Een Brits securitybedrijf dat bedrijven voor datalekken waarschuwt heeft via een onbeveiligde server meer dan 5 miljard records gelekt die van andere datalekken afkomstig waren.
...Het bedrijf biedt "Data Leakage Monitoring" en "Darkweb Digging" waarbij het klanten waarschuwt als hun gegevens in een datalek voorkomen. Het bleek ook een eigen database te hebben met gegevens van datalekken. Deze database was door een fout zonder wachtwoord toegankelijk en was door de zoekmachine BinaryEdge geïndexeerd. Vervolgens werd die gevonden door onderzoeker Bob Diachenko van Security Discovery.
De database bevatte meer dan 5 miljard records, met wachtwoorden, wachtwoordhashes, e-mailadressen, oorsprong van het datalek en jaar van het datalek.
Alles bij de bron; Security
Twee Amerikaanse kredietverstrekkers hebben via een database die voor iedereen op internet toegankelijk was 425 gigabyte aan vertrouwelijke data gelekt. De gegevens van beide bedrijven werden in een onbeveiligde Amazon S3-bucket aangetroffen.
Het gaat onder andere om meer dan een half miljoen gevoelige juridische en financiële documenten, zoals bankafschriften, kredietoverzichten, contracten, kopieën van rijbewijzen, belastingpapieren, bankgegevens, aankoopbewijzen, afschriften van creditcards en andere informatie.
De database was van de bedrijven Advantage Capital Funding en Argus Capital Funding, die kredieten en kortlopende leningen aan het mkb verstrekken. Nadat onderzoekers van vpnMentor de S3-bucket vonden hadden ze in eerste instantie geen idee wie de eigenaar was. Uiteindelijk kwamen ze uit bij Advantage en Argus. Beide bedrijven werden op 30 december gewaarschuwd, maar gaven geen reactie. Daarop werd Amazon zelf op 7 januari ingelicht, waarna de S3-bucket twee dagen later was beveiligd.
Alles bij de bron; Security
Een softwarebedrijf dat een app levert voor aanbieders op Amazon UK, eBay en Shopify heeft via een onbeveiligde database acht miljoen records met persoonlijke informatie van online shoppers gelekt.
De database was verkeerd door de beheerder geconfigureerd. In de database stonden onder andere klantnamen, e-mailadressen, afleveradressen, telefoonnummers, aankopen, betalingen, transactienummers en laatste vier cijfers van creditcardnummers. Het zou met name om data van Britse online shoppers gaan.
Na te zijn ingelicht werd de database binnen een uur gesloten. De naam van het bedrijf is niet bekendgemaakt.
Alles bij de bron; Security
Vpn-provider NordVPN heeft een kwetsbaarheid in de eigen website verholpen waardoor gegevens van klanten hadden kunnen lekken. Alleen het versturen van een HTTP POST request zonder authenticatie naar join.nordvpn.com was voldoende om van gebruikers e-mailadressen, betaalmethode, valuta, bedrag en aangeschafte producten te achterhalen.
De onderzoeker die het beveiligingslek ontdekte meldde dit op 4 december vorig jaar bij het beloningsplatform HackerOne. Twee dagen later rolde NordVPN een update uit en beloonde de onderzoeker met 1000 dollar voor zijn bugmelding.
Een woordvoerder laat tegenover The Register weten dat het hier om een geïsoleerd geval gaat dat alleen een handvol gebruikers had kunnen raken, vanwege de rate-limiting die was geïmplementeerd. "In theorie waren alleen e-mailadressen voor een derde partij zichtbaar geweest", aldus de woordvoerder.
Rond dezelfde tijd rapporteerde een andere onderzoeker dat NordVPN geen rate limiting bij het opvragen van wachtwoorden toepaste. Dit probleem verhielp NordVPN op 11 december.
Alles bij de bron; Security
Virgin Media heeft door een verkeerd geconfigureerde database de gegevens van 900.000 klanten gelekt. De database werd gebruikt voor het beheer van de gegevens van voormalige en huidige klanten in relatie tot bepaalde marketingactiviteiten.
Het ging om namen, adresgegevens, e-mailadressen, telefoonnummers, technische en productinformatie, waaronder verzoeken die klanten via webformulieren hadden verstuurd. In bepaalde gevallen ging het ook om geboortedatums.
De telecomprovider gaat alle getroffen klanten waarschuwen en heeft het datalek bij de Britse privacytoezichthouder ICO gemeld.
Alles bij de bron; Security
Gegevens van reizigers die gebruik maakten van gratis wifi op een aantal treinstations in het Verenigd Koninkrijk waren online in te zien via een onbeveiligde database. Dat meldt de BBC.
Het gaat in ieder geval om de treinstations Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich en London Bridge. In de database stonden de e-mailadressen van zo'n 10.000 verschillende gebruikers en nog 146 miljoen andere gegevens.
Wifi-provider C3UK heeft de database inmiddels offline gehaald.
Alles bij de bron; NU
Clearview is opnieuw in opspraak geraakt. Ditmaal wegens het lekken van klantgegevens. Volgens een brief die klanten van Clearview hebben ontvangen, heeft een ongeautoriseerde persoon toegang gekregen tot de door het bedrijf verzamelde data.
Het bedrijf struint het internet af op zoek naar afbeeldingen en persoonsgegevens en legt deze vast in een enorme database. Deze zou inmiddels al ruim drie miljard profielen bevatten. De meeste informatie komt van sociale media. Er zijn geen technische methodes waarmee de sociale media het ‘scrapen’ van informatie van gebruikers kunnen tegengaan.
Het bedrijf benadrukt dat er geen gegevens uit de database zijn gelekt. De ongeautoriseerde persoon kreeg alleen toegang tot een lijst met klanten, het aantal zoekopdrachten per klant en het aantal accounts per klant.
Alles bij de bron; BeveiligingsNieuws
Decathlon heeft te kampen met een enorm datalek, die gegevens van 123 miljoen gebruikers en werknemers blootlegt. Volgens onderzoekers van vpnMentor, is er meer dan 9GB aan data gelekt van een onbeveiligde ElasticSearch server.
De gelekte informatie, die met name betrekking heeft op het Spaanse deel van het bedrijf, werd op 12 februari ontdekt, op 16 februari werd Decathlon hierover geïnformeerd. Het bedrijf liet weten dat er de volgende dag een oplossing kwam en dat de server gerepareerd was.
De gelekte bestanden bevatten informatie over de werknemers, zoals hun gebruikersnamen, niet gecodeerde wachtwoorden, officiële e-mailadressen, contractinformatie, API logs en API toegangsgegevens. Maar ook persoonlijke, identificeerbare informatie zoals burgerservicenummers, nationaliteiten, mobiele telefoonnummers, volledige adressen en geboortedata van de werknemers. Niet gecodeerde logingegevens en privé IP-adressen die van de klanten zijn, kunnen ook worden gevonden in de gelekte database.
Alles bij de bron; TechRadar
Onderzoekers waarschuwen voor een beveiligingslek in een babyfoon van fabrikant iBaby waardoor een aanvaller toegang tot de camera kan krijgen en zo op afstand kan meekijken, opnames kan maken of muziek kan afspelen. Het probleem is aanwezig in de iBaby Monitor M6S, die ook in Nederland werd verkocht, en een beveiligingsupdate is niet beschikbaar.
De camera en achterliggende infrastructuur blijken verschillende kwetsbaarheden te bevatten Het eerste probleem wordt veroorzaakt door de manier waarop de iBabyCloud, waar gemaakte beelden worden opgeslagen, is geconfigureerd. Met de sleutel van één camera is het mogelijk om toegang tot opgeslagen beelden van alle andere camera's te krijgen. Een tweede probleem speelt bij de communicatieserver. Ook die is niet goed geconfigureerd waardoor een aanvaller informatie kan achterhalen waarmee hij toegang tot andere camera's kan krijgen.
Als laatste werd er een Indirect Object Reference (IDOR) kwetsbaarheid ontdekt waarmee een aanvaller gegevens van gebruikers kan achterhalen, zoals e-mailadressen, namen, locatie, profielfoto en loggegevens. De details zijn nu openbaar gemaakt (pdf).
Alles bij de bron; Security
Persoonlijke gegevens van zeker tachtigduizend passagiers van Transavia zijn mogelijk gestolen bij een datalek. Inbrekers hadden toegang tot een mailbox van het bedrijf. Daarin zat een bestand met de gegevens van 80.000 passagiers.
Het gaat om voor & achternamen en geboortedatums van passagiers die tussen 21 en 31 januari 2015 met de maatschappij hebben gevlogen.
De inbