Databeveiliging & Dataverlies

Online veilingsite LiveAuctioneers heeft de persoonlijke data van 3,4 miljoen gebruikers gelekt, die vervolgens te koop werd aangeboden op internet. Volgens de website wist een aanvaller op 19 juni bij een dataverwerker van LiveAuctioneers toegang tot bepaalde gebruikersgegevens te krijgen.

Het gaat om namen, e-mailadres, postadressen, telefoonnummers en gehashte wachtwoorden, aldus de verklaring van de veilingsite. De aanvaller kreeg geen toegang tot creditcardgegevens. Vanwege het datalek is besloten om van alle gebruikers de wachtwoorden te resetten. 

Volgens de aanbieder van de gestolen data gaat het om e-mailadressen, gebruikersnamen, voor- en achternaam, adresgegevens en in sommige gevallen ip-adressen. Daarnaast zouden de wachtwoorden met het zwakke MD5-algoritme zijn gehasht, wat eenvoudig te kraken is. Iets wat de verkoper claimt te hebben gedaan. Als bewijs werden van 24 gebruikers de gebruikersnaam en het gekraakte wachtwoord getoond.

Phil Michaelson, ceo van LiveAuctioneers, noemt het datalek "ongelooflijk frustrerend" en "teleurstellend". Ook kondigt hij beterschap aan; "We weten dat we beter hadden gekund, hebben al verbeteringen doorgevoerd en zullen meer doen."

Alles bij de bron; Security


 

Het bedrijf heeft een waarschuwing gestuurd naar enkele duizenden verkopers. Het gaat om particuliere verkopers die tweedehands artikelen aanbieden via Bol.com. Normaal gesproken krijgen alleen klanten die iets hebben gekocht, het woonadres van de verkoper te zien voor retouren, maar door een bug waren die gegevens ook door niet-kopers te zien.

De gegevens waren tussen 15 juni en 8 juli in te zien. In die tijd zouden gegevens dus meer dan eens zijn bekeken. In de brief staat dat de adresgegevens 'gemiddeld 2,5 keer zijn bekeken' door anderen. Bol.com zegt dat het gaat om negenduizend particuliere verkopers. Het bedrijf heeft melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een dergelijk datalek.

Alles bij de bron; Tweakers


 

In februari kwam aan het licht dat er sprake was van een datalek bij MGM Hotel’s. Zo’n 10,6 miljoen mensen zouden destijds getroffen zijn.

De redactie van ZDNet schrijft nu dat het mogelijk gaat om een veel grotere groep mensen. In plaats van 10,6 miljoen, zou het gaan om maar liefst 142 miljoen slachtoffers. Het datalek uit februari bevatte persoonlijke gegevens, zoals namen, adressen, telefoonnummers en e-mailadressen. 

Naast gelekte data van MGM Resort zou er namelijk ook data gelekt zijn van het Grand Hotel. In een statement tegenover The Next Web heeft een vertegenwoordiger laten weten al op de hoogte te zijn van de omvang van het probleem. De vertegenwoordiger bevestigt om wat voor gelekte data het gaat, maar wil het aantal van 142 miljoen slachtoffers niet bevestigen. Daarover heerst nu dus nog wat onduidelijkheid.

Alles bij de bron; Want


 

Een beveiligingslek in een veelgebruikt platform voor gps-trackers gaf toegang tot miljoenen apparaten, waaronder gps-horloges voor dementiepatiënten en kinderen, zo stelt het Britse securitybedrijf Pen Test Partners dat het probleem ontdekte.

Het beveiligingslek kwam aan het licht nadat de onderzoekers een back-up van de broncode op de website van 3G Electronics aantroffen. SETracker bleek voor de server-to-server communicatie van een API met een hardcoded string gebruik te maken die in de broncode werd aangetroffen. Er was verder geen andere authenticatie of autorisatie vereist om als vertrouwde server commando's te versturen.

De broncode liet verder zien dat er 57 verschillende commando's waren die naar een SETracker-server konden worden gestuurd. De onderzoekers ontdekten ook een commando waarbij het mogelijk is om een apparaat stilletjes te bellen en zo de gebruiker af te luisteren, zonder dat die dit doorheeft. 

Naast de mogelijkheid om commando's naar gps-apparaten te versturen vonden de onderzoekers in de broncode ook de MySQL-wachtwoorden van alle databases en inloggegevens voor Aliyun-buckets, de Alibaba tegenhanger van Amazon S3-buckets. Eén van de buckets bevatte informatie van de gps-horloges voor kinderen, met zeer waarschijnlijk ook afbeeldingen van kinderen. De gps-horloges zijn namelijk vaak van een camera voorzien waarbij foto's in de cloud worden opgeslagen. Verder bevatte de broncode root-inloggegevens voor verschillende diensten.

