Testen voor Toegang, het platform van de Stichting Open Nederland dat in opdracht van Het Rijk coronatesten faciliteert voor evenementen waarbij test- of vaccinatiebewijzen verplicht zijn, had zijn e-mailinstellingen niet op orde, Daardoor was spoofing van het afzenderadres mogelijk.
Het Financieele Dagblad schrijft dat Testen voor Toegang zijn Sender Policy Framework Record niet had ingesteld; dat is een authenticatiemethode die ontworpen is om het vervalsen van het afzenderadres te voorkomen. Het lukte de krant, in samenwerking met securitybedrijf KnowBe4, om een e-mail naar zichzelf te versturen met als afzender
De website is sinds twee weken actief. Het lek is nu naar alle waarschijnlijkheid gedicht, hoewel het FD dat niet uitdrukkelijk zegt. Wat het wel zegt is dat de stichting het lek 'moet dichten' en dat de e-mailbeveiliging 'niet op orde was', wat impliceert dat het lek inmiddels inderdaad gedicht is.
Alles bij de bron; Tweakers
Mensen die bij een commerciële teststraat een test doen, zijn verplicht een burgerservicenummer (bsn) te delen. En bij sommige bedrijven ook een documentnummer. Klanten maken zich zorgen over de veiligheid van deze gegevens. Is dat terecht?
Gerrie uit Apeldoorn kon niet anders. Een testuitslag van de GGD duurde te lang, dus maakte Gerrie een afspraak bij spoedtest.nl, een commerciële snelteststraat, met een locatie bij haar om de hoek. Voor de afspraak was ze verplicht bsn en het paspoortdocumentnummer te delen. Door het unieke karakter van het persoonsnummer en het documentnummer zijn de gegevens aantrekkelijk voor fraudeurs en criminelen. Het laatste jaar zijn door datalekken en hacks veel persoonsgegevens in verkeerde handen gekomen.
Het delen van gegevens met snelteststraten geeft extra risico’s. Uit onderzoek van Nieuwsuur bleek dat de persoonlijke en medische informatie van tienduizenden mensen die zich lieten testen op corona bij U-Diagnostics, onvoldoende was beveiligd. Open en bloot werden de gegevens gedeeld in WhatsAppgroepen met honderden leden.
Het gebruik van het bsn is aan inflatie onderhevig. Toenmalig staatssecretaris Louw de Graaf zei in 1988 bij de invoering van het sofinummer - voorloper bsn - dat het alleen gebruikt werd voor belastingen, inkomens en uitkeringen. Tegenwoordig wordt het gebruikt door gemeenten, UWV, ziekenhuizen, banken, scholen, GGD en commerciële teststraten...
...Privacydeskundige Van der Sloot begrijpt dat positieve testen naar de GGD moeten, maar meent dat het ook kan zonder delen van bsn. ,,En waarom moeten álle mensen hun bsn afstaan en niet alleen mensen die positief testen? Het grootste gedeelte test negatief.” Hij ziet dat sinds de coronacrisis de datahonger van overheid en bedrijven toenam en sommige wetten ten koste van de privacy worden doorgevoerd. ,,Pas als het een paar keer echt fout gaat, bijvoorbeeld door identiteitsfraude of de komst van een dictatoriaal regime die andere doelen voor ogen heeft met de gegevens, wordt men bewust van het belang van privacy. De vraag is of het dan nog op tijd is.”
Met de komst van toegangstesten, waarbij mensen op vertoon van een negatieve testuitslag een concert, voetbalwedstrijd of een museum mogen bezoeken, groeit het aantal tests door commerciële partijen, omdat deze toegangstesten niet door de GGD worden gedaan. De ondernemers die door het ministerie zijn ingeloot om deze testen af te nemen, worden in NRC omschreven als cowboys, zonder medische ervaring en zonder duidelijke ervaring met het beschermen van persoonsgegevens. Zij sprongen vorig jaar in het gat dat ontstond omdat bij de GGD grote tekorten waren en mensen lang moesten wachten op een test...
...Sinds ze een test deed bij spoedtest.nl controleert de Apeldoornse Gerrie vaker haar bankafschrijvingen, uit angst dat haar bsn en documentnummer door anderen is gebruikt om aankopen te doen. Ze is huiverig met delen van gegevens. Vorige zomer weigerde Gerrie ook gegevens in te vullen toen ze op een terras wilde zitten. ,,Je weet nooit wat er gebeurt, altijd gebeurt er toch meer met je gegevens dan ze aanvankelijk zeggen.”
Alles bij de bron; Tubantia
Logius heeft in de eerste vier maanden van dit jaar meer dan 13.000 DigiD-accounts verwijderd om misbruik te voorkomen. Meer dan alle vier voorgaande jaren bij elkaar opgeteld, zo blijkt uit cijfers van de DigiD-aanbieder. Het gaat onder andere om accounts waar criminelen door middel van malware, phishing en hergebruikte wachtwoorden toegang toe hebben gekregen.
Van 2017 tot en met 2020 werden in totaal 11.300 DigiD-accounts door Logius geblokkeerd. In de eerste vier maanden van dit jaar is de 13.000 al gepasseerd.
"Het aantal phishingaanvallen waarbij een mail of sms uit naam van DigiD wordt verstuurd is nog steeds groot. Veelal wordt er op deze manier gevist naar de bankgegevens van iemand. Daarnaast zien we ook pogingen tot uitbuiting van accounts die bij datalek ken buitgemaakt zijn", laat de woordvoerder verder weten.
Het komt ook geregeld voor dat er tijdens een opsporingsonderzoek DigiD-gegevens worden aangetroffen op servers van criminelen die via malware zijn gestolen. Deze accounts worden direct verwijderd en er wordt gecontroleerd of er mogelijk misbruik van de accounts is gemaakt. Volgens Logius is het criminelen meestal niet zo zeer te doen om de inloggegevens van DigiD, maar vooral om de bankgegevens van gebruikers.
In het geval van een gecompromitteerd en verwijderd account worden getroffen gebruikers via brief ingelicht. Er wordt dan uitgelegd waarom het account is verwijderd en hoe er een nieuw account kan worden aangevraagd. Wanneer de inloggegevens mogelijk via malware zijn gestolen staan er ook tips om de computer op te schonen.
Alles bij de bron; Security
Mailprogramma Thunderbird heeft door een programmeerfout maandenlang de OpenPGP-sleutels van eindgebruikers opgeslagen in openlijk leesbaar tekstformaat.
Gebruikers die OpenPGP-sleutels hebben geïmporteerd in mailclient Thunderbird, genoten niet de ingebouwde bescherming voor die encryptie van mailberichten. De sleutels voor het coderen van mails waren op een computer open en bloot inzichtelijk. Een aanvaller die hier misbruik van maakt, kan dan vanaf andere computers berichten versturen die dankzij toepassing van een gestolen privésleutel dan echt afkomstig lijken van de eigenlijke OpenPGP-gebruiker.
De bug is inmiddels gepatched, in versie 78.10.2 van de mailclient.
Alles bij de bron; AGConnect
GGD, Facebook, Allekabels.nl: de datalekken van grote hoeveelheden persoonlijke gegevens tuimelen over elkaar heen. Daar reageren velen nonchalant op – ten onrechte, kunnen slachtoffers vertellen...
...In eerdere oplichtingstrucs die op haar Hotmail of mobiel nummer binnenkwamen, trapte ze niet. Ze is niet gek. Maar bij haar zoon die zogenaamd in nood was, liet ze alle argwaan varen.
Zoals vele anderen die iets soortgelijks hebben meegemaakt, heeft ook Nina geen flauw idee hoe de oplichters aan haar mailadres en telefoonnummer zijn gekomen. Toch is daar wel iets over te zeggen. Het is niet ondenkbaar dat ze het slachtoffer is geworden van een datalek.
Haar Hotmail-adres komt voor in een groot lek uit 2017 van genealogiewebsite MyHeritage, waarbij adressen en wachtwoorden werden buitgemaakt. Verder komt haar adres voor in een datalek uit 2019 van Verifications.io, een dienst die wordt gebruikt voor het verifiëren van mailadressen. Bij dit lek zijn destijds ook telefoonnummers en andere persoonlijke gegevens buitgemaakt.
Voor Nina is dit nieuw. Ook de politie geeft haar tijdens haar aangifte deze informatie niet. De dienstdoende wijkagent is naar eigen zeggen ‘niet van de cyber’...
...De Fraudehelpdesk, waar Nina ook aanklopte, ziet het totaal aantal meldingen van digitale fraude stijgen. Een vergelijkbaar geluid komt van de Autoriteit Persoonsgegevens, die ‘een explosieve toename van het aantal hacks, gericht op het buitmaken van persoonsgegevens’ meldt.
De afgelopen maanden is er veelvuldig nieuws over datalekken, zoals bij Facebook, LinkedIn en Viruswaarheid. Met al die persoonlijke informatie die op straat ligt of te koop is op hackersfora kunnen oplichters zich overtuigend voordoen als een bekende (vriend of familielid) of als een vertrouwde instantie zoals een bank. Gooien oplichters bij phishing (een nepbericht dat hengelt naar persoonlijke gegevens) een net uit in de hoop dat iets blijft hangen, gericht mikken levert allicht meer op. Spearphishing, noemen ict-beveiligers dat ook wel.....
....Niet de lakse burger, maar de datahonger van bedrijven en overheden is het grote probleem, betoogt Evelyn Austin, directeur van burgerrechtenorganisatie Bits of Freedom. ‘Iedere keer wordt het probleem bij de consument neergelegd.’ Die moet volgens haar woedend zijn, omdat het een politieke keuze is om de handhaving een wassen neus te laten zijn.
Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cyber Security van de Erasmus Universiteit, zoekt de verbetering in een andere richting: bij het bedrijfsleven zelf. ‘Het probleem is dat veel bedrijven enthousiast beginnen met het verzamelen van data van burgers en pas daarna gaan nadenken over cybersecurity. Terwijl de kennis van cybersecurity bij de softwareleverancier ligt.’ De verantwoordelijkheden van de leverancier moeten dan ook groter worden en worden vastgelegd in duidelijke afspraken, zegt Nieuwesteeg.
Alles bij de bron; Volkskrant
Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) meldden ieder afgelopen jaar honderden datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen ging het om postgerelateerde lekken. Beide instanties doen hun best om het aantal fouten terug te brengen.
Meer dan 90 procent van de gemelde datalekken had betrekking op de door het UWV verzonden post. Dan is er bijvoorbeeld een verkeerd adres op de envelop terecht gekomen, of een verkeerde bijlage aan de brief toegevoegd.
De Sociale Verzekeringsbank (SVB) schrijft in haar jaarverslag dat ze jaarlijks miljoenen brieven met persoonlijke informatie van burgers verstuurt. Daarbij komt het voor dat brieven niet of bij de verkeerde persoon bezorgd worden. Het afgelopen jaar meldde de instantie 353 postgerelateerde datalekken bij de Autoriteit Persoonsgegevens. Daarnaast zijn er nog 93 datalekken met een andere oorzaak gemeld bij de toezichthouder.
Dat blijkt uit de jaarverslagen van het UWV en de SVB, die dinsdag naar de Tweede Kamer zijn gestuurd.
Alles bij de bron; VPNGids
De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van 15.000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Bovendien was de verzuimregistratie onvoldoende beveiligd, deze was online toegankelijk, zonder enige vorm van authenticatie.
De verzuimregistratie van CP&A bevatte zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers. Zoals de namen van ziektes, specifieke klachten en pijnaanduidingen. Met kennis over iemands fysieke en emotionele toestand zou een werkgever een oordeel kunnen vellen of beslissingen kunnen nemen die grote impact hebben op een werknemer.
De privacywetgeving verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Een werkgever mag er ook niet naar vragen. Dat is aan de arbodienst of de bedrijfsarts.
Alles bij de bron; AutoriteitPersoonsgegevens
In plaats van wc-rollen te hamsteren, snelden Amerikanen zich de afgelopen week naar tankstations om benzine in te slaan.
De aanleiding voor dit gehamster was minder lollig. Afgelopen week kwam het pijpleidingennetwerk Colonial Pipeline, dat bijna de helft van de Amerikaanse oostkust van brandstof voorziet, plat te liggen.
Criminelen slagen er steeds vaker in om via kleine gaatjes en kwetsbaarheden binnen te dringen in softwaresystemen. Universiteiten, ziekenhuizen en gemeenten werden al eerder de dupe. In Finland dreigden hackers de persoonlijke patiëntendossiers van mensen die psychiatrische hulp hadden gekregen online te zetten. Ditmaal richtten ze zich op de tienduizenden getroffen patiënten zelf, in de hoop dat publicatie van hun dossiers over zelfmoordpogingen, drugsgebruik, of angstaanvallen hen snel tot betaling zou aanzetten.
Patiëntendossiers, belastingdatabanken of betalingssystemen: ze zijn alle gedigitaliseerd zonder dat het helder is of de ingekochte technologie wel voldoet aan de hoogste veiligheidsstandaard. Blind erop vertrouwen dat softwarebedrijven voor voldoende bescherming zorgen, werkt hier niet. Zeker niet als klanten, zoals ziekenhuizen, dure software-updates niet kunnen betalen.
Voor inkopers of gebruikers van software zijn dit soort complexe systemen niet te doorgronden. En doordat ICT-bedrijven maar beperkt publiekelijk informatie delen over gehackte producten, blijven de risico’s bestaan en worden beschermingsmaatregelen niet genomen.
Hoe groot de risico’s van kwetsbare software zijn, is geen verrassing. Als mogelijk rampzalig resultaat van een cyberaanval door criminelen of een vijandige staat is al vaker het raken van kritieke infrastructuur genoemd. Nu kun je nog lachen om mensen die in paniek een tasje benzine komen halen. Maar misschien zijn de gevolgen van de volgende cyberaanval wel fataal.
Alles bij de bron; NRC
Het is mogelijk dat er méér gegevens van honderden Alkmaarders zijn bekeken tijdens een inbraak in het mailsysteem van de gemeente vorig jaar. Het gaat onder meer rekeningnummers, adressen en geboortedatums. Dat valt allemaal te lezen in een brief die de gemeente Alkmaar aan inwoners heeft gestuurd.
De phishing kwam in december aan het licht nadat een medewerker op een neplink klikte. De mailbox was daardoor enige tijd toegankelijk en kon worden ingekeken door onbevoegden. In februari meldde de gemeente dat het onderzoek naar de phishingmail bijna was afgerond. Nu blijkt dus dat er mogelijk meer gegevens zijn gelekt dan in eerste instantie bekend was.
De gemeente waarschuwt Alkmaarders 'alert' te zijn, omdat de kans groot is dat de gegevens zijn ingezien door mensen die er misbruik van willen maken. "Pas bijvoorbeeld op bij e-mails van een onbekende of onbetrouwbare afzender. Vaak worden gegevens namelijk ook wéér gebruikt voor phishing."
Alles bij de bron; NHNieuws
DSIT, moederbedrijf van webshops zegt slachtoffer te zijn geweest van een hack waarbij onder meer naw-gegevens en versleutelde wachtwoorden zijn buitgemaakt.
Het datalek was op 6 april, maar op dinsdag zeggen meerdere tweakers in een GoT-topic een mail van het webshopbedrijf te hebben ontvangen. In die mail geeft DSIT aan dat er na een hack ongeoorloofde toegang is geweest tot klantgegevens. In het forumtopic zeggen tweakers sinds medio april phishingmails te ontvangen die gericht zijn aan mailadressen die voor DSIT-webshops zijn gebruikt. Het gaat onder meer om betalingsverzoeken die ogenschijnlijk in naam van DSIT-webshops zijn verzonden.
Onder DSIT vallen ServerKast.com, PatchKast.nl, PatchKast.com, PatchKast.be, UTP-Kabel.nl en Glasvezel-kabel.com. Het is niet bekend of alle webshops door de hack zijn getroffen en van hoeveel klanten er data is gestolen. Onder de mogelijk gelekte data vallen naam en bedrijfsnaam, eventuele btw-nummers, e-mailadressen, telefoonnummers en ordergegevens zoals producten en aantallen.
Bij de aanval zijn mogelijk ook wachtwoorden gelekt. Deze waren versleuteld, afhankelijk van de activiteit was dit met een SHA- of een MD5-hash.
Alles bij de bron; Tweakers