De Amerikaanse online drankaanbieder Drizly is slachtoffer van een datalek geworden nadat de privégegevens van 2,5 miljoen klanten werden gestolen en op internet verschenen. Het gaat om e-mailadressen, namen, adresgegevens, ip-adressen, geboortedata en als bcrypt-hashes opgeslagen wachtwoorden.
Drizly wordt ook wel de "Amazon voor drank" genoemd en bevestigt het datalek tegenover TechCrunch, maar laat niet weten hoe en wanneer de gegevens zijn gestolen.
Alles bij de bron; Security
Promo.com, een bedrijf waar gebruikers online allerlei soorten marketingvideo's en advertenties kunnen maken, heeft de privégegevens van vijftien miljoen mensen gelekt. Het gaat om namen, e-mailadressen, ip-adressen, geolocatie, geslacht en gesalte sha-256 wachtwoordhashes. De gestolen data werd vervolgens via internet openbaar gemaakt.
Alles bij de bron; Security
Dave, een app voor mobiel bankieren en budgettering, heeft de privégegevens van meer dan 2,9 miljoen gebruikers gelekt. Aanvallers wisten geboortedata, namen, via bcrypt gehashte wachtwoorden, telefoonnummers, adresgegevens, social security nummers en e-mailadressen van ruim 2,9 miljoen unieke accounts te bemachtigen. De gestolen data werd vervolgens op internet aangeboden.
Het bedrijf zegt dat bankrekeningnummers en creditcardnummers niet zijn gecompromitteerd. Ook zijn er geen aanwijzingen dat er ongeautoriseerde acties met de getroffen accounts zijn uitgevoerd. Dave zal alle gedupeerde gebruikers waarschuwen en heeft een onderzoek naar het incident ingesteld. Verdere details over de inbraak zijn niet gegeven.
Alles bij de bron; Security
Om de transparantie richting de inwoners te verhogen, plaatsen veel gemeenten de declaraties van het college op de gemeentesite. Zo ook het college van Bloemendaal. Alleen bevatten die gepubliceerde declaraties tot voor kort allerlei persoonlijke gegevens waaronder adressen, bankgegevens, kentekens en ov-chipkaartnummers. De oudste declaraties kwamen ruim twee jaar geleden online.
De gemeente bevestigt het datalek, maar heeft het niet gemeld bij de Autoriteit Persoonsgegevens. De persoonsgegevens zijn inmiddels verwijderd uit de declaraties.
Alles bij de bron; NHD
Profielen van dna-database GEDmatch waren door een aanval op een server tijdelijk voor alle gebruikers toegankelijk, waaronder politie. GEDmatch is een database met genetische data afkomstig van verschillende dna-testdiensten zoals 23andMe, FTDNA en AncestryDNA. In database staan 1,2 miljoen mensen.
...Afgelopen zondag werd GEDmatch naar eigen zeggen doelwit van een "geraffineerde aanval" op één van de servers, waarbij de aanvallers via een bestaand gebruikersaccount wisten binnen te komen. Door de aanval werden de permissies van gebruikers gereset. Daardoor waren alle profielen voor alle gebruikers zichtbaar, waaronder politie. Profielen van gebruikers die geen toestemming hadden gegeven om toegankelijk te zijn voor opsporingsdiensten waren dat drie uur lang wel...
...Tijdens onderzoek naar de aanval werd ontdekt dat de website nog steeds kwetsbaar was, waarop besloten werd die uit de lucht te halen. Twee dagen na de aanval op GEDmatch meldde dna-testdienst MyHeritage dat gebruikers het doelwit van een phishingaanval waren. De phishingsite is inmiddels uit de lucht gehaald. MyHeritage biedt twee-factor-authenticatie voor accounts en raadt gebruikers aan dit in te stellen.
Alles bij de bron; Security
Het klinkt als een flauwe grap, maar ondertussen zijn meer dan duizend onbeveiligde databases permanent verwijderd door de aanvallen. Daarbij laat de aanvaller in kwestie alleen het woord 'meow' (de Engelse versie van 'miauw', moest dat niet duidelijk zijn) achter als visitekaartje.
De aanval kwam eerst aan het licht toen hij een database van gelekte gebruikersgegevens vernietigde. Het gaat daarbij om een slecht beveiligde database aan gebruikersgegevens van de UFO vpn-dienst. Dat lek bevatte onder meer wachtwoorden, IP-adressen, sessie-logs, locaties en andere gevoelige informatie van gebruikers, die door de dienst zelf niet met de nodige voorzichtigheid werd bijgehouden.
Dat UFO vpn-lek is op zich al een schandaal, niet alleen omdat er dus bijzonder gevoelige informatie werd gelekt, maar ook omdat de vpn-dienst altijd beloofd had dat het geen logs bijhield, iets wat het lekken van sessie-logs moeilijk zou moeten maken.
Meow (want zo gaan we die aanval vanaf nu uiteraard altijd noemen) heeft sindsdien nog meer dan duizend andere databanken vernietigd. Het lijkt te gaan om een bot die automatisch op zoek gaat naar slecht beveiligde databases. Er wordt geen losgeld gevraagd en geen verdere uitleg gegeven. De data zijn gewoon weg, zoals het glas dat je kat net van de kast heeft gemept.
Alles bij de bron; DutchIT
Een app die de Zuid-Koreaanse overheid ontwikkelde voor mensen die in quarantaine moeten heeft de privégegevens van 162.000 gebruikers gelekt. Het gaat om naam, geboortedatum, geslacht, nationaliteit, adresgegevens, telefoonnummer, real-time locatie en medische klachten.
"We hadden erg veel haast om deze app zo snel als mogelijk te ontwikkelen en uit te rollen om de verspreiding van het virus tegen te gaan", zegt Jung Chan-hyun van het Zuid-Koreaanse ministerie van Binnenlandse Zaken. "We konden geen tijdrovende veiligheidscontrole van de app veroorloven die de uitrol zou vertragen."
Alles bij de bron; Security
Zeven vpn-providers die vanuit Hong Kong opereren en claimen geen logs bij te houden hebben via een onbeveiligde server wachtwoorden en persoonlijke gegevens van miljoenen gebruikers gelekt. Het gaat om FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN en Rabbit VPN, zo meldt vpnMentor.
De gelekte data bevat allerlei persoonlijke gegevens van gebruikers, waaronder namen, e-mailadressen, adresgegevens, plaintext wachtwoorden, bitcoin-betaalinformatie, supportberichten, apparaatgegevens, accountinformatie en andere zaken. Ook werden activiteitenlogs met ip-adressen en bezochte websites aangetroffen. Op basis van claims die de vpn-providers zelf maken zou het om data van meer dan 20 miljoen gebruikers gaan.
Alles bij de bron; Security
Het Britse “Which?” heeft een studie gepubliceerd waaruit blijkt dat veel bestuurders (4 op 5) vergeten hun privégegevens uit het infotainmentsysteem van hun auto te verwijderen alvorens deze te verkopen.
Op de nieuwste generatie auto’s biedt dat een koper toegang tot telefoonnummers, adressen of nog erger: toegang tot een wifi-netwerk. Omgekeerd kan ook: een verkoper die de auto niet heeft gereset, kan de wagen blijven volgen via een applicatie of hem zelfs openen en aan de praat krijgen.
“Which?” kocht voor de gelegenheid een VW en een Ford infotainmentsysteem en liet dat onderzoeken door beveiligingsexperts. Het doel: de multimediasystemen hacken, wat snel lukte. Tal van persoonlijke gegevens kwamen vrij, wat de kwetsbaarheid van de informatiebescherming op dergelijke apparaten aantoont.
Alles bij de bron; Which [engelstalig]
Bij een aanval op 251 Amerikaanse politiewebsites zijn privégegevens van ruim 700.000 politie-accounts buitgemaakt, zoals adresgegevens, telefoonnummers en e-mailadressen. De inbraak op de politiesites kwam vorige maand al in het nieuws, maar website The Intercept heeft nu meer informatie over het datalek gegeven, dat de naam "BlueLeaks" kreeg.
De getroffen websites zijn van Amerikaanse politiekorpsen en fusion centers. Fusion centers zijn door de Amerikaanse overheid aangestuurde centra die politie-informatie verzamelen en onder andere instanties en opsporingsdiensten delen. Alle 251 gecompromitteerde websites waren ontwikkeld en gehost door hetzelfde bedrijf en draaiden allemaal hetzelfde contentmanagementsysteem (CMS). Mogelijk dat aanvallers via een kwetsbaarheid in het CMS toegang tot de data wisten te krijgen.
In totaal ging het om 269 gigabyte aan gegevens met meer dan 711.000 accounts die teruggaan tot 2007. De meeste personen die een account op deze websites hebben zijn politieagenten. Elk van deze accounts bevat de volledige naam, rang, politiekorps, e-mailadres, thuisadres, telefoonnummer, naam van leidinggevende, e-mailadres en ip-adres waarmee het account is aangemaakt.
Volgens The Intercept gaat het niet alleen om gegevens van politieagenten. Ook honderdduizenden pdf-bestanden en Microsoft Office-documenten, duizenden video's, miljoenen foto's, e-mails, omschrijvingen van vermeende misdrijven en hun locatie, interne onderzoeksresultaten, websitelogs en veel meer kregen de aanvallers in handen. De data werd vervolgens via een website en BitTorrent openbaar gemaakt. De server die de data aanbood is inmiddels door de Duitse autoriteiten in beslag genomen.
Alles bij de bron; Security