Pen Test Partners waarschuwde 3G Electronics op 22 januari, waarna het Chinese bedrijf op 12 februari reageerde. Op 18 februari was het probleem met de server-API verholpen. Op 20 mei waarschuwden de onderzoekers het bedrijf dat de broncode nog steeds online was te vinden. Negen dagen later meldde 3G Electronics dat het bestand was verwijderd en alle wachtwoorden waren gewijzigd.

Alles bij de bron; Security


 

Privacytoezichthouder Autoriteit Persoonsgegevens blijkt zelf ook last van datalekken te hebben. De AP rapporteert in 2019 72 beveiligingsincidenten, waarvan er 39 gekwalificeerd worden als datalekken. Drie daarvan vielen onder de meldplicht.

Een woordvoerder vertelt waar de drie gemelde datalekken betrekking op hebben. Het ging om verkeerde adressering van e-mails en een brief. In één geval ging het om een persbericht dat niet BCC, maar CC is verstuurd, waardoor alle geadresseerden ook de naam van de andere geadresseerden kunnen lezen. Dit valt in de categorie menselijke fouten, en niet systeemfouten, zegt de woordvoerder.

Volgens voorzitter Aleid Wolfsen maken burgers zich inmiddels echt zorgen over hun privacy. Dat blijkt uit de 28.000 klachten die de AP vorig jaar heeft ontvangen. Wolfsen: 'De tijd van “ik heb niets te verbergen” is voorbij.' Uit onderzoek van de AP blijkt dat 94% van de Nederlanders zich zorgen maakt over privacy.

Alles bij de bron; FD


 

Het is alweer de vierde beveiligde berichtendienst die door de politie wordt blootgelegd. Eerder ging het om Ennetcom, IronChat en PGP-Safe. Deze diensten werken met behulp van ‘Pretty good Privacy’, waarbij berichtenverkeer via speciale smartphones wordt versleuteld. Criminelen blijken hier ten onrechte het volste vertrouwen in te hebben.

Het lijkt erop dat de politie intussen volop aan de slag is gegaan met de op EncroChat aangetroffen informatie, want de afgelopen weken zijn er enorme hoeveelheden drugs en contant geld in beslag genomen bij invallen. Ook werd een fabriek van Crystal Meth opgerold. Er was ook haast bij geboden, want EncroChat ontdekte de hack op 13 juni en stuurde direct een waarschuwing naar alle gebruikers, met het advies berichten te wissen en de PGP-smartphones niet meer te gebruiken. 

Het onderzoek naar EncroChat beperkt zich niet tot Nederland. EuroJust en EuroPol maken later als internationale opsporingsorganisaties de resultaten bekend.

Alles bij de bron; BeveilNieuws


 

Door een fout in de website van Marktplaats waren gebruikers afgelopen weekend per ongeluk ingelogd op de profielen van anderen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Dat bevestigt Marktplaats, dat de afgelopen dagen verschillende meldingen ontving van mensen die zeiden opeens toegang te hebben tot het Marktplaats-account van een onbekende.

Het probleem is ontstaan door een update aan de website die Marktplaats afgelopen weekend heeft doorgevoerd. Toen is iets misgegaan waardoor een aantal gebruikers toegang had tot het account van iemand anders. Daar hadden ze naast de naam, het e-mailadres, de postcode en het telefoonnummer ook toegang tot advertenties, zoekopdrachten, chatgesprekken en betalingen. 

Alles bij de bron; RTL


 

Met een ernstig datalek op zijn website heeft het Centraal Orgaan opvang Asielzoekers (COA) honderden slachtoffers van mensenhandel in gevaar gebracht. Het COA plaatste vorige week tweemaal een document met meldingen van mensenhandel op en rondom asielzoekerscentra in heel Nederland online. In de documenten stond veel privacygevoelige informatie, zoals namen, geboortedata, telefoonnummers en kentekennummers. Opsporingsbronnen zeggen tegen VPRO-radioprogramma Argos en NRC dat daardoor mogelijk strafrechtelijke onderzoeken verstoord kunnen worden.

Een woordvoerder van het COA zegt dat het lek „nooit had mogen gebeuren”. Wat precies misging is het COA een raadsel. Het heeft het incident vrijdag gemeld bij de Autoriteit Persoonsgegevens – dat is wettelijk verplicht. De privacytoezichthouder moet de zaak onderzoeken en beoordelen of verdere maatregelen volgen.

Alles bij de bron; NRC


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha