Privacytoezichthouder AP heeft meerdere meldingen binnengekregen van datalekken die ontstonden nadat medewerkers persoonsgegevens van klanten en patiënten met een AI-chatbot hadden gedeeld. Niet alle organisaties zijn zich ervan bewust dat chatbots die informatie kunnen bewaren.
Het is niet duidelijk hoeveel meldingen de Autoriteit Persoonsgegevens (AP) precies binnenkreeg. De privacytoezichthouder komt wel met enkele voorbeelden.
Zo voerde een medewerker van een huisartsenpraktijk medische gegevens van patiënten in bij een AI-chatbot. Dit soort data zijn doorgaans zeer gevoelig. Om die zomaar te delen met een techbedrijf is volgens de AP "een grote schending van de privacy" van de betrokken patiënten. Ook kreeg de toezichthouder een melding binnen van een telecombedrijf. Daar had een medewerker een bestand met onder meer adressen van klanten ingevoerd in een AI-chatbot.
De meeste bedrijven die chatbots maken slaan alle ingevoerde gegevens op, waarschuwt de AP. "Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert", zegt de toezichthouder.
Het is vervolgens onduidelijk wat er met de ingevoerde gegevens gebeurt. Ook degene van wie de gegevens zijn, heeft daar geen weet van. Omdat techbedrijven toegang krijgen tot persoonsgegevens zonder dat het de bedoeling is, is er volgens de AP sprake van een datalek.
Alles bij de bron; NU
Bang Bros heeft de gevoelige gegevens van gebruikers gelekt, waaronder ip-adressen, gebruikersnamen, user agents, geolocatie en andere data, zo meldt Cybernews op basis van eigen onderzoek. De dataset van in totaal acht gigabyte werd in een onbeveiligde Elasticsearch-cluster aangetroffen en begin juni door zoekmachines geïndexeerd.
Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De dataset bevatte twaalf miljoen records met ip-adressen, gebruikersnamen, user agents, berichten, land, geolocatie tot op 11 meter nauwkeurig en modelgegevens.
De website waarschuwde Bang Bros, waarna de data werd beveiligd.
Alles bij de bron; Security
Secure Boot is een mechanisme dat onderdeel uitmaakt van Unified Extensible Firmware Interface (UEFI). Het zorgt dat bij het opstarten van een systeem alleen vertrouwde software draait. Hiervoor maakt het gebruik van digitale handtekeningen, die het vergelijkt met vertrouwde digitale sleutels die zijn opgeslagen in de UEFI.
Eind 2022 is een zogeheten platform key van American Megatrends International (AMI) gepubliceerd. Deze sleutel wordt gebruikt voor de Secure Boot-database. De private key van deze platform key bleek beveiligd met een zwak encryptie, die eenvoudig gekraakt kon worden. Nader onderzoek wijst uit dat zeker tweehonderd apparaten gebruikmaken van de uitgelekte platform key.
Daarnaast ontdekte de onderzoekers ook een brede reeks apparaten die gebruik maken van platform keys die als onveilig zijn bestempeld. Het gaat daarbij specifiek om testsleutels van AMI, die het bedrijf deelt met fabrikanten en leveranciers. Deze keys hadden vervangen moeten worden door veilige varianten, maar dat is in de praktijk niet gebeurd. Dit betekent in de praktijk dat de apparaten zijn geleverd met niet-vertrouwde sleutels.
In de praktijk maken de beveiligingsproblemen systemen met Secure Boot kwetsbaar voor het uitvoeren van niet-vertrouwde code tijdens het opstarten. De onderzoekers stellen dat dit de volledige beveiligingsketen van firmware tot besturingssysteem aantast.
Alles bij de bron; Dutch-IT-Channel
De provincie Zuid-Holland is door de Autoriteit Persoonsgegevens (AP) onder geïntensiveerd toezicht geplaatst en moet concrete afspraken maken met de AP over hoe het zorgvuldiger zal omgaan met persoonsgegevens en hierover rapporteren.
"De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem. Het systeem bevat allerlei gegevens, van memo’s en besluiten tot uiteenlopende (persoonlijke) gegevens van burgers, zakelijke contacten en (externe) medewerkers", licht de provincie toe.
"Onze teams Privacy en Informatieveiligheid kwamen in dat systeem (bijzondere) persoonsgegevens tegen die toegankelijk waren voor vrijwel alle medewerkers van de provincie. Categorieën van persoonsgegevens die zijn aangetroffen zijn onder meer NAW-gegevens, contactgegevens, geboortedata, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. Veel medewerkers hadden geen toegang tot deze gegevens nodig om hun functie uit te oefenen. Dat betekent dat er sprake is van een datalek."
Om maatregelen op langere termijn te identificeren en de veiligheid van de systemen en bescherming van persoonsgegevens te kunnen waarborgen, is de provincie gestart met de opdracht: ‘Bescherming persoonsgegevens provincie Zuid-Holland: Privacyvolwassenheid 3 en datalek IDMS’. Binnen deze opdracht zijn diverse teams betrokken, ieder met hun eigen expertise, aldus de provincie Zuid-Holland.
Alles bij de bron; Dutch-IT-Channel
Vijf studenten van de Hogeschool van Arnhem en Nijmegen (HAN) krijgen wegens een datalek dat zich in 2021 voordeed een schadevergoeding van driehonderd euro.
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Vorig jaar oktober oordeelde de kantonrechter dat de hogeschool een student wegens het datalek een schadevergoeding van driehonderd euro moet betalen. Kort daarna bleek dat meer huidige en voormalige studenten van de HAN overwogen een claim in te dienen tegen de onderwijsinstelling. De claims moesten aan strenge voorwaarden voldoen, wat er uiteindelijk voor zorgde dat in totaal zeven slachtoffers een claim indienden.
