De Belgische overheid lekt gevoelige informatie via verlopen domeinnamen, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire in een blogposting.
De onderzoeker registreerde 107 verlopen domeinnamen die van Belgische gemeenten, politiezones, psychiatrische ziekenhuizen, justitie, sociale zekerheidsorganisaties en andere instellingen waren geweest.
Na de registratie ontving De Ceukelaire allerlei e-mails voor de betreffende domeinnamen, soms met gevoelige informatie. Voor de 107 geregistreerde domeinnamen bleken nog zeker 848 e-mailadressen actief. Ook bleek dat de nog gebruikte e-mailadressen bij allerlei clouddiensten waren geregistreerd. Via het uitvoeren van een wachtwoordreset kon de onderzoeker zo ook toegang tot cloudaccounts krijgen.
Via de 848 e-mailadressen wist hij toegang te krijgen tot 80 Dropbox-accounts, 142 Google Drive-accounts en 57 Microsoft-, OneDrive- en SharePoint-accounts, alsmede tientallen Smartschool- en Doccle-accounts. Na enige tijd waarschuwde hij het Belgische Centrum voor Cybersecurity, dat de vorige domeineigenaren over de risico's van verlopen domeinnamen informeerde.
In Nederland is het probleem van verlopen domeinnamen al jaren bekend. In 2017 bleek de politie op deze manier gevoelige e-mails te lekken en in 2019 lekte de jeugdzorg via verlopen domeinnamen dossiers van duizenden kinderen.
Alles bij de bron; Security
Het UWV toont geen persoonsgegevens meer in cv’s op werk.nl aan werkgevers. Dat heeft de uitkeringsinstantie besloten naar aanleiding van het datalek waarbij 150.000 cv's werden bekeken en mogelijk gedownload. "Om persoonsgegevens en privacy te beschermen, laten wij de persoonlijke gegevens op cv’s vanaf nu niet meer zien aan werkgevers", aldus het UWV.
Het UWV stelde eerder al dat het aanbieden van cv's van werkzoekenden een belangrijk onderdeel van de dienstverlening is. "Het is voor werkgevers mogelijk om dit in grotere aantallen te doen wanneer zij meerdere kandidaten zoeken voor meerdere vacatures", aldus de instantie.
In het geval van het vorige week gemelde datalek bleek dat één partij 'een buitenproportioneel grote hoeveelheid cv's' heeft ingezien en mogelijk gedownload. "Dit gaat in tegen de gebruiksvoorwaarden van werk.nl", liet het UWV verder weten.
Alles bij de bron; Security
Het UWV heeft te maken gekregen met een datalek nadat iemand 150.000 cv's op werk.nl heeft ingezien en mogelijk gedownload.
"Het is zeer kwalijk dat er vermoedelijk voor oneigenlijk gebruik op zulke grote schaal cv's zijn ingezien en mogelijk gedownload", zegt Judith Duveen van het UWV tegenover de NOS. "We hebben direct passende maatregelen genomen en gaan de betrokken mensen zo goed mogelijk informeren over de gevolgen van deze onwenselijke massale inzage en mogelijke download."
Een woordvoerder van de Autoriteit Persoonsgegevens laat weten dat cv's veel persoonlijke informatie bevatten, zoals namen, adressen, geboortedata en opleidingen. "Het zijn dus erg rijke bronnen", aldus de woordvoerder.
"Tot uiterlijk maandagochtend 13 mei 08:00 uur is werk.nl niet bereikbaar. Wij voeren onderhoud uit", zo laat de website weten. In 2019 kreeg het UWV via werk.nl ook met een datalek te maken. Toen werden 117.000 cv's gedownload.
Alles bij de bron; Security
Organisaties moeten meer doen om datalekken te voorkomen, omdat veel incidenten nu plaatsvinden als gevolg van veelgemaakte beveiligingsmissers, zo stelt de Britse privacytoezichthouder ICO.
Vorig jaar werden meer dan 11.000 beveiligingsincidenten bij de toezichthouder gemeld, tegenover 8800 een jaar eerder. In veel gevallen ontstaan de datalekken door phishing, zwakke wachtwoorden of standaardinstellingen. De toezichthouder roept vandaag alle organisaties op om hun cybersecurity te versterken.
In een nieuw document genaamd 'Learning from the mistakes of others' beschrijft de ICO veelgemaakte beveiligingsmissers, zodat organisaties daarvan kunnen leren om hun eigen beveiliging op te schroeven. "Hoewel cyberaanvallen steeds geraffineerder worden, zien we dat veel organisaties niet goed hierop reageren en nog steeds de meest basale cybersecuritymaatregelen negeren."
Alles bij de bron; Security
Ruim achtduizend eenmanszaken hebben wegens dreiging hun bezoekadres laten afschermen in het Handelsregister, zo laat demissionair minister Adriaansens van Economische Zaken weten.
Sinds begin 2022 zijn alle woonadressen van ondernemers en bestuurders afgeschermd in het Handelsregister. De afgeschermde woonadressen zijn alleen in te zien door overheidsorganisaties of beroepsgroepen die daar wettelijk toestemming voor hebben, zoals bijvoorbeeld notarissen, advocaten en deurwaarders.
Sinds de tweede helft van 2022 is het mogelijk om het bezoekadres van een onderneming of rechtspersoon af te schermen, indien dat nodig is voor de veiligheid van één of meer personen op dat adres. Dat geldt ook als het geen woonadres is.
Ondernemers moeten in dit geval wel aantonen dat afscherming echt nodig is, zoals een aangifte van bedreiging. Daarnaast kunnen bepaalde beroepsgroepen die met dreiging te maken kunnen krijgen, bijvoorbeeld journalisten, hun bezoekadres preventief laten afschermen. Voor deze afscherming geldt wel dat een adres óók woonadres is.
De verzoeken van ondernemers die hun adres willen afschermen hebben tot nu toe geleid tot meer dan 8100 afgeschermde adressen voor eenmanszaken en 354 afgeschermde adressen bij overige rechtsvormen.
In het Handelsregister staan alle bedrijven, rechtspersonen en andere organisaties ingeschreven die deelnemen aan het economisch verkeer. Vanwege misbruik van gegevens in het Handelsregister is het kabinet gekomen met een 'Datavisie' die privacy van ingeschreven ondernemers beter zou moeten beschermen.
Alles bij de bron; Security
Streamingdienst MovieBoxPro heeft de gegevens van zes miljoen gebruikers gelekt, zo meldt beveiligingsonderzoeker Troy Hunt van Have I Been Pwned.
Volgens de onderzoeker gaat het om een 'juridisch dubieuze' streamingdienst waar e-mailadressen en gebruikersnamen van gebruikers via een kwetsbare API konden worden gescrapet.
Hunt kon geen contactgegevens vinden om de kwetsbaarheid en het datalek te rapporteren. "Geen contactinformatie op de website, geen social accounts, WHOIS privacy ingeschakeld, geen informatie over personen, oprichters of locaties. Deze gasten willen echt niet gevonden worden lijkt het?", aldus Hunt op X. Naar verluidt zou de kwetsbaarheid in de API inmiddels zijn verholpen.
Van de miljoenen bij MovieBoxPro gelekte e-mailadressen kwam 36 procent al in een ander bekend datalek voor.
Alles bij de bron; Security
iSharing heeft als gevolg van een IDOR-kwetsbaarheid van miljoenen gebruikers de locatie- en persoonsgegevens gelekt.
IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.
Volgens de makers is iSharing vooral bedoeld voor ouders die willen weten waar hun kinderen zich bevinden. De Androidversie heeft meer dan tien miljoen downloads.
De IDOR-kwetsbaarheid zorgde ervoor dat appgebruikers niet alleen van zichzelf de locatie konden bekijken, of personen die hun toegang hadden gedeeld, maar van iedereen. Naast locatie ging het ook om naam, profielfoto, e-mailadres en telefoonnummer waarmee gebruikers op de app inlogden.
De servers van iSharing bleken niet goed te controleren of een gebruiker wel toegang tot opgevraagde gegevens had. De enige vereiste hiervoor was het opgeven van een gebruikers-ID, dat opeenvolgend lijkt te zijn, aldus onderzoeker Eric Daigle.
Het probleem is afgelopen weekend verholpen, zo meldt TechCrunch.
Alles bij de bron; Security
Streamingdienst Roku heeft de wachtwoorden van 576.000 accounts gereset die gekaapt waren en heeft voor alle accounts tweefactorauthenticatie (2FA) ingeschakeld. Dat heeft het bedrijf gisterenavond bekendgemaakt.
Eerder dit jaar meldde Roku al dat 15.000 accounts door middel van credential stuffing in handen van criminelen waren gekomen. Nadat de aanvallers toegang tot de accounts hadden gekregen probeerden ze streamingabonnementen aan te schaffen. Na ontdekking van de aanval in januari zegt Roku dat het ook een tweede aanval heeft ontdekt, waarbij 576.000 accounts werden gecompromitteerd.
Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.
Roku roept gebruikers op om een uniek wachtwoord voor hun Roku-account aan te maken van minimaal acht karakters. Verder is voor alle tachtig miljoen Roku-accounts 2FA ingeschakeld. Wanneer gebruikers willen inloggen ontvangen ze op hun e-mailaccount een verificatielink waarmee kan worden ingelogd.
Alles bij de bron; Security
Cybercriminelen lijken het steeds vaker gemunt te hebben op overheidsorganisaties. Vorig jaar waren er 183 digitale aanvallen op overheidsinstellingen, terwijl dat er in 2022 nog 58 waren. Dat blijkt uit de Rapportage Datalekken 2023 van de Autoriteit Persoonsgegevens (AP)....
....Ondanks de sterke toename van cyberaanvallen op overheidsinstellingen gebeuren de meeste datalekken buiten de digitale wereld. Persoonsgegevens belanden het vaakst in verkeerde handen als gevolg van verkeerd verstuurde brieven. Van de ruim 25.000 meldingen van datalekken die de AP in 2023 kreeg, ging het in bijna tienduizend gevallen om een verkeerd verstuurde brief. Vooral in de zorgsector komt dit veel voor: bijna zesduizend brieven met persoonlijke informatie belandden bij de verkeerde persoon.
Alles bij de bron; Trouw [Thnx-2-Niek]
Het onderzoek van het CCVT richt zich op het monitoren van openbare buckets op verschillende cloudplatforms, zoals Amazon Web Services, Azure Blob Storage, Digital Ocean Spaces en Google Cloud platform. Door te zoeken naar relevante keywords voor hun klanten op domeinen, merknamen, samenwerkingen, projecten en applicaties, identificeert het CCVT potentieel risicovolle datalekken.
“In de meeste gevallen vinden wij data die ook daadwerkelijk openbaar hoort te zijn, zoals statische web content of afbeeldingen. In dit specifieke geval ontdekte wij een grote hoeveelheid CV’s, inclusief gevoelige, persoonlijke gegevens, zoals namen, adressen, telefoonnummers en werkgeschiedenis”
Door een fout in de configuratie waren deze voor iedereen toegankelijk via /media/forms/upload. “Wij troffen maar liefst 1.969 CV’s aan, verzameld over een periode van 11 februari 2022 tot 23 februari 2024. Ze waren afkomstig van kandidaten verspreid over de hele wereld, waaronder het Verenigd Koninkrijk, Frankrijk, Luxemburg en België.
Het CCVT deed een ‘responsible disclosure’ melding van de kwetsbaarheid bij de betreffende organisatie. Het technologiebedrijf reageerde snel door de public network access in Azure uit te schakelen, waardoor de gelekte persoonsgegevens niet langer toegankelijk waren.
Alles bij de bron; DutchITChannel