Onderzoekers van CCC hebben de afgelopen weken persoonsgegevens gevonden bij 'meer dan vijftig' datalekken, schrijft de Duitse hackersgroep. Het zou gaan om datalekken bij bedrijven en overheidsinstanties. De hackers ontdekten kwetsbaarheden bij het Ministerie van Volksgezondheid, Welzijn en Sport, BMW, Deutsche Bahn, Nestlé en MediaMarktSaturn in Oostenrijk.
De CCC schrijft dat de onderzoekers toegang hadden tot meer dan 6,4 miljoen persoonsgegevens, onder meer klantgegevens van winkels, passagiersgegevens van een luchtvaartmaatschappij, patiëntgegevens, gegevens van sollicitanten, verzekeringsgegevens en informatie van sociale netwerken. Alle data die de onderzoekers vonden was afkomstig uit onbeveiligde bronnen.
De club ontdekte ook een kwetsbaarheid bij het Nederlandse Ministerie van Volksgezondheid, Welzijn en Sport. In een reactie aan Tweakers zegt een woordvoerder dat het een responsible disclosure-melding ontvangen heeft van iemand die in een van de systemen van VWS een kwetsbaarheid in de beveiliging had ontdekt. "We zijn dankbaar voor dat soort meldingen en hebben het diepgravend onderzocht. De kwetsbaarheid is inderdaad geconstateerd en vervolgens hersteld." maar het was al publiek beschikbare informatie. Daarom is er volgens de woordvoerder geen sprake van een datalek en is er als zodanig ook geen melding gedaan bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Naar schatting meet ruim de helft van de Nederlanders zelf zijn gezondheid. Dit biedt ook mogelijkheden voor cybercriminelen. Zo ontdekten Kaspersky-experts meer dan dertig kwetsbaarheden in het meest gebruikte protocol voor gegevensoverdracht van wearable devices die worden gebruikt voor patiëntmonitoring op afstand.
Het aantal kwetsbaarheden groeit, want dit zijn er 10 meer dan in het jaar ervoor. Veel van deze kwetsbaarheden blijven ongepatcht. Sommige van deze kwetsbaarheden geven cybercriminelen de mogelijkheid om gegevens te onderscheppen die online vanaf het device worden verzonden.
Lees het volledige rapport over e-healthsecurity op Securelist. Het volledige rapport en details over de huidige stand van zaken in de e-healthsector zijn hier beschikbaar.
Alles bij de bron; WinMagPro
Het lekken van persoonlijke informatie die bij de Nederlandse politie- en defensieleverancier Abiom door een ransomwaregroep werd gestolen heeft naar verwachting een beperkte impact, zo stelt minister Yesilgöz van Justitie en Veiligheid. Vorig jaar werd het bedrijf slachtoffer van de LockBit-ransomwaregroep, waarbij de aanvallers allerlei gegevens buitmaakten en vervolgens online publiceerden. De VVD wilde onder andere van de minister weten wat de impact van het datalek was.
Ze stelt dat Abiom geen kopieën van paspoorten van politieambtenaren, verdachten, verbalisanten en benadeelden vanuit de politie heeft ontvangen. De informatie die de ransomwaregroep publiceerde betreft in het geval van de politie kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. De gegevens stonden op facturen van Abiom aan de politie.
De minister laat verder weten dat het Digital Trust Center (DTC) van de overheid Abiom om meer informatie over de aanval heeft gevraagd, maar nog geen reactie heeft ontvangen.
Alles bij de bron; Security
Meer dan tachtigduizend Nederlanders hebben zich inmiddels aangesloten bij de massaclaim tegen het ministerie van Volksgezondheid over het datalek bij de GGD. Dat laat stichting ICAM weten, de partij die de rechtszaak is gestart. De komende maanden kunnen mensen zich via datalek-ggd.nl aanmelden voor de claim en zich zonder kosten inschrijven.
Vorig jaar bleek dat callcentermedewerkers van de GGD toegang hadden tot de privégegevens van ruim 6,5 miljoen Nederlanders. Deze data werd via Telegram te koop aangeboden. Uiteindelijk werden meerdere GGD-medewerkers aangehouden waarvan er verschillende al zijn veroordeeld. Volgens de stichting heeft het ministerie van Volksgezondheid een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen.
De stichting meldt op Twitter dat het inmiddels diverse meldingen heeft ontvangen die erop duiden dat er van gestolen persoonsgegevens misbruik wordt gemaakt. Het zou daarbij ook om gegevens van kinderen gaan. Binnenkort komt ICAM met een update over de massaclaim en stand van zaken.
Alles bij de bron; Security
Meer dan de helft (55%) van de Nederlandse consumenten vindt dat dataprivacy onmogelijk is in het digitale tijdperk waarin we nu leven. Dat blijkt uit de nieuwe Unisys Security Index™, wereldwijd het langstlopende veiligheidsonderzoek onder 11.000 consumenten, waaronder 1.000 uit Nederland.
Zo blijkt uit het onderzoek dat zeven van de tien (73%) werknemers zich onprettig voelen bij één centrale ruimte waarin biometrische gegevens worden opgeslagen voor verificatiedoeleinden door een commerciële partij. Dit percentage is iets lager wanneer de overheid (65%) of een bank (64%) deze gegevens in een centrale plek opslaat voor verificatiedoeleinden.
Daarnaast voelt bijna driekwart van de respondenten (73%) zich oncomfortabel bij organisaties die hun dynamisch gedrag, zoals de manier waarop ze hun toetsenbord gebruiken, inzetten voor verificatiedoeleinden. Zes van de tien werknemers (58%) voelen zich bovendien niet fijn bij het gebruik van hun vingerafdruk, iris of gezichtsherkenning voor verificatiedoeleinden van organisaties.
Jeroen Zonnenberg, Team Lead Security Consulting bij Unisys: “Uit de resultaten van de Unisys Security Index blijkt dat Nederlanders erg weinig vertrouwen hebben in dataprivacy....”
Alles bij de bron; Emerce
De app My2022 die deelnemers aan de Olympische Spelen van Peking verplicht zijn te gebruiken om gegevens aangaande hun gezondheid door te geven, blijkt een aantal cruciale beveiligingsproblemen te hebben. Verkeer van en naar de app waarin zaken als paspoortgegevens en medische details worden gedeeld, kan hierdoor worden onderschept.
Het Citizen Lab van de Universiteit van Toronto ontdekte dat de zogeheten SSL-certificaten in de app niet worden gevalideerd. Dat is de codering die wordt gebruikt voor beveiliging, zodat onbevoegden geen toegang hebben tot informatie terwijl deze wordt verzonden.
Daarnaast kan de encryptie van spraakaudio en bestandoverdrachten worden omzeild. Tevens blijken serverreacties te kunnen worden nagemaakt, waardoor hackers vervalste instructies aan gebruikers van My2022 kunnen versturen. Ten slotte blijken op de app gevoelige zoekwoorden als 'Tibet' en 'Xinjiang', verwijzend naar de situatie van de Oeigoeren, te kunnen worden gedetecteerd.
Mensenrechtenorganisatie Human Rights Watch spreekt inmiddels van de Orwelliaanse Spelen. Sophie Richardson, leider van het Chinese programma binnen HRW, maakt zich ernstige zorgen om de huidige gang van zaken.
Alles bij de bron; NOS
Vorig jaar zijn de privégegevens van ruim 6,7 miljoen gebruikers van de website OpenSubtitles.org gestolen via een zwak beheerderswachtwoord. Het gaat om e-mailadressen, ip-adressen, gebruikersnamen, geografische locaties en met het MD5-algoritme gehashte wachtwoorden...
...De aanvaller eiste losgeld, anders zou hij de data openbaar maken, wat inmiddels ook is gebeurd.
Van de 6,7 miljoen toegevoegde e-mailadressen was 75 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
Safari 15 kan de recente browsegeschiedenis en sommige persoonlijke informatie, zoals het Google-account van de gebruiker, lekken naar andere websites.Het gaat om een fout in IndexedDB, een onderdeel van Safari waarmee websites bepaalde data op het apparaat van de gebruiker kunnen opslaan, en later weer kunnen opvragen. Daardoor laden sites bij latere bezoeken bijvoorbeeld sneller.
Er zit een veiligheidsmaatregel in IndexedDB, waardoor sites niet van elkaar kunnen zien welke data zij in de browser hebben opgeslagen en in Safari 15 werkt die veiligheidsmaatregel niet goed. Daardoor kunnen andere sites gedeeltelijk zien welke data er door die IndexedDB zijn opgeslagen.
De identiteit van gebruikers kan bovendien achterhaald worden als zij inloggen bij diensten van Google. De unieke Google User ID staat in de titel van de bestanden die in IndexedDB worden opgeslagen. Met die unieke Google User ID is dus de naam van de gebruiker ongemerkt te koppelen aan het browsegedrag, met allerlei malafide mogelijkheden tot gevolg.
De kwetsbaarheid werd ontdekt door online fraudebestrijder FingerprintJS.
Alles bij de bron; RTL
DatPiff, een online distributieplatform voor mixtapes, heeft de gegevens van 7,5 miljoen gebruikers gelekt, die nu op internet te koop worden aangeboden. Naast e-mailadressen bevat de aangeboden data ook gekraakte wachtwoordhashes, gebruikersnamen en securityvragen en antwoorden.
De wachtwoorden waren voorzien van een statische salt en gehasht via het zwakke MD5-algoritme en zijn na de diefstal gekraakt. Van de 7,5 miljoen toegevoegde e-mailadressen was 81 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
Een Amerikaanse journalist die door het bekijken van html-broncode een datalek in een overheidssite ontdekte zal waarschijnlijk worden vervolgd, zo denkt gouverneur Mike Parson van de Amerikaanse staat Missouri. Door het datalek waren social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk.
Via de website van het ministerie van Onderwijs van Missouri is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens van meer dan honderdduizend leraren waren niet op de betreffende pagina's direct zichtbaar, maar wel via de html-broncode te achterhalen.
Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast.
Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek. Parson was zeer ontstemd over de werkwijze van de journalist en publicatie en dreigde met juridische stappen. Oorspronkelijk was de staat van plan om de journalist voor zijn melding te bedanken, maar daar werd in de uiteindelijke verklaring van afgezien, zo meldt de St. Louis Post-Dispatch.
Alles bij de bron; Security