De juridische afdeling van de HAN oordeelde dat vijf van hen op basis van de uitspraak van de rechter recht hebben op een vergoeding.
Eén van deze studenten maakt aanspraak op nog eens driehonderd euro. Aanleiding is een datalek in januari van dit jaar, waarbij gedetailleerde medische gegevens van meerdere studenten op de aanwezigheidslijst voor een tentamen terecht waren gekomen.
Alles bij de bron; Security
Ticketmaster is begonnen met het versturen van waarschuwingen naar klanten dat hun persoonlijke gegevens zijn gestolen. Eind mei claimden criminelen op internet dat ze de gegevens van 560 miljoen Ticketmaster-klanten hadden gestolen.
Het zou gaan om 1,3 terabyte aan namen, adresgegevens, telefoonnummers, bestelgegevens en gedeeltelijke creditcardgegevens die voor 500.000 dollar te koop werden aangeboden.
Ticketmaster kwam niet met een publieke waarschuwing, maar liet wel aan de Amerikaanse beurswaakhond SEC weten dat er was ingebroken op een 'third-party cloudomgeving' en dat daarbij bedrijfsgegevens en persoonlijke informatie waren gestolen.
Bijna een maand na de SEC-melding heeft Ticketmaster nu verschillende procureurs-generaal van Amerikaanse staten ingelicht dat het klanten middels een brief gaat informeren. Daarin stelt het bedrijf dat aanvallers tussen 2 april en 18 mei toegang tot de third-party cloudomgeving hadden en daarbij persoonlijke informatie hebben gestolen. Om welke informatie het precies gaat laat de brief niet weten.
In het geval van meldingen aan de procureur-generaal van de Amerikaanse staat Maine melden bedrijven in het geval van datalekken vaak ook het aantal getroffen personen, maar in dit geval wordt er alleen gemeld dat het om meer dan duizend mensen gaat.
Alles bij de bron; Security
Levi Strauss heeft accounts van meer dan 72.000 gebruikers gereset wegens een credential stuffing-aanval. Aanvallers wisten met inloggegevens die bij andere websites waren gestolen in te loggen op de accounts. De aanval vond op 13 juni plaats.
"Onze securitydetectietools functioneerden naar behoren in dit geval en we wisten de aanval snel te identificeren en blokkeren", aldjus Levi Strauss. Het bedrijf zegt dat het van alle accounts waar gedurende de aanval op werd ingelogd de wachtwoorden heeft gereset.
Doordat de aanvallers toegang kregen tot de accounts van gebruikers hebben ze mogelijk ook gegevens van deze gebruikers ingezien, aldus de datalekmelding. Het gaat om informatie zoals bestelgeschiedenis, naam, e-mailadres, adresgegevens en de laatste vier cijfers van het creditcardnummer als die waren opgeslagen.
Alles bij de bron; Security
De gegevens van 60.000 Nederlanders met een studieschuld waren online zichtbaar door een fout van DUO. Analysesoftware waar DUO gebruik van maakt bleek niet goed te zijn beveiligd. Het datalek is ontdekt door een ethische hacker.
De fout is ontstaan rond een enquete die DUO op 30 mei verstuurden naar mensen die hun studieschuld terugbetalen. De resultaten analyseert DUO met behulp van software die echter niet goed beveiligd bleek te zijn waardoor de ethische hacker de e-mailadressen van de 60.000 deelnemers kon zien.
Zowel DUO als de softwareleverancier onderzoeken het lek. Ook is het lek door DUO gemeld bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Dutch-IT-Channel
Het Drentse waterschap Drents Overijsselse Delta waarschuwt voor een mogelijk datalek met burgerservicenummers en andere persoonsgegevens die via het geo-informatieportaal toegankelijk waren.
Vorige week meldde het Hoogheemraadschap Hollands Noorderkwartier (HHNK) een soortgelijk datalek met kadastrale gegevens die zes maanden lang toegankelijk bleken te zijn.
"In het online portaal waarin digitale kaarten zijn opgeslagen, het geo-informatieportaal van ons waterschap, is een mogelijk datalek geconstateerd. Hierdoor is mogelijk toegang geweest tot persoonsgegevens, zoals BSN en adresgegevens. Het gaat hierbij om gegevens van kadastrale percelen en de eigenaren en gerechtigden van deze percelen in het werkgebied van ons waterschap", zo laat Drents Overijsselse Delta weten. Het gaat hierbij om gegevens die van het Kadaster afkomstig zijn en via het geo-informatieportaal beschikbaar zijn. "Onbedoeld zijn de gegevens toegankelijk geweest voor onbevoegden."
Na de ontdekking dat de gegevens voor onbevoegden toegankelijk waren is deze toegang dichtgezet.
Alles bij de bron; Security
De gemeente Eindhoven heeft vorig jaar te maken gekregen met een datalek met 220.000 burgerservicenummers. Het datalek werd tijdens een steekproef door een ict-medewerker van de gemeente ontdekt.
Het ging om twee bestanden met daarin 221.511 burgerservicenummers van inwoners waar ambtenaren toegang toe hadden.
De gemeente besloot gedupeerden niet te informeren omdat Eindhoven het risico op identiteitsdiefstal of identiteitsfraude als onwaarschijnlijk beoordeelde. Volgens de gemeente betreft het een intern datalek en is de informatie niet voor buitenstaanders toegankelijk geweest.
Wel is het datalek bij de Autoriteit Persoonsgegevens gemeld. In totaal kreeg Eindhoven vorig jaar met 266 kleine en grote datalekken te maken.
Alles bij de bron; Security