Criminelen die wisten in te breken op de systemen van de Australische kredietverstrekker Latitude en daar de gegevens van veertien miljoen klanten wisten te stelen, hebben losgeld geëist. Dat heeft Latitude in een update over de datadiefstal bekendgemaakt. Het gaat om één van de grootste datalekken in de geschiedenis van Australië en Nieuw-Zeeland.
Halverwege maart meldde het bedrijf dat het slachtoffer was geworden van een aanval waarbij klantgegevens waren buitgemaakt. In eerste instantie liet het bedrijf weten dat scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords waren buitgemaakt. In een update meldde Latitude dat de gegevens van veel meer klanten zijn gestolen.
Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de "records" gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangegeven dat het klanten zal vergoeden die ervoor kiezen om hun identiteitsdocument vanwege het datalek te vervangen. Hoe de gegevens precies gestolen konden worden is niet bekendgemaakt...
... De Nieuw-Zeelands privacytoezichthouder is niet te spreken over het datalek en de werkwijze van Latitude. "Sommige van de veertien miljoen gestolen Nieuw-Zeelandse en Australische records zijn achttien jaar oud, wat niet oké is." Volgens de databeschermingsautoriteit laat ook dit incident, net als verschillende andere datalekken, het probleem van dataretentie zien, waarbij bedrijven gegevens langer dan noodzakelijk bewaren. " Privacy moet een primair bedrijfsvraagstuk worden, dat net zo belangrijk als gezondheid en veiligheid is."
Alles bij de bron; Security
Inwoners van de IJmond die bij Omgevingsdienst Noordzeekanaalgebied melding maakten van overlast van Tata Steel, lopen kans dat hun persoonsgegevens op straat liggen. Het meldpunt is onderdeel geweest van een datalek.
Op 29 maart ontving de OD NZKG een e-mail van een ethische hacker, die aangaf dat hij gegevens kon inzien van de personen die een overlastmelding hebben gedaan via de meldingentool en het Meldpunt overlast Tata Steel. Hierbij ging het om voor- en achternaam, woonadres, telefoonnummer, e-mailadres en de coördinaten van de melding van gebruikers.
Samen met de leverancier van de applicaties is onderzoek gedaan naar de kwestie. De kwetsbaarheid is inmiddels verholpen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Alle personen die een overlastmelding hebben gedaan via de genoemde tools zijn per mail geïnformeerd.
Alles bij de bron; IJmuiderCourant
Wifi-routers kunnen pakketjes bedoeld voor mobiele telefoons en laptops in een queue plaatsen, bijvoorbeeld als het apparaat in kwestie in de slaapstand staat. Wanneer de client in de slaapstand staat, om zo energie te besparen, zal de router de gebufferde frames later versturen.
Onderzoekers Domien Schepers en Aanjhan Ranganathan van de Northeastern University en Mathy Vanhoef van de KU Leuven hebben nu een aanval ontwikkeld waarbij ze wifi-routers kunnen misleiden om de frames die nog in de queue staan in plaintext te laten lekken, of in versleutelde vorm, maar dan met een all-zero key, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is.
De onderzoekers laten ook zien hoe ze via deze "fundamentele ontwerpfout" een dos-aanval kunnen veroorzaken, waardoor bijvoorbeeld een verbonden smartphone de verbinding met de wifi-router verliest.
Tevens is het mogelijk om de securitycontext van frames te controleren en overschrijven, waardoor frames die nog in de queue moeten worden geplaatst worden versleuteld met een door de aanvaller gekozen key. Op deze manier wordt de wifi-encryptie in zijn geheel omzeild. De onderzoekers roepen dan ook op tot een betere beveiliging ronden het queuen van frames door wifi-apparaten.
Alles bij de bron; Security
Het beheer van onze data is de laatste jaren uitgegroeid tot een heet hangijzer. Idealiter zijn onze gegevens in ons eigen bezit én makkelijk te gebruiken. Dat klinkt eenvoudig, maar in de realiteit ligt dit ingewikkelder.
Welke alternatieven zijn er op dit moment? En wat kunnen we verwachten van een initiatief als de Nederlandse Datakluis? De Technoloog gaat in gesprek met journalist Peter Olsthoorn, schrijver van het boek Baas over Eigen Data.
Alles bij de bron; BNR
Stadskanaal heeft per ongeluk persoonsgegevens op straat gegooid van mensen die het niet eens waren met gemeentelijke bestemmingsplannen. Het gaat om adressen, telefoonnummers en bijvoorbeeld e-mailadressen van inwoners. Daardoor waren meningsverschillen tussen buren bijvoorbeeld zichtbaar. Maar ook kunnen die gegevens gebruikt worden voor phishing of fraude.
Een ondernemer van wie de gegevens op straat liggen maakt het in eerste instantie niet uit. Dat zegt hij, maar even later belt hij terug. ,,Ik ben het er eigenlijk helemaal niet mee eens dat mijn nummer is gedeeld.’’
Een ander persoon vindt het vervelend dat zijn naam, contactgegevens en adres aan hem worden voorgelezen. ,,Dat is niet zo netjes. Een slechte zaak, daar gaat je privacy. Ik heb ook niets gehoord van de gemeente, geen belletje of briefje. Niets.’’
De adresgegevens van een raadslid zijn ook gelekt. De politicus wil in de toekomst achter zijn huis een nieuwe aanbouw neerzetten en daarvoor moet een deel van de grond worden herstemd naar een woonbestemming.
De gemeente publiceerde die informatie in een gebundeld document van 642 bladzijden: ‘totaalbestand zienswijzen (geanonimiseerd)’. In een inventarisatie staat dat het om 89 zienswijzen gaat. In werkelijkheid zijn dat er 78. Daarvan zijn bij tenminste 20 persoonsgegevens als adressen, e-mailadressen en 06-nummers niet weggelakt, ofwel geanonimiseerd.
De gegevens stonden tussen de vergaderstukken van de gemeenteraad van Stadskanaal. Die stukken zijn voor iedereen toegankelijk. Journalisten raadplegen die bijvoorbeeld geregeld.
Het document en daarmee de gegevens werden afgelopen woensdag offline gehaald. Donderdag werd een andere versie online gezet, daarin waren persoonsgegevens wel weggelakt.
De gemeente Stadskanaal is op de hoogte van het lek, zegt een woordvoerder. ,,Wij vinden het heel erg.’’ Juist ook omdat de gemeente uiterste voorzichtig met de gegevens omging. Uiteindelijk is er een foutief bestand geüpload, zegt ze. ,,Het was een menselijke fout.’’
Er is binnen 72 uur melding gemaakt bij AP, zegt volgens de woordvoerder. ,,Het heeft van maandagavond tot woensdagochtend online gestaan. Alle mensen die het betreft zullen een brief krijgen."
Alles bij de bron; DVHN
Een Amerikaanse patiënt heeft het ziekenhuis in de Verenigde Staten waar ze wordt behandeld aangeklaagd nadat een ransomwaregroep op de systemen van het ziekenhuis wist in te breken en daar naaktfoto's buitmaakte, die het vervolgens op internet publiceerde. Dat heeft het advocatenkantoor dat de vrouw bijstaat bekendgemaakt. Hoe de aanvallers toegang konden krijgen is niet bekendgemaakt, maar volgens de advocaten had de aanval voorkomen kunnen worden.
"Terwijl het ziekenhuis zichzelf een schouderklopje geeft voor het niet ingaan op de losgeldeisen van de aanvallers, hebben ze bewust en opzettelijk de echte slachtoffers genegeerd", aldus de advocaten. Die stellen verder dat patiënten niet wisten dat foto's van hen onderdeel van het medisch dossier waren en dat die gestolen konden worden. De vrouwelijke patiënte is nu een massaclaim gestart waar andere patiënten zich bij kunnen aansluiten (pdf).
Alles bij de bron; Security
Er is 12,2GB aan gestolen data van het Zwitserse securitybedrijf Acronis online verschenen. The Register schrijft dat het gaat om 'certificaatbestanden, logs, systeemconfiguraties, systeeminformatielogs, archieven van het bestandssysteem, Python-scrips voor een Acronis-database, back-upconfiguraties en veel screenshots van back-upoperaties'.
De hacker noemt de beveiliging van het cybersecuritybedrijf slecht en claimt dat hij of zij het bedrijf wilde 'vernederen'.
Onderzoek van het bedrijf heeft tot nu toe uitgewezen dat de credentials van een klant die diagnostische gegevens uploadt naar Acronis zijn gecompromitteerd, meldt Chief information security officer van Acronis Kevin Reed. Het bedrijf werkt samen met die klant en het account in kwestie is geblokkeerd totdat het onderzoek is afgerond.
Acronis zegt daarbij dat de data ook alleen afkomstig zijn van die ene klant; het bedrijf benadrukt dat 'geen ander systeem of account hierdoor geraakt is' en dat er 'geen datalek is dat zich niet bevindt in de map van deze specifieke klant'.
Acronis biedt onder meer applicaties voor consumenten op het gebied van security, back-ups, bestandsherstel en meer. Hun True Image-back-upsoftware wordt wel eens gebundeld met ssd's. Ook voor bedrijven biedt het bedrijf cybersecuritydiensten.
Alles bij de bron; Tweakers
PayPal moet zich binnenkort voor de rechter verantwoorden voor de afhandeling van een datalek dat eind vorig jaar plaatsvond.
In januari waarschuwde PayPal zo’n 35.000 klanten voor “ongebruikelijke activiteiten” op de systemen van het bedrijf. De daders hadden toegang tot privacygevoelige informatie, waaronder namen, woonadressen, geboortedata, kopieën van rijbewijzen en BSN-nummers...
...De aanklagers stellen dat er bij de cyberaanval “uiterst gevoelige data” zijn buitgemaakt “die een goudmijn vormen voor datadieven”. Verder hebben ze tijd en geld moeten steken in het verhelpen of beperken van de gevolgen van de aanval.
Tot slot verwijten ze PayPal dat het nalatig is geweest om haar systemen te monitoren en klantgegevens te beschermen. Hun privégegevens zijn daardoor mogelijk in de handen van criminelen beland.
Alles bij de bron; VPN-gids
De aanval op wachtwoordmanager LastPass waarbij kluisdata en gegevens van klanten werden gestolen kon mede plaatsvinden doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Een aanvaller maakte daar misbruik van om het systeem met malware te infecteren.
Vorige week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware.
Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen.
De "media software" in kwestie bleek Plex te zijn en laat nu weten dat de aanvaller gebruikmaakte van een beveiligingslek uit 2020, aangeduid als CVE-2020-5741. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen. Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid.
Op 24 augustus vorig jaar waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten.
Alles bij de bron; Security
LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies.
LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd.
Alles bij de bron; Security