Door middel van een IDOR-kwetsbaarheid was het mogelijk om de inloggegevens van 15.000 Nederlandse huisartsen in handen te krijgen, zo ontdekte huisarts en beveiligingsonderzoeker Jonathan Bouman.
Het beveiligingslek was drie, en mogelijk vijf, jaar lang in de code aanwezig. HaWebSSO is een single-sign-ondienst waarmee huisartsen toegang tot verschillende applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV) kunnen krijgen.
Bouman ontdekte een onbeveiligde API endpoint waar hij gegevens van willekeurige gebruikers kon opvragen, ook zonder enige authenticatie. Het endpoint bleek niet goed te controleren dat wie om de gegevens vroeg ook degene is van wie de gegevens zijn. Zo was het mogelijk om e-mailadres, volledige naam, wachtwoordhash en lidmaatschapsgegevens van meer dan vijftienduizend huisartsen op te vragen.
Alles bij de bron; Security
De Amerikaanse cryptobeurs Gemini heeft van 5,3 miljoen gebruikers de privégegevens gelekt, die vervolgens voor gerichte phishingaanvallen zijn gebruikt. Het gaat om e-mailadressen en gedeeltelijke telefoonnummers.
De melding van het datalek komt een paar dagen na een soortgelijk datalek bij cryptodienstverlener CoinTracker. Daar werden de gegevens van anderhalf miljoen klanten gelekt.
De 5,3 miljoen e-mailadressen van Gemini-gebruikers zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij CoinTracker buitgemaakte e-mailadressen was 63 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
Microsoft stelt zakelijke klanten in staat om data op te slaan en te verwerken in de Europese Unie. Vanaf 1 januari gaat hiervoor het zogeheten EU Data Boundary-project van start, waarbij de gegevens gegarandeerd alleen op Europese servers terechtkomen. Het geldt voor data vanuit Microsoft 365, Azure, Power Platform en Dynamics 365.
De softwareleverancier komt met het project tegemoet aan de wens van veel Europese bedrijven, overheden en instellingen. Zij willen liever niet dat de gegevens die zij opslaan en gebruiken, buiten de EU terechtkomen.
Buiten de EU is het lastig om Europese regels voor privacy en databescherming na te leven, terwijl Europese organisaties zich daar wel aan moeten houden. Met Amerikaanse leveranciers lopen zij bovendien het risico dat deze door de Amerikaanse autoriteiten worden gedwongen om klantinformatie en klantdata te overhandigen. Dit risico is klein, maar niet nihil.
Alles bij de bron; Computable
Staatssecretaris Vijlbrief (Mijnbouw) informeert de Tweede Kamer over Beantwoording schriftelijke vragen misbruik datalek Instituut Mijnbouwschade..
5; Herkent u dat het bedrijf ‘loket bevingsschade’ aan de gegevens over schademeldingen is gekomen door zich op de website van het Instituut Mijnbouwschade (IMG) voor te doen als gemachtigde terwijl ze dat niet zijn?
Antwoord; Ja. Naar aanleiding van de berichten over een mogelijk datalek heeft EZK direct contact opgenomen met het IMG. Zij hebben aan mij bevestigd dat het inderdaad om een lek ging en dat zij maatregelen hebben genomen om dit te dichten. Het IMG betreurt dat er onterecht gegevens van mensen zijn gedeeld en heeft inmiddels bekend gemaakt aangifte te doen tegen het bedrijf in kwestie.
7; Herkent u dat het IMG de gegevens over of op een adres reeds schade is gemeld niet op deze manier aan derden had mogen verstrekken? Is hier sprake van het tweede datalek bij het IMG in een maand tijd? Wat gaat u doen om te zorgen dat de kans op datalekken vanuit het IMG wordt geminimaliseerd?
Antwoord; Ja, hier is inderdaad sprake geweest van twee datalekken bij het IMG in relatief korte tijd. Het eerste datalek vond plaats medio oktober. Hierbij waren gedurende 48 uur voor maximaal 60 aanvragers ten onrechte de gegevens van andere aanvragers inzichtelijk. Dit vond plaats door een fout in een nieuwe versie van software waar het IMG op haar bewonersportaal gebruik van maakt.
Om dit in de toekomst te voorkomen heeft het IMG een verbetering doorgevoerd in de tests die worden uitgevoerd voorafgaand aan de implementatie van nieuwe software.
Het tweede lek kwam voort uit het feit dat mensen informatie konden opvragen over de schadegeschiedenis van een pand waar zij niet de eigenaar van waren. Deze situatie bestond sinds de introductie van de vaste vergoeding in november 2021. Inmiddels heeft het IMG maatregelen genomen om dit lek te dichten. Het IMG heeft extern laten valideren of er afdoende maatregelen getroffen waren bij het oplossen van dit datalek. Dit bleek het geval. Tenslotte heeft het IMG het datalek gemeld bij de Autoriteit Persoonsgegevens.
Dergelijke lekken schaden het vertrouwen van mensen in de achterliggende ICTsystemen die gebruikt worden voor de schadeafhandeling. Ik ben hierover in contact met het IMG en zal blijven benadrukken dat ik er van uit wil kunnen gaan dat zij werken met veilige en betrouwbare ICT-systemen.
Alles bij de bron; RijksOverheid
Door een open cloudopslag heeft internationale tafeltennisbond International Table Tennis Federation (ITTF) paspoorten en vaccinatiebewijzen van honderden professionele tafeltennissers gelekt. Kopieën van paspoorten en vaccinatiebewijzen waren drie jaar lang voor iedereen op internet toegankelijk.
De ITFF is dit jaar al meerdere keren voor het datalek gewaarschuwd, maar verhielp het probleem niet, zo stelt RTL Nieuws op basis van e-mailverkeer dat het heeft ingezien. De openstaande cloudopslag bevatte duizenden documenten met onder andere kopieën van paspoorten.
Alles bij de bron; Security
In het kader van de General Data Protection Regulation (GDPR) moeten bedrijven als je daarom vraagt alle informatie bezorgen die ze over jou verzameld hebben. Twee onderzoekers van de Universiteit Hasselt gaven zich voor elkaar uit en probeerden zo elkaars persoonlijke gegevens op te vragen. Vijftien van de 55 onderzochte bedrijven lieten zich vrij makkelijk misleiden. "Er zijn dus vijftien bedrijven waar we van eender wie data kunnen gaan stelen", zegt onderzoeker Mariano Di Martino.
In sommige gevallen gaat het zelfs over uiterst gevoelige informatie. "Zo hebben we niet alleen rekeningnummers en financiële transacties ontvangen, maar ook parkeerdata of plekken waar we geweest zijn. Dat is zeer gevoelige informatie, zeker als die in verkeerde handen valt", aldus Di Martino. De 'kwetsbare' bedrijven werden achteraf ingelicht over het experiment.
Bron; DataNews
De politie van de Belgische gemeente Zwijndrecht is het slachtoffer geworden van een cyberaanval. Een hacker brak in september in op een server en plaatste de gestolen gegevens online.
De hacker kon onder meer duizenden processen-verbaal, gevoelige documenten en persoonsgegevens inzien. Het zou gaan om een van de grootste overheidslekken ooit in België.
Belgische kranten konden online onder meer aangiftes van huiselijk geweld, pooierschap en prostitutie inkijken. De hacker had toegang tot alle gegevens van 2006 tot en met september 2022.
Alles bij de bron; NU
Een medewerker van het Laurentius Ziekenhuis in Roermond heeft zonder toestemming de dossiers van 95 patiënten bekeken. Een andere medewerker zag dat en maakte er melding van.Het gaat om "iemand die werkzaam was binnen het ziekenhuis".
Het Laurentius Ziekenhuis zegt het voorval te betreuren. De kwestie is gemeld bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. De patiënten van wie de dossiers zijn bekeken, zijn door het ziekenhuis per brief op de hoogte gesteld van het lek. Patiënten die geen brief hebben ontvangen, hoeven zich volgens Van den Akker geen zorgen te maken.
Alles bij de bron; NOS
Eind dit jaar moet de oprichting van het Vlaams Datanutsbedrijf (eindelijk) een feit zijn. Maar bent u nog helemaal mee met de plannen van het Vlaams Datanutsbedrijf? Data News trof transitiemanager Björn De Vidts op de Trefdag van Digitaal Vlaanderen en legde hem 7 concrete vragen voor.
Waarom hebben we dat Vlaams Datanutsbedrijf nodig?
Het Vlaams Datanutsbedrijf wordt een facilitator en accelerator van de Vlaamse datatech. We zijn geen retailer, we zijn geen nutsbedrijf of een andere belanghebbende commerciële speler. We zijn een overheidsbedrijf dat een ecosysteem wil uitbouwen rond het delen van data...
...We willen dat je als burger zelf controle behoudt over jouw data, en transparant en makkelijk kan kiezen welke gegevens je deelt met welke organisatie en voor welke periode. We werken daarom met persoonlijke datakluizen. We werken hiervoor ook samen met kennisinstellingen zoals Universiteit Gent en imec.
Moest privacy dan niet hét argument worden om burgers te lokken?
Volgens ons is privacy niet zozeer wat de burger eerst verwacht. Privacy is een keuze die je aan de burger zelf moet laten: deel ik mijn data of doe ik dat niet? Van zodra ik data deel verwacht ik wel dat mijn beslissing om ze te delen met een vertrouwde partij ook wordt nageleefd en dat er controle op is. En dat ik de goedkeuring op elk moment kan intrekken, waarbij ik niet door een bos van DPO's op zoek moet naar wie dat kan doen.
Dus die verwerkingsverantwoordelijke en het afdwingen van je rechten, ook dat luik wil het datanutsbedrijf faciliteren. Daar ontlasten we dan de Gegevensbeschermingsautoriteit die nu nog veel van die vragen te verwerken krijgt.
Alles bij de bron; DataNews
De Autoriteit Persoonsgegevens (AP) heeft forse kritiek op het nieuwe cloudbeleid van het kabinet. Volgens de privacytoezichthouder is daarin onvoldoende vastgelegd dat data van Nederlandse burgers moeten voldoen aan de privacyregels. De zorgen zijn geuit in een brief aan Van Huffelen, staatssecretaris voor Digitalisering.
Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Daarmee wil zij bevorderen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten. En dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft.
‘De overheid beschikt over een gigantische hoeveelheid data over ons allemaal’, zegt AP-voorzitter Aleid Wolfsen. ‘Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat, maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over.’
De toezichthouder vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar de privacywet Algemene verordening Gegevensbescherming (AVG) niet geldt.
Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de EU, dan moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is volgens de AP niet altijd het geval. 'Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt.’
Tot slot is het beleid volgens AP nu te vrijblijvend. ‘Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen. Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan’, waarschuwt Wolfsen.
Alles bij de bron; Computable