Databeveiliging & Dataverlies
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het Israëlische beveiligingsbedrijf Wiz en het Amerikaanse cybersecurityagentschap CISA raden alle klanten van de clouddienst Microsoft Azure aan hun digitale sleutel te veranderen. Dat zeggen de experts naar aanleiding van een groot beveiligingslek in de cloudsoftware, dat zo'n twee jaar heeft bestaan.
Wiz kwam het lek tegen in de zogenoemde Cosmos DB-database van Microsoft Azure. Hiermee kon het bedrijf bij sleutels komen die de toegang tot de databases van duizenden bedrijven beheren. Het lek werd eerder deze maand gedicht nadat Microsoft was ingelicht door Wiz.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Microsoft heeft duizenden klanten gewaarschuwd voor een kritieke kwetsbaarheid in Azure Cosmos DB waardoor aanvallers toegang tot databases konden krijgen. Cosmos DB is een databaseplatform dat onderdeel van Microsofts Azure-clouddienst is. Het wordt door allerlei bedrijven gebruikt voor de opslag van grote hoeveelheden data, waaronder Fortune 500-bedrijven gebruikt. Coca-Cola, Exxon-Mobil en Citrix maken gebruik van Cosmos DB.
Onderzoekers van securitybedrijf Wiz ontdekten dat het mogelijk was om volledige toegang tot de databases van Cosmos DB-klanten te krijgen en waarschuwde Microsoft, waarna de kwetsbare notebook-feature binnen 48 uur werd uitgeschakeld.
Microsoft waarschuwde klanten en adviseerde hen om hun keys te wijzigen, aangezien die door aanvallers gecompromitteerd kunnen zijn. Zolang deze keys niet zijn gewijzigd kan een aanvaller daarmee toegang tot de database krijgen. Wiz laat weten dat Microsoft alleen klanten heeft ingelicht die tijdens de onderzoeksperiode risico liepen. Het securitybedrijf denkt dat veel meer Cosmos DB-klanten gevaar lopen, aangezien de kwetsbaarheid zeker maanden en mogelijk jaren aanwezig was. Technische details over de kwetsbaarheid zullen op een later moment bekend worden gemaakt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De 21-jarige hacker, die zich verschuilde achter het pseudoniem John Binns, vertelde aan journalisten van de Wall Street Journal dat hij achter de aanval zat op de Amerikaanse tak van T-Mobile waarbij de gegevens van 48,7 miljoen Amerikanen gestolen werd. De data omvat voor- en achternamen, geboortedata, social security numbers en rijbewijs- of id-kaartinformatie.
Binns vertelde dat hij T-Mobile’s internetadressen afzocht op zoek naar kwetsbaarheden. Dat deed hij naar eigen zeggen met een ‘simpele tool’ die beschikbaar is voor het grote publiek. Hij ontdekte bijgevolg een onbeveiligde router van het bedrijf die aangesloten was op het net en gebruikte die om toegang te krijgen tot het datacentrum van de operator in de noordwestelijke Amerikaanse staat Washington. Van dit centrum had hij inloggegevens buitgemaakt en nadat hij zichzelf naar binnen had gehackt, kon de man meer dan 100 servers bereiken. Vervolgens duurde het een week om die servers uit te pluizen. Binns vond in die tijd de persoonlijke data van 48,7 miljoen Amerikanen, waaronder huidige, voormalige of potentiële klanten van de Amerikaanse telecomoperator.
Of de hacker de data effectief verkocht heeft, en of hij hiervoor werd betaald, wou hij niet kwijt aan de journalisten van de Wall Street Journal. Met de hack wou de hacker aandacht trekken. "Ophef creëren was een doel", stelde hij tegenover de Wall Street Journal. "Ik sloeg in paniek want ik had plots toegang tot iets groots. De beveiliging van T-Mobile is slecht", stelde hij.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
China heeft een nieuwe datawet aangenomen die, volgens de overheid, persoonlijke gegevens van gebruikers beter moet beschermen.
De wet schrijft onder meer voor hoe techbedrijven met die gegevens moeten omgaan. De wet gaat op 1 november in en bevat enkele voorzieningen die aan de AVG doen denken. Bedrijven moeten onder meer toestemming van gebruikers krijgen voor ze persoonlijke gegevens kunnen verzamelen, en krijgen ook voorgeschreven hoe ze die data moeten beschermen wanneer ze buiten de Chinese grenzen worden vervoerd.
Daarnaast mag er ook alleen data worden verzameld wanneer daar een duidelijk doel voor is, en moeten bedrijven het minimum aan data verzamelen die nodig is om hun apps en dergelijke te laten werken. De wet bevat overigens ook enkele extra's, zoals de toevoeging dat bij het overlijden van de gebruiker, de controle over de data naar diens familie gaat. Die kunnen vervolgens bijvoorbeeld toestemming intrekken om gegevens te gebruiken.
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
Honderden web-apps hebben per ongeluk 38 miljoen gegevens op het internet publiek toegankelijk gemaakt, als gevolg van verkeerde configuraties in Microsoft Power Apps. De data stond in de portal service van Power Apps, waarmee het gemakkelijk is om web- of mobiele apps te maken voor extern gebruik. Onder de data zitten onder meer huisadressen, BSN-nummers en vaccinatiegegevens.
Beveiligingsbedrijf Upguard ontdekte in mei dit jaar voor het eerst dat een app publiek toegankelijke data bevatte, terwijl die data privé had moeten blijven. Het bedrijf vroeg zich af of dit bij meer apps die de API's van Power Apps gebruikten voorkwam en startte een grootschalig onderzoek. Nu blijkt dat dit het geval was bij honderden portals, waaronder die van Ford, American Airlines en de Amerikaanse staat Indiana. En ook een aantal apps van Microsoft zelf bleken verkeerd geconfigureerd te zijn. In totaal waren 38 miljoen gegevens openbaar gemaakt op het internet.
Microsoft kondigde begin augustus aan dat API-data en andere informatie voortaan standaard wordt afgeschermd bij Power Apps. Daarnaast is er een tool uitgebracht waarmee gebruikers de instellingen van hun eigen portal kunnen controleren, om te zien of data publiekelijk beschikbaar zijn gemaakt. Volgens Upguard zijn de meeste getroffen apps inmiddels alsnog goed geconfigureerd, waardoor de data nu wel afgeschermd is.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het naleven van de Europese wetgeving rondom gegevensbescherming is van cruciaal belang voor honderdduizenden Amazon Web Services (AWS)-klanten. Velen van hen moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG), die het fundamentele recht van individuen op privacy en de bescherming van persoonsgegevens waarborgt.
AWS gaat nu twee nieuwe online hulpmiddelen lanceren om klanten te helpen gemakkelijker beoordelingen van gegevensoverdracht te voltooien en te voldoen aan de AVG, rekening houdend met de aanbevelingen van het European Data Protection Board (EDPB).
Met behulp van de nieuwe “Privacy Features for AWS Services” kunnen klanten bepalen of hun gebruik van een individuele AWS-service de overdracht van klantgegevens (de persoonlijke gegevens die ze naar hun AWS-account hebben geüpload) omvat. Met deze informatie kunnen klanten de juiste actie kiezen voor hun toepassingen.
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een recent datalek met een coronatestbedrijf heeft aangetoond dat de controle op de naleving van de aansluitvoorwaarden onvoldoende was. Er moet dan ook meer regie komen op het toezicht van commerciële testaanbieders, zo heeft de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 aan demissionair minister De Jonge van Volksgezondheid bekendgemaakt. De commissie adviseert de minister over digitale ondersteuning bij de bestrijding van corona...
...Het bedrijf Testcoronanu kwam eind juli in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een verkeerde instelling bij Ford Motor hadden hackers vrij spel om allerlei bedrijfs- en privacygevoelige te raadplegen. Kwaadwillenden hadden toegang tot de databases met klantgegevens, privégegevens van medewerkers, het interne ticketsysteem en concurrentiegevoelige informatie. Tevens was het mogelijk om accounts van klanten en medewerkers van afstand over te nemen.
Het lek kwam deze week aan het licht door de onthulling van securityspecialist Robert Willis en white hat hacker break3r. Hun bevindingen werden gecontroleerd en gevalideerd door leden van de ethische hackersgroep Sakura Samurai. De kwetsbaarheid is omgedoopt tot CVE-2021-27653.
...Volgens de beveiligingsonderzoekers ging het om uiterst gevoelige gegevens die herleidbaar waren tot individuele mensen. Ook financiële gegevens, gebruikersprofielen en zoekgeschiedenis van Ford-medewerkers en het interne ticketsysteem van de klantenservice waren toegankelijk voor hackers en andere kwaadwillenden.
Of hackers of andere kwaadwillenden daadwerkelijk klantgegevens of bedrijfsinformatie hebben geraadpleegd of gestolen, is onbekend.
Alles bij de bron; VPN-gids
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Veiligheidsregio Noord- en Oost-Gelderland (VNOG) maakt geen gebruik meer van WhatsApp, maar is overgestapt op Signal. "We konden WhatsApp niet meer vertrouwen. Signal heeft betere beveiliging – dat hadden we al van het ministerie doorgekregen. We merkten dat er informatie op WhatsApp rondging waarop we niet zaten te wachten. En er waren haperingen", zegt VNOG-directeur Diemer Kransen tegenover de Volkskrant.
Vorig jaar september werd de Veiligheidsregio Noord- en Oost-Gelderland slachtoffer van een ransomware-aanval. In mei van dit jaar verscheen er een evaluatie van de aanval. Daarin werd echter niet de aanvalsvector genoemd. Dat doet Kransen deels wel tegenover de Volkskrant. "Een van onze beste mensen wilde in het weekend vanuit huis iemand op een brandweerpost helpen. Hij was daarmee bezig toen de deurbel ging. Even een pakketje aannemen. Er stond een poort open en hup, binnen waren ze."
De VNOG bestaat uit 22 gemeenten in Noord- en Oost-Gelderland en is o.a. betrokken bij de corona-aanpak in de regio.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het Radboud-UMC (RUMC) heeft te maken gekregen met een datalek waarbij er accountgegevens van eigen medewerkers en partnerorganisaties zijn gelekt. Volgens het medisch centrum zijn door menselijk handelen persoonsgegevens van mensen met een RUMC werkplek op internet terechtgekomen. Het gaat daarbij om eigen medewerkers en ook om medewerkers van partnerorganisaties.
De gelekte persoonsgegevens bestaan uit (inlog)namen, e-mailadressen en telefoonnummers. Volgens het medisch centrum zijn er geen patiëntgegevens of andere bijzondere persoonsgegevens openbaar geworden. Details over hoe het datalek zich precies kon voordoen zijn nog niet gegeven."
Verder stelt het RUMC dat het lek is gedicht en er maatregelen zijn genomen om herhaling en verdere schade te voorkomen. Tevens is er melding gemaakt bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Security