Een wereldwijd opererende fabrikant van jacuzzi's heeft via twee slecht beveiligde adminpanels de privégegevens van gebruikers en klanten gelekt. Na te zijn ingelicht duurde het maanden voordat het bedrijf de gevonden problemen verhielp. Dat meldt beveiligingsonderzoeker Eaton Zveare die het datalek ontdekte.
Via de SmartTub-app is het onder andere mogelijk om op afstand de temperatuur, stroming en verlichting van de jacuzzi van over de hele wereld te bedienen. De jacuzzi is namelijk voorzien van een module voor een mobiele dataverbinding.
Gebruikers van de SmartTub-feature moeten eerst een account aanmaken. Zveare, die zelf een jacuzzi had aangeschaft, ontving hierbij een e-mail vanaf het domein smarttub.io. De onderzoeker dacht in eerste instantie dat dit een website was om op zijn account in te loggen, maar het bleek het adminpanel te zijn. Alleen door het aanpassen van een HTTP response lukte het Zveare om op het beheerderspaneel in te loggen.
Daar ontdekte hij allerlei gegevens van klanten en gebruikers, waaronder van spa's en sauna's die van de jacuzzi's gebruikmaken, maar ook thuisgebruikers waar de apparaten staan. Het ging onder andere om namen en e-mailadressen. Van hoeveel mensen de gegevens zijn gelekt is onduidelijk. De Android-app alleen telt meer dan tienduizend downloads.
Zveare waarschuwde Jacuzzi Brands december vorig jaar, maar de communicatie verliep moeizaam. Pas deze maand zag de onderzoeker dat beide adminpanels beveiligd waren, waarop hij nu zijn bevindingen openbaar heeft gemaakt.
Alles bij de bron; Security
Van de Gelderse gemeente Buren werden begin april honderden bestanden gestolen na een aanval met gijzelsoftware. Woensdag heeft de gemeente bekendgemaakt dat de aanval ontstond doordat criminelen inloggegevens van een leverancier misbruikten.
Bij de hack werd 130 GB aan bestanden gestolen. Die dataset werd vervolgens te koop aangeboden op het darkweb.
De gemeente maakt niet bekend om welke leverancier het gaat. Wel is duidelijk dat de hackers zijn binnengedrongen via een account dat niet extra werd beschermd door tweestapsverificatie. Daardoor hadden de aanvallers aan een accountnaam en wachtwoord genoeg om binnen te dringen in de ICT-omgeving van de gemeente.
Alles bij de bron; NU
Apeldoorn heeft de inloggegevens van duizenden mensen gelekt die van de Stadspas gebruikmaken.
Een ethische hacker ontdekte dat het via de website mogelijk was om toegang tot een logbestand te krijgen met daarin gebruikersnamen en wachtwoorden van 4.600 personen. Het gaat om gebruikers die bij het inloggen één of meerdere keren foutieve gegevens, bijvoorbeeld een typfout in mailadres of een verkeerd wachtwoord, hadden ingevuld.
Naar aanleiding van het datalek heeft de gemeente de website van de Stadspas offline gehaald, alle getroffen personen ingelicht en melding gemaakt bij de Autoriteit Persoonsgegevens. De leverancier van de website heeft het betreffende logbestand inmiddels verwijderd. Verder is besloten om van alle gebruikers het wachtwoord te resetten.
Alles bij de bron; Security
...De gemeente heeft al mijn gegevens laten stelen door een ransomewaregroep en die heeft ze op het dark web gegooid, waar de bankrover ze kennelijk heeft gevonden. Mijn buren hebben er een excuusbrief van de burgemeester over gekregen zo kon ik lezen dat de burgemeester beloofde onze gegevens zorgvuldig te bewaren en dat ze op het gemeentehuis tot het uiterste gaan om die belofte iedere dag waar te maken.
Nog maar net had ik de brief over de diefstal gelezen en het bericht van de boef beluisterd of ik kreeg opdracht van tijdschrift De Gids om een kopie van mijn paspoort toe te sturen. De overheid had erom gevraagd. Die eist persoonsgegevens van tijdschriftbestuurders opdat zij „zich niet kunnen verhullen achter juridische entiteiten om bijvoorbeeld fraude te plegen, geld wit te wassen, of terrorisme te financieren”. Hm.
Deze rare optelsom van gebeurtenissen is een schoolvoorbeeld van iets dat je een veiligheidsparadox zou kunnen noemen. Om misdaad te voorkomen, tuig je systemen op die de boel niet veilig maken maar juist onveilig op een andere manier. Je komt deze veiligheidsparadox vaker tegen, u kent het verhaal van het systeem dat door de Belastingdienst werd opgetuigd om toeslagenfraude te voorkomen. Het verschijnsel behoort misschien tot het wezen van het overheidsbeleid.
De systemen van de bureaucratie zijn goede antwoorden op lastige vragen, maar ze maken het leven niet vanzelfsprekend veilig. Het gebeurt helaas nogal eens dat „onrechtvaardigheid het systeem binnendringt”, zoals de voorzitter van de Raad voor de rechtspraak het deze week formuleerde. De veiligheidsparadox is via de rechter en wetsaanpassing te bestrijden, maar nooit helemaal uit te bannen.
...In de afgelopen jaren zijn mijn data nogal eens gelekt, gestolen en per ongeluk naar de verkeerde ontvanger opgestuurd: ik heb een stapeltje sorry-brieven in huis. „We doen er alles aan.” Nee, jullie doen er niet alles aan, anders zou je erkennen dat het probleem voortkomt uit je oplossing. Dat het ronddwalen van gegevens geen incident is, maar een uitvloeisel van het online verzamelen. Ook in de private sector wordt het lekken afgedaan als incident. „Programmeerfout.” „Is inmiddels hersteld.”
Geef liever toe dat het geen incidenten zijn, maar kenmerken van het systeem. Het rondzingen van gegevens draagt bij aan de moderne moeilijkheid dat je niet weet welke instantie je nog kunt vertrouwen.
Alles bij de bron; NRC
GGD GHOR Nederland heeft via een brief 1250 mensen een schadevergoeding van 500 euro aangeboden. Het gaat om slachtoffers van het datalek bij de GGD van afgelopen zomer, waarbij persoonsgegevens door toenmalige GGD-medewerkers gestolen bleken te zijn.
De verzamelorganisatie van Nederlandse GGD'en benadrukt dat het om 1250 zorgvuldig geselecteerde personen gaat. Er zou op basis van het politieonderzoek naar de verdachten verantwoordelijk voor het datalek gekeken zijn wie er daadwerkelijk slachtoffer van de inbraken is. Dit werd op basis van screenshots gemaakt door de daders gedaan.
Volgens Stichting Initiatieven Collectieve Acties Massaschade is het gebaar van de GGD GHOR Nederland naar de 1250 slachtoffers niet voldoende. Stichting ICAM beweert dat het om maar liefst 6,5 miljoen slachtoffers gaat.
Alles bij de bron; Tweakers
Op internet worden de privégegevens gedeeld van 21 miljoen gebruikers van verschillende vpn-diensten. Het gaat om namen, factuurgegevens, e-mailadressen, gebruikersnamen, landnamen, "willekeurig gegeneerde wachtwoordstrings" en abonnementsperiode, zo meldt vpnMentor. Het betreft gebruikers van vpn-providers GeckoVPN, SuperVPN en ChatVPN.
Vorig jaar kregen SuperVPN en GeckoVPN met een datalek te maken waarbij de gegevens van ruim twintig miljoen gebruikers online verschenen, maar de nu gedeelde data van de vorig jaar gelekte gegevens lijken te verschillen.
Alles bij de bron; Security
Het Nederlands Woning Waarde Instituut (NWWI) heeft na een waarschuwing een groot datalek gedicht, meldt de Consumentenbond. Via het lek waren honderdduizenden taxatierapporten en miljoenen andere privédocumenten van Nederlandse consumenten te bekijken.
Een onderzoeker van de Consumentenbond wist begin maart via een gat in de beveiliging toegang te krijgen tot de broncode en logbestanden van het NWWI. Daar vond hij onder meer wachtwoorden en IP-adressen van banken en verzekeraars.
Ook kon de onderzoeker via de zoekmachine van Google talloze taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes en foto's (onder meer van gebreken aan huizen) inzien en downloaden. In enkele gevallen was het ook mogelijk om kopieën van identiteitsbewijzen te bekijken en te downloaden.
Alls bij de bron; NU
I-SEC zegt dat er zipbestanden van 23 gigabyte zijn gepubliceerd op het darkweb, het afgesloten deel van het internet.
In de dataset zijn onder meer persoonsgegevens uit de personeelsadministratie te vinden. De woordvoerder treedt verder niet in detail, maar zegt dat er in elk geval gegevens van huidige en voormalige medewerkers van I-SEC in staan. I-SEC heeft als luchthavenbeveiliger een groot aandeel in de beveiliging van Schiphol.
De bestanden werden in april gepubliceerd. Het lek is gemeld bij de Autoriteit Persoonsgegevens.
Alles bij de bron; NU
De Nederlandse Aardolie Maatschappij (NAM) heeft onterecht gegevens van Groningse aardbevingsslachtoffers gedeeld met het ministerie van Economische Zaken. Dat meldt het Dagblad van het Noorden. De NAM verstuurde een Excel-bestand naar het ministerie met alle dossiers van inwoners uit Groningen die gebruik hadden gemaakt van de waardedalingsregeling van het bedrijf.
De NAM en het ministerie bevestigen dat er onbedoeld gegevens van inwoners door het gaswinningsbedrijf zijn verstrekt. Ambtenaren van het ministerie spreken van "nogal een datalek". Er is echter geen melding gedaan bij de Autoriteit Persoonsgegevens. Volgens de NAM is er namelijk geen echt risico voor de privacy van bewoners geweest.
Alles bij de bron; Security
Een datalek bij de gemeenten Emmen, Coevorden en Borger-Odoorn, wat vorig jaar juli plaatsvond en ontstond doordat criminelen toegang tot de e-mailaccounts van ambtenaren kregen, heeft ruim zevenduizend inwoners geraakt. Hoewel het datalek negen maanden geleden plaatsvond heeft het college van burgemeester en wethouders van Emmen dit nu pas in een brief aan de gemeenteraad bekendgemaakt.
...De gemeente heeft het datalek vorig jaar juli bij de Autoriteit Persoonsgegevens gemeld. Eind december oordeelde de privacytoezichthouder over de afhandeling van het incident dat niet kan worden uitgesloten dat er gegevens zijn ingezien. Daarom moet de gemeente getroffen inwoners alsnog over het datalek informeren. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld.
Alles bij de bron; Security