Databeveiliging & Dataverlies

De Nederlandse autoverhuurdienst SnappCar heeft de privéadressen en kentekens van 50.000 gebruikers gelekt, meldt RTL Nieuws op basis van eigen onderzoek. Via SnappCar kunnen gebruikers hun auto verhuren of een auto van een particulier huren. 

Van slachtoffers was de voornaam, het adres, huisnummer, de postcode en woonplaats zichtbaar. Normaal gesproken hebben alleen de huurder en verhuurder van een auto toegang tot die gegevens, om een afspraak te maken. 

SnappCar heeft het lek een dag na de melding van RTL Nieuws gedicht. Ook wordt de Autoriteit Persoonsgegevens op de hoogte gesteld. In een verklaring zegt SnappCar dat het bedrijf op dit moment geen aanwijzingen heeft dat de adresgegevens of kentekens zijn bemachtigd door derden.

Alles bij de bron; NU


 

Door een datalek bij een overheidsinstantie in de Chinese provincie Jiangsu zijn meer dan 90 miljoen gegevens op straat terecht gekomen. Twee databases bij de Jiangsu Provincial Public Security Department van de provincie, met hierin persoonlijke en zakelijke gegevens van burgers en bedrijven, waren vrij toegankelijk.

De provincie bewaarde in de betreffende database 26 GB aan gegevens. Het gaat om persoonlijke informatie zoals namen, geboortedata, geslacht, identiteitskaartnummers en meer. Ook zakelijke gegevens van vele bedrijven uit de provincie waren opgeslagen in de database, in sommige gevallen waren deze gegevens ook aan persoonsgegevens van de eigenaren gelinkt.

Alles bij de bron; AGConnect


 

Verschillende veiligheidsagentschappen in de Verenigde Staten debatteren over de vraag of ze technologiebedrijven moeten verplichten om enkel encryptie te gebruiken die door de VS zelf kan worden gekraakt. Dat maakt afluisteren makkelijker.

Het gaat nog niet om een wetsvoorstel, maar de vraag of zo'n voorstel er moet komen ligt wel op tafel. Volgens Politico vond er afgelopen week een National Security Council plaats waarbij verschillende overheidsagentschappen spreken over de veiligheid... 

...Encryptie verzwakken betekent dus de facto dat de Amerikaanse regering overal kan meeluisteren. Voor Amerikaanse technologiebedrijven betekent dit ook dat hun producten minder interessant worden voor buitenlandse gebruikers. Bovendien zouden criminelen dan simpelweg hun toevlucht kunnen zoeken tot niet-Amerikaanse apps die wel versleuteld zijn.

Tot slot heeft de VS meermaals zelf aangetoond dat het in staat is tot grote flaters op securityvlak. Zo slaagden hackers er in om geheime methodes te bemachtigen die de NSA gebruikte om netwerken binnen te dringen. Die werden nadien actief misbruikt voor criminele doeleinden. Het verzwakken van encryptie maakt toestellen dus niet alleen kwetsbaar voor de Amerikaanse overheid, maar voor iedereen die dezelfde methodes weet te hanteren.

Alles bij de bron; DataNews


 

OneDrive wordt van een persoonlijke datakluis voorzien die alleen toegankelijk is via een "sterke authenticatiemethode" of een tweede factor. Het gaat dan bijvoorbeeld om een vingerafdruk, gezichtsscan, pincode of een code die via e-mail, authenticator of sms is verkregen.

De Personal Vault is bedoeld om gevoelige gegevens in op te slaan. Op Windows 10-computers synchroniseert OneDrive de bestanden in de Personal Vault naar een locatie op de harde schijf die via BitLocker is versleuteld. Verder stelt Microsoft dat bestanden in de Personal Vault versleuteld in de Microsoft-cloud zijn opgeslagen.

Een andere feature van de Personal Vault is dat die zich na een bepaalde tijd van inactiviteit vergrendelt. Eenmaal vergrendeld moeten gebruikers zich opnieuw authenticeren om hun bestanden te benaderen. Via de mobiele app van OneDrive wordt het straks mogelijk om gescande documenten en gemaakte foto's en video's direct in de Personal Vault op te slaan. De Personal Vault wordt binnenkort in Australië, Nieuw-Zeeland en Canada uitgerold en zal tegen het einde van dit jaar voor iedereen beschikbaar zijn.

Alles bij de bron; Security


 

Het Elkerliek Ziekenhuis is opnieuw onzorgvuldig omgesprongen met persoonlijke gegevens van patiënten. De gegevens werden via de mail verstuurd en niet via een beveiligde lijn. Het gaat om patiënten die de afgelopen tijd vanwege de (aanstaande) geboorte van hun kind een bezoek aan het ziekenhuis hebben gebracht. Daarvoor zijn met een externe partij gegevens gedeeld. Het gaat om persoonlijke informatie als naam, adres, burgerservicenummer en geboortedatum.

Eind vorig jaar kwamen er mogelijk ook al gegevens van patiënten op staat. Hackers hadden toen ingebroken op de mailservers van het Elkerliek Ziekenhuis en uit naam van het ziekenhuis phishingmails gestuurd.

Alles bij de bron; OmroepBrabant


 

„Let op! Ga voorzichtig om met uw gegevens. Geef nooit uw persoonlijke of financiële gegevens af”, zo waarschuwt ABN Amro haar klanten op de website van de bank. En op het moment dat wij deze mededeling op abnamro.nl lezen, doet de bank zelf nou juist waar ze hun rekeninghouders op attenderen. In webadressen die worden aangemaakt als klanten internetbankieren, verschijnt volstrekt nodeloos persoonlijke informatie in de vorm van bankrekeningnummers.

In diverse url’s, de pagina-adressen waarmee de browser naar de juiste site wordt geleid, vinden we gegevens terug die rechtstreeks naar onze persoon of onze bankrekening leiden. Bij ABN vinden we ons bankrekeningnummer in de url bij het internetbankieren en ook de duurzame ASN Bank geeft dat vrij op de pagina’s die we te zien krijgen als we onze betalingen bekijken op hun site. Een ander zag zijn e-mailadres gekoppeld aan de site van Omron, de leverancier van zijn bloeddrukmeter. Betalingen van concertkaartjes en een veerpont via betaalbedrijf Adyen verraden onze mailadressen, de hoogte van het bedrag en de partij aan wie het is overgemaakt.

Al met al valt er een aardig beeld te schetsen van ons doen en laten. En is het ondenkbaar dat we er nooit in zouden trappen als een partij zich voordoet als een ticketverkoper die meldt dat een betaling is mislukt? Of in een mail die afkomstig lijkt van mijn bank over de betaling die ik daadwerkelijk heb verricht? Zouden we niet op de link drukken om de transactie alsnog te bevestigen?

Alles bij de bron; Telegraaf



 

Veel overheidsinstanties hebben hun privacyregister van verwerkingsactiviteiten niet op orde. En dat terwijl de nieuwe Europese privacyregels gemakkelijke inzage in persoonsgegevensverwerking verplicht stellen. De burger moet vaak moeite doen te achterhalen hoe overheden welke gegevens gebruiken.

Dat concluderen onderzoekers van de Open State Foundation, die pleiten voor gestandaardiseerde registers voor overheden. Zij onderzochten de beschikbaarheid en kwaliteit van verwerkingsregisters van alle Nederlandse ministeries, provincies en gemeenten. Van de 379 overheden ontving de stichting 246 registers. Bijna een kwart (89) daarvan stond gewoon online en de rest bemachtigde de organisatie na informatieverzoeken.

63 procent van de ontvangen registers blijkt incompleet. Er ontbreken een of meerdere wettelijk verplichte kolommen. Daarnaast staat in 83 procent van de registers informatie die niet verplicht is. Ze worden bovendien in uiteenlopende bestandsformaten gepubliceerd.

Alles bij de bron; Computable



 

Kan een ambtenaar persoonlijk verantwoordelijk worden gesteld op het veroorzaken van een datalek, waarna er volgens het college van B en W geen melding hoeft te worden gemaakt bij de Autoriteit Persoonsgegevens?

Dat vraagt de PvdA in de Asser gemeenteraad zich af. Nadat bekend was geworden dat er in maart van dit jaar een groot datalek was geweest bij de gemeente Assen – waarbij 530 persoonsgegevens na een foutief verstuurde e-mail in verkeerde handen terecht waren gekomen – meldden de sociaaldemocraten dat er daarna nóg een datalek bij de gemeente was geweest.  

Het betrof hier privacygevoelige gegevens, die eveneens vanuit het stadhuis waren verzonden naar een verkeerde ontvanger. Het ging deze keer om medische gegevens en persoonsgegevens. Het eerste voorval was wel gemeld bij Autoriteit Persoonsgegevens, het tweede niet, aldus het college. Volgens B en W hoefde dat niet, omdat de betrokken ambtenaar die de mail verzond persoonlijk als schuldige werd aangemerkt.

‘Het college heeft geconcludeerd dat de opsteller van de mail deze zelf heeft geadresseerd. B en W trekken vervolgens de conclusie dat het daarom niet is te kwalificeren als datalek van de gemeente Assen. Maar is het niet zo, dat een ambtenaar zijn werk verricht námens de gemeente? En dat die een mail niet op persoonlijke titel verzend, maar námens de gemeente? Op welk moment kan een ambtenaar persoonlijk worden aangesproken op zijn werk, waar ligt de verantwoordelijkheid? Kortom, wat ligt eraan ten grondslag dit niet te melden bij de Autoriteit Persoonsgegevens?’

Rengers verwijst vervolgens nog maar eens naar het rapport van de Rekenkamercommissie, die na onderzoek naar de beveiliging van informatie in het gemeentehuis kenbaar maakte dat dit in veel gevallen ‘zo lek als een mandje’ was. En dat er echt iets moest gebeuren om die informatie beter te beschermen. Rengers vraagt zich af wat er met die aanbeveling is  gedaan.

Alles bij de bron; AsserCourant


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha