China heeft een nieuwe datawet aangenomen die, volgens de overheid, persoonlijke gegevens van gebruikers beter moet beschermen.
De wet schrijft onder meer voor hoe techbedrijven met die gegevens moeten omgaan. De wet gaat op 1 november in en bevat enkele voorzieningen die aan de AVG doen denken. Bedrijven moeten onder meer toestemming van gebruikers krijgen voor ze persoonlijke gegevens kunnen verzamelen, en krijgen ook voorgeschreven hoe ze die data moeten beschermen wanneer ze buiten de Chinese grenzen worden vervoerd.
Daarnaast mag er ook alleen data worden verzameld wanneer daar een duidelijk doel voor is, en moeten bedrijven het minimum aan data verzamelen die nodig is om hun apps en dergelijke te laten werken. De wet bevat overigens ook enkele extra's, zoals de toevoeging dat bij het overlijden van de gebruiker, de controle over de data naar diens familie gaat. Die kunnen vervolgens bijvoorbeeld toestemming intrekken om gegevens te gebruiken.
Alles bij de bron; DutchITChannel
Honderden web-apps hebben per ongeluk 38 miljoen gegevens op het internet publiek toegankelijk gemaakt, als gevolg van verkeerde configuraties in Microsoft Power Apps. De data stond in de portal service van Power Apps, waarmee het gemakkelijk is om web- of mobiele apps te maken voor extern gebruik. Onder de data zitten onder meer huisadressen, BSN-nummers en vaccinatiegegevens.
Beveiligingsbedrijf Upguard ontdekte in mei dit jaar voor het eerst dat een app publiek toegankelijke data bevatte, terwijl die data privé had moeten blijven. Het bedrijf vroeg zich af of dit bij meer apps die de API's van Power Apps gebruikten voorkwam en startte een grootschalig onderzoek. Nu blijkt dat dit het geval was bij honderden portals, waaronder die van Ford, American Airlines en de Amerikaanse staat Indiana. En ook een aantal apps van Microsoft zelf bleken verkeerd geconfigureerd te zijn. In totaal waren 38 miljoen gegevens openbaar gemaakt op het internet.
Microsoft kondigde begin augustus aan dat API-data en andere informatie voortaan standaard wordt afgeschermd bij Power Apps. Daarnaast is er een tool uitgebracht waarmee gebruikers de instellingen van hun eigen portal kunnen controleren, om te zien of data publiekelijk beschikbaar zijn gemaakt. Volgens Upguard zijn de meeste getroffen apps inmiddels alsnog goed geconfigureerd, waardoor de data nu wel afgeschermd is.
Alles bij de bron; AGConnect
Het naleven van de Europese wetgeving rondom gegevensbescherming is van cruciaal belang voor honderdduizenden Amazon Web Services (AWS)-klanten. Velen van hen moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG), die het fundamentele recht van individuen op privacy en de bescherming van persoonsgegevens waarborgt.
AWS gaat nu twee nieuwe online hulpmiddelen lanceren om klanten te helpen gemakkelijker beoordelingen van gegevensoverdracht te voltooien en te voldoen aan de AVG, rekening houdend met de aanbevelingen van het European Data Protection Board (EDPB).
Met behulp van de nieuwe “Privacy Features for AWS Services” kunnen klanten bepalen of hun gebruik van een individuele AWS-service de overdracht van klantgegevens (de persoonlijke gegevens die ze naar hun AWS-account hebben geüpload) omvat. Met deze informatie kunnen klanten de juiste actie kiezen voor hun toepassingen.
Alles bij de bron; DutchITChannel
Een recent datalek met een coronatestbedrijf heeft aangetoond dat de controle op de naleving van de aansluitvoorwaarden onvoldoende was. Er moet dan ook meer regie komen op het toezicht van commerciële testaanbieders, zo heeft de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 aan demissionair minister De Jonge van Volksgezondheid bekendgemaakt. De commissie adviseert de minister over digitale ondersteuning bij de bestrijding van corona...
...Het bedrijf Testcoronanu kwam eind juli in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.
Alles bij de bron; Security
Door een verkeerde instelling bij Ford Motor hadden hackers vrij spel om allerlei bedrijfs- en privacygevoelige te raadplegen. Kwaadwillenden hadden toegang tot de databases met klantgegevens, privégegevens van medewerkers, het interne ticketsysteem en concurrentiegevoelige informatie. Tevens was het mogelijk om accounts van klanten en medewerkers van afstand over te nemen.
Het lek kwam deze week aan het licht door de onthulling van securityspecialist Robert Willis en white hat hacker break3r. Hun bevindingen werden gecontroleerd en gevalideerd door leden van de ethische hackersgroep Sakura Samurai. De kwetsbaarheid is omgedoopt tot CVE-2021-27653.
...Volgens de beveiligingsonderzoekers ging het om uiterst gevoelige gegevens die herleidbaar waren tot individuele mensen. Ook financiële gegevens, gebruikersprofielen en zoekgeschiedenis van Ford-medewerkers en het interne ticketsysteem van de klantenservice waren toegankelijk voor hackers en andere kwaadwillenden.
Of hackers of andere kwaadwillenden daadwerkelijk klantgegevens of bedrijfsinformatie hebben geraadpleegd of gestolen, is onbekend.
Alles bij de bron; VPN-gids
De Veiligheidsregio Noord- en Oost-Gelderland (VNOG) maakt geen gebruik meer van WhatsApp, maar is overgestapt op Signal. "We konden WhatsApp niet meer vertrouwen. Signal heeft betere beveiliging – dat hadden we al van het ministerie doorgekregen. We merkten dat er informatie op WhatsApp rondging waarop we niet zaten te wachten. En er waren haperingen", zegt VNOG-directeur Diemer Kransen tegenover de Volkskrant.
Vorig jaar september werd de Veiligheidsregio Noord- en Oost-Gelderland slachtoffer van een ransomware-aanval. In mei van dit jaar verscheen er een evaluatie van de aanval. Daarin werd echter niet de aanvalsvector genoemd. Dat doet Kransen deels wel tegenover de Volkskrant. "Een van onze beste mensen wilde in het weekend vanuit huis iemand op een brandweerpost helpen. Hij was daarmee bezig toen de deurbel ging. Even een pakketje aannemen. Er stond een poort open en hup, binnen waren ze."
De VNOG bestaat uit 22 gemeenten in Noord- en Oost-Gelderland en is o.a. betrokken bij de corona-aanpak in de regio.
Alles bij de bron; Security
Het Radboud-UMC (RUMC) heeft te maken gekregen met een datalek waarbij er accountgegevens van eigen medewerkers en partnerorganisaties zijn gelekt. Volgens het medisch centrum zijn door menselijk handelen persoonsgegevens van mensen met een RUMC werkplek op internet terechtgekomen. Het gaat daarbij om eigen medewerkers en ook om medewerkers van partnerorganisaties.
De gelekte persoonsgegevens bestaan uit (inlog)namen, e-mailadressen en telefoonnummers. Volgens het medisch centrum zijn er geen patiëntgegevens of andere bijzondere persoonsgegevens openbaar geworden. Details over hoe het datalek zich precies kon voordoen zijn nog niet gegeven."
Verder stelt het RUMC dat het lek is gedicht en er maatregelen zijn genomen om herhaling en verdere schade te voorkomen. Tevens is er melding gemaakt bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Security
Veel meer mensen zijn slachtoffer geworden van datadiefstal bij GGD GHOR dan de koepelorganisatie beweert. Uit een steekproef van RTL Nieuws blijkt dat er burgers zijn die niet weten dat hun gegevens zijn gestolen en mogelijk zijn doorverkocht.
RTL Nieuws belde willekeurig mensen van wie gegevens door criminelen te koop zijn aangeboden. Het gaat om informatie die in twee computersystemen van de GGD-koepel staat. Het ene systeem wordt gebruikt om coronatests te registreren, terwijl het andere wordt ingezet voor het bron- en contactonderzoek.
De personen die werden gebeld, hadden allemaal niet van GGD GHOR gehoord dat hun gegevens zijn gestolen en mogelijk zijn verhandeld. Het gaat om namen, adressen, telefoonnummers, geboortedata en burgerservicenummers.
Een woordvoerder van de GGD-koepel zegt geen indicatie te hebben dat gedupeerden niet zijn geïnformeerd. Ze benadrukt dat het politieonderzoek naar de diefstal nog loopt.
Alles bij de bron; NU
Internetprovider Freedom Internet controleert voortaan of de wachtwoorden van nieuwe klanten voorkomen in een bekend datalek. Bij het aanmelden bij de provider moeten klanten een e-mailadres kiezen en een wachtwoord opgeven. Freedom Internet maakt een hash van het wachtwoord en stuurt de eerste vijf karakters van die hash naar datalekzoekmachine Have I Been Pwnd.
"Vervolgens krijgen we van hen alle hashes terug die beginnen met die 5 karakters, gemiddeld zijn dat 478. Wij checken of de hele hash overeenkomt met één van die teruggestuurde hashes. Als dat het geval is kunnen we de gebruiker informeren dat dit wachtwoord voor is gekomen in een datalek", zo laat de provider weten.
Die stelt dat het wachtwoord niet wordt gecombineerd met het account of het e-mailadres. Wanneer het wachtwoord in een bekend datalek voorkomt wordt klanten aangeraden die te veranderen.
Bron; Security
Gegevens van Philips-gepensioneerden liggen op straat door een groot datalek bij pensioenuitvoerder Blue Sky Group. Criminelen hebben volgens de pensioenuitvoerder namen, adresgegevens, polisnummers, bankrekeningnummers en pensioenbedragen in handen gekregen.
Op dit moment is nog niet de volledige omvang van het datalek in beeld. Behalve voor het Philips Pensioenfonds doet Blue Sky ook voor KLM, Staples en SNS Reaal de pensioensadministratie.
Alles bij de bron; ED