op welk moment. Diachenko informeerde Sitter over het datalek. Het bedrijf zegt het probleem te hebben verholpen en meldt dat het alle gebruikers heeft geïnformeerd.

Bron; Security