Een Finse psychotherapiepraktijk die locaties in heel Finland heeft en duizenden patiënten behandelt is afgeperst nadat een aanvaller toegang tot zeer gevoelige patiëntdata wist te krijgen. Een deel van de data, tweehonderd patiënten "records, is inmiddels door de afperser openbaar gemaakt. Het gaat om namen, adresgegevens, persoonlijke identificatienummers en patiëntenrapporten.
Als de psychotherapiepraktijk geen 450.000 euro betaalt zal de afperser elke dag honderd nieuwe records online zetten, zo meldt televisiestation YLE. De afpersers heeft naar eigen zeggen de gegevens van 40.000 patiënten in handen. In een verklaring bevestigt Vastaamo de datadiefstal en afpersing.
Alles bij de bron; Security
Farmaceutische gigant Pfizer heeft door een verkeerd geconfigureerde Google Cloud Storage bucket de privégegevens van honderden medicijngebruikers gelekt, alsmede informatie over gebruikte medicijnen en gezondheidstoestand. Dat laten onderzoekers van vpnMentor weten.
Pfizer had één van hun buckets verkeerd geconfigureerd, waardoor die voor iedereen op internet toegankelijk was. De bucket bevatte honderden transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht die allerlei persoonlijke identificeerbare informatie bevatten, zoals volledige naam, adresgegevens, e-mailadres, telefoonnummer en gedeeltelijke details over de medische en gezondheidstoestand.
In de transcripties werden ook de medicijnen genoemd die de gebruikers gebruikten, zoals Viagra en Advil.
Vpnmentor waarschuwde Pfizer op 13 juli, gevolgd door een tweede poging op 19 juli. Een derde poging volgde op 22 september, waarop de farmaceut reageerde. Volgens de onderzoekers stelde Pfizer dat het niet om belangrijke data ging. Daarop deelden de onderzoekers een deel van de persoonlijke informatie die ze hadden gevonden, waarop de bucket door Pfizer werd beveiligd.
Alles bij de bron; Security
De Volkbank schakelt de hulp van Schluss in om op een veilige en snelle manier toegang te krijgen tot persoonsgegevens van klanten die nodig zijn om een hypotheekaanvraag doen.
Een hypotheekaanvraag duurt bij de Volksbank gemiddeld zo’n acht weken. In die tijd besteedt de bank vooral veel tijd aan het verzamelen, delen en controleren van de benodigde data van (potentiële) klanten. Denk aan inkomsten, uitgaven, leningen en eigen vermogen. Deze data is afkomstig van verschillende partijen zoals de Belastingdienst, BKR, UWV en DUO. De klanten leveren deze documenten per mail aan bij de Volksbank. Naast het feit dat dit relatief onveilig is, ontvangt de bank ook veel overbodige informatie. Dit terwijl de bank werkt aan dataminimalisatie.
Schluss ontwikkelt een datakluis waarin eindgebruikers persoonsgegevens kunnen opslaan. Zij kunnen deze data via een link openstellen voor individuen, waaronder medewerkers van bepaalde instanties. Deze toegang kan op elk gewenst moment worden stopgezet. Omgekeerd kunnen instanties toestemming vragen om specifieke data in te zien. Hiervoor moeten zij een qr-code genereren en delen met de datakluisbeheerder, die op zijn beurt het verzoek tot inzage kan goedkeuren.
Schluss brengt eind dit jaar een betáversie van hun product op de markt. Voorlopig zijn er nog geen instanties die gebruikmaken van de Schluss-app.
Alles bij de bron; Computable
Staatssecretaris Knops van Binnenlandse Zaken heeft besloten om gegevens in de Basisregistratie Personen (BRP) voorlopig niet versleuteld op te laten slaan. "Op dit moment valt er meer winst te behalen door het nemen van andere maatregelen dan extra versleuteling", zo laat de staatssecretaris in een brief aan de Tweede Kamer weten.
Het kabinet heeft in het Regeerakkoord gesteld om gegevens van burgers in basisadministraties en andere privacygevoelige informatie versleuteld op te slaan (pdf). "De Basisregistratie Personen wordt gemoderniseerd en zal de e-mailadressen van burgers bevatten. Gegevens van burgers in basisadministraties en andere privacygevoelige informatie wordt altijd versleuteld opgeslagen."
Knops heeft een onderzoek naar de beveiliging van de BRP laten uitvoeren, waarbij er bijzondere aandacht was voor de risico's die door middel van encryptie zijn te verkleinen. De onderzoekers stellen dat het altijd versleuteld opslaan van gegevens slechts één bestaand beveiligingsrisico voor de BRP verhelpt, namelijk diefstal van een fysieke harde schijf met BRP-data vanuit een rack in een datacenter, of het stelen van een kopie of back-up.
Op basis van het onderzoek heeft Knops dan ook besloten om data in de BRP voorlopig niet versleuteld op te slaan.
Alles bij de bron; Security
Aanvallers zijn erin geslaagd om de gegevens te stelen van 293.000 gebruikers van het forum van de gratis online role-playing game Albion Online. Het gaat om profielgegevens, alsmede e-mailadressen en gesalte en met het bcrypt-algoritme gehashte wachtwoorden.
Met het forumwachtwoord is ook op het spel in te loggen. Albion Online heeft gebruikers een e-mail gestuurd waarin wordt geadviseerd het wachtwoord te wijzigen.
Naar aanleiding van het datalek is spelontwikkelaar Sandbox Interactive naar eigen zeggen van plan om externe beveiligingsexperts een extra veiligheidscheck te laten uitvoeren. Afhankelijk van de onderzoeksresultaten zal het aantal en de diepgang van externe security-audits worden vergroot. Sandbox Interactive stelt dat Albion Online ruim 5,8 miljoen spelers heeft.
Alles bij de bron; Security
Bij Dickey's Barbecue Pit, de grootste keten van bbq-restaurants in de Verenigde Staten, hebben criminelen de gegevens van drie miljoen creditcards gestolen. Aanvallers wisten de kassasystemen van de restaurantketen te compromitteren en zo bij 156 locaties in dertig Amerikaanse staten de creditcardgegevens te stelen.
De gestolen creditcarddata werd vervolgens te koop aangeboden op een forum voor cybercriminelen. Het grootste deel van de buitgemaakte creditcardgegevens is afkomstig van Amerikaanse staten, maar volgens de aanbieder van de dataset zit er ook data tussen van Europeanen en Aziaten. Het gaat om "Track 1" en "Track 2" data, waaronder naam van de kaarthouder, verloopdatum, bank en rekeningnummer.
Alles bij de bron; Security
De T2-beveiligingschip van Apple bevat een beveiligingsprobleem. De chip is onder meer aanwezig in MacBook Pro's, MacBook Air's, Mac mini's, iMac's, iMac Pro's en Mac Pro's.
Beveiligingsonderzoekers ontdekten dat de bestaande exploit checkm8 voor het jailbreaken van iPhones ook kan worden gebruikt om de T2-chip aan te vallen. checkm8 wordt hierbij gecombineerd met een tweede kwetsbaarheid in de memory controller genaamd blackbird.
Om het lek uit te buiten hebben aanvallers fysieke toegang nodig tot een systeem. De kwetsbaarheid kan worden misbruikt door aanvallers om in herstelmodus eigen code te draaien. Via deze route kunnen zij beheerdersrechten verkrijgen en zijn onder meer in staat gevoelige data buit te maken, aanpassingen te maken in het besturingssysteem macOS of kernelextensies te laden. Het Belgische beveiligingsbedrijf ironPeak stelt daarnaast dat het lek kan worden misbruikt om firmwarewachtwoorden en functionaliteit om apparaten op afstand te versleutelen uit te schakelen.
Het lijkt niet mogelijk het beveiligingsprobleem te verhelpen. Een beveiliging die wijzigingen voorkomt en bedoelt is om malafide handelingen tegen te gaan, maakt het nu ook onmogelijk de kwetsbaarheid te dichten meldt onderzoek Rick Mark.
Alles bij de bron; DutchITChannel
Beveiligingsonderzoeker Dennis Baaten ontdekte in september een kwetsbaarheid op webshopplatform Mijnwebshoppartner.
De website gebruikte oplopende klantnummers die Baaten kon opvragen via de url. Hij kreeg dan namen, adressen en contactinformatie te zien van gebruikers. Het ging bij dat laatste om e-mailadressen en telefoonnummers. Ook waren in sommige gevallen bedrijfsnamen, KvK-nummers en btw-nummers te zien die tot voor kort waren gebaseerd op hun burgerservicenummer.
Baaten zegt dat het klantbestand op die manier eenvoudig geautomatiseerd te downloaden was. In totaal stonden er 7232 klanten in de database, die verdeeld stonden over vier webshops. Baaten zocht contact met het bedrijf en gaf het datalek via een responsible disclosure-procedure door. Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.
Of het probleem voor alle webshops die onder Mijnwebshoppartner vallen is opgelost weet hij niet. "Mogelijk zijn er nog meer webshops die op dit platform draaien die ik niet heb gevonden. Dan zou het probleem nog groter in omvang zijn", zegt hij.
Alles bij de bron; Tweakers
Een phishingaanval die eerder dit jaar plaatsvond heeft voor een datalek bij de gemeente Bergen op Zoom gezorgd, zo laat het college van burgemeester en wethouders in een brief aan de gemeenteraad weten. Via een phishingmail wisten aanvallers toegang tot de mailboxen van in totaal negen medewerkers te krijgen.
Uit nader onderzoek blijkt dat de aanvallers mogelijk toegang hebben gehad tot de inhoud van de mailboxen en andere bestanden met persoonsgegevens. "We kunnen niet met zekerheid vaststellen dat er toegang is geweest tot de persoonsgegevens ... We moeten dan ook uitgaan van een risico op mogelijk misbruik van gegevens, bijvoorbeeld voor identiteitsfraude", zo laat de brief weten.
Volgens het college zijn de meeste personen van wie persoonsgegevens in de mailboxen stonden achterhaald. Het gaat in totaal om zo'n vierhonderd personen die bijvoorbeeld hun cv naar de gemeente mailden en klantgegevens die per e-mail zijn uitgewisseld, zij hebben een persoonlijke brief van de gemeente ontvangen. Tevens is de kans aanwezig dat de aanvallers via de accounts van de medewerkers ook toegang hebben gekregen tot andere bestanden met persoonsgegevens, waaronder naam, adres en bsn-nummers van inwoners van Bergen op Zoom.
Alles bij de bron; Security
De browserextensie Privacy Badger is ontwikkeld om gebruikers tegen trackers te beschermen, maar een kernonderdeel van de extensie maakte het juist eenvoudiger voor trackers om gebruikers online te volgen. Dat ontdekten onderzoekers van Google. De Amerikaanse burgerrechtenbeweging EFF, die de extensie ontwikkelde, heeft aanpassingen aangekondigd...
...Onderzoekers van Google ontdekten dat het zelflerende onderdeel van Privacy Badger ook de achilleshiel van de extensie is. Een aanvaller zou namelijk de manier kunnen manipuleren waarop Privacy Badger reageert, in wat het blokkeert en toestaat. Dit zou kunnen worden gebruikt om gebruikers, via een vorm van fingerprinting, te identificeren, of informatie te achterhalen over de websites die ze bezoeken...
...De EFF heeft geen bewijs gevonden dat er misbruik van de feature is gemaakt, maar heeft besloten om die uit voorzorg standaard uit te schakelen. Zodoende worden bij alle gebruikers dezelfde trackers geblokkeerd. Om trackers te blokkeren maakt Privacy Badger voortaan gebruik van een lijst met bekende trackingdomeinen. Deze lijst wordt periodiek bijgewerkt. Gebruikers kunnen het zelflerende onderdeel nog wel zelf inschakelen. Volgens de EFF gaat het hier om een acceptabele afweging die gebruikers voor zichzelf kunnen maken.
Alles bij de bron; Security