Databeveiliging & Dataverlies

Een marketingbedrijf dat een tool levert waar allerlei datingsites en webshops gebruik van maken heeft miljoenen gevoelige records van gebruikers van deze websites gelekt. Het gaat om privéberichten, namen, geboortedata, e-mailadressen, ip-adressen, foto's en profielen van honderdduizenden mensen, zo meldt vpnMentor.

Het marketingbedrijf in kwestie biedt een tool waarmee websites en smartphone-apps pushnotificaties aan gebruikers kunnen sturen die hiervoor toestemming hebben gegeven. Onderzoekers ontdekten een onbeveiligde Elasticsearch-server die kopieën van deze notificaties bevatte en voor iedereen op internet toegankelijk was, aldus ZDNet. De server bevatte meer dan 882GB aan data, afkomstig van meer dan zeventig websites. Het ging voornamelijk om datingsites, maar er zaten ook verschillende webshops tussen. Het ging bij elkaar om 370 miljoen records voor 66 miljoen individuele notificaties die over een periode van 96 uur waren verstuurd.

Naast de privégegevens en berichten van gebruikers bleek dat het ook mogelijk was om alle door de datingsites verstuurde e-mails te bekijken. Daarmee had een aanvaller onder andere wachtwoorden kunnen resetten en zo accounts kunnen overnemen. VpnMentor waarschuwde de eigenaar op 3 september en dezelfde dag werd de server beveiligd en een dag later waarschuwde het bedrijf alle getroffen klanten.

Alles bij de bron; Security


 

De website Afspraakloket heeft de burgerservicenummers (bsn) van gebruikers van de site gelekt. Naast bsn-nummers waren persoonlijke gegevens zoals telefoonnummers, postcodes, e-mailadressen en verloopdata van identiteitsdocumenten relatief eenvoudig in te zien.

Het gaat om gegevens van 6000 gebruikers, waarvan er 4200 een e-mailadres hadden ingevuld en 2600 een burgerservicenummer. De site was pas een paar weken actief.

De site mag overigens helemaal geen burgerservicenummers verwerken. Dat zijn persoonsgegevens die extra zijn beschermd. "Bedrijven mogen dat alleen als ze daartoe wettelijk verplicht worden", zegt ict-jurist Charlotte Meindersma.

Het datalek bevond zich op een testpagina van de site, op die pagina waren interne wachtwoorden te zien, waaronder die van de database. Inloggen op de database was vervolgens relatief eenvoudig.

"Dat had natuurlijk nooit mogen gebeuren", zegt de beheerder van de website, student Wouter Blokhuis. Nadat hij op de hoogte was gesteld heeft hij de site uit de lucht gehaald. Hij is vooralsnog niet van plan het lek te melden bij de Autoriteit Persoonsgegevens.

De site bood mensen de mogelijkheid om een afspraak te maken bij een gemeente en vroeg daar 20 euro voor. Bij de gemeente kan dat gratis. Onder meer Almere, Dordrecht en Oss waarschuwden voor de site. Mensen om de tuin leiden was nooit de bedoeling, stelt hij. "Mensen konden bij ons een herinnering krijgen als hun document bijna was verlopen", zegt Blokhuis. "En als service konden wij dan een betaling voor ze doen." Mensen bleken de site echter anders te gebruiken, stelt hij, door simpelweg alleen een afspraak te maken.

Alles bij de bron; NOS


 

Razer, vooral bekend als fabrikant van gameproducten, had een verkeerd geconfigureerde database online staan waardoor klantgegevens openbaar stonden. 

De openbaar toegankelijke informatie betrof naam, e-mailadres, telefoonnummer, klantnummer, bestelnummer, factuurgegevens en leveringsadres. Volgens beveiligingsonderzoeker Volodymyr 'Bob' Diachenko had Razer een Elasticsearch-database niet goed geconfigureerd waardoor de gegevens openbaar waren en door zoekmachines werden geïndexeerd. De database zou sinds 18 augustus toegankelijk zijn geweest zonder dat een wachtwoord vereist was om de data in te zien. De ontdekker van het datalek schat dat het om gegevens van zo'n honderdduizend klanten ging.

Diachenko nam een dag na deze ontdekking contact op met Razer. Zijn melding bleek niet de juiste mensen bereikt te hebben, zodat het drie weken duurde voordat de publieke toegang ongedaan gemaakt werd. Niet bekend is of de data door anderen dan Diachenko bekeken is. 

In een verklaring bevestigt Razer de melding van de openstaande database ontvangen te hebben: "Er zijn geen gevoelige gegevens zoals creditcardnummers of wachtwoorden uitgelekt. De verkeerde configuratie is op 9 september verholpen." Het bedrijf biedt klanten zijn verontschuldigingen aan en meldt de beveiliging van zijn it-systemen grondig door te lichten.

Alles bij de bron; Tweakers


 

Een telefoondienst waar Amerikaanse gevangenen gebruik van kunnen maken om met familie en vrienden te communiceren heeft via een onbeveiligde database miljoenen berichten en privégegevens van gedetineerden gelekt. 

GettingOut is een mobiele-app en dienst die gevangenen verschillende communicatiemethodes biedt. Alle communicatie wordt gemonitord. Beveiligingsonderzoeker Bob Diachenko ontdekte vorige maand een onbeveiligde database met de gegevens van GettingOut-gebruikers. Het ging om tientallen miljoenen gesprekslogs, privéberichten en persoonlijke informatie van gevangenen en hun contacten. Zo bevatte de database 11,2 miljoen records van gedetineerden, waaronder hun volledige naam, misdrijf, gevangenis en GettingOut-saldo.

Verder werden ook miljoenen privéberichten aangetroffen en de gegevens van personen met wie de gedetineerden communiceerden. Het ging onder andere om namen, e-mailadressen, telefoonnummers, adresgegevens, rijbewijsnummer en ip-adres. Diachenko waarschuwde de aanbieder van de dienst die de database dezelfde dag nog beveiligde.

Alles bij de bron; Security


 

Russische hackers hebben persoonlijke gegevens van miljoenen Amerikanen buitgemaakt en op een internetforum gezet. 

De diefstal van persoonsgegevens kwam aan het licht na onderzoek door journalisten van de Russische zakenkrant Kommersant. Zij stuitten op Gorka9, een hackgroep die de data in handen kreeg en te koop aanbood. Het gaat om naam, geboortedatum, geslacht, adres, postcode, e-mail, kiezersidentificatienummer en stembureau-nummer van ruim 7,5 miljoen inwoners van de staat Michigan.

Daarnaast hackte Gorka9 gegevens van nog enkele miljoenen burgers in Connecticut, Arkansas, Florida en North Carolina. Gorka9 beweert tegen Kommersant dat de gegevens vanaf maart 2020 up-to-date zijn.

Alles bij de bron; FD


 

Na een datalek bij het Centraal Orgaan opvang asielzoekers (COA) zijn 150 vermoedelijke slachtoffers van mensenhandel- en smokkel mogelijk in gevaar geweest. Dat blijkt uit een reactie van het COA, dat in juni per ongeluk bijna twaalfhonderd meldingen van vermoedens van mensenhandel op zijn site publiceerde. Zeker honderdvijftig slachtoffers waren door het datalek identificeerbaar. 

De bijna twaalfhonderd meldingen werden gedaan door COA-medewerkers en waren gericht aan de politie. Er zijn meldingen van doodsbange mannen op de vlucht voor de maffia en van homo’s die hun familie en misbruikers vrezen. In het document stond veel privacygevoelige informatie van de vermoedelijke slachtoffers, zoals namen, geboortedata, telefoonnummers en verblijfslocaties. NRC en onderzoeksprogramma Argos ontdekten het lek en informeerden het COA, waarna de informatie direct offline werd gehaald. 

Alles bij de bron; NRC


 

Een online dienst die Duitse restaurants gebruiken om reserveringen en coronaformulieren van bezoekers op te slaan, bleek niet goed beveiligd. Daardoor was het mogelijk 87.313 coronaformulieren in te zien van 180 Duitse restaurants die het systeem actief gebruikten, schrijft de Chaos Computer Club (CCC).

Het ging om een online clouddienst van het bedrijf Gastronovi die restaurants gebruiken om naast coronaformulieren ook reserveringen, bestellingen en kassaverkopen op te slaan. In deze clouddienst zaten verschillende kwetsbaarheden waardoor leden van CCC "in een mum van tijd volledige administratieve toegang kregen tot alle gegevens die in het systeem zijn opgeslagen".

Naast deze coronaformulieren konden de leden ook 5,4 miljoen reserveringen inzien die terug gingen tot tien jaar geleden. Daarin stonden 4,8 miljoen persoonlijke gegevens van klanten. 

De computerclub raadt digitale coronaformulieren over het algemeen af, "vooral als ze hun gegevens in een cloud opslaan in plaats van in het restaurant zelf". De hackers raden aan gewoon pen en papier te gebruiken en de formulieren te versnipperen als de bewaartermijn verstreken is.

Alles bij de bron; NU


 

Een aanvaller is erin geslaagd om de privégegevens van 8,3 miljoen gebruikers van Freepik en Flaticon te stelen, zo heeft het bedrijf achter de twee websites bekendgemaakt. Freepik en Flaticon bieden stockfoto's, vectorafbeeldingen en iconen. 

Het gaat om e-mailadressen en gehashte wachtwoorden. Van 4,5 miljoen gebruikers zijn geen wachtwoordhashes gestolen, omdat deze gebruikers via hun Google-, Facebook- of Twitteraccount inlogden. Van deze gebruikers is alleen het e-mailadres buitgemaakt. Van de 3,77 miljoen gebruikers van wie e-mailadres en wachtwoordhash werd gestolen ging het voor 3,55 miljoen gebruikers om een wachtwoord dat via het bcrypt-algoritme is gehasht. De wachtwoorden van de overige 229.000 gebruikers waren gesalt en via het zwakke MD5-algoritme gehasht.

Gebruikers van wie het e-mailadres is gestolen zijn ingelicht, maar hoeven volgens Freepik geen verdere actie te ondernemen.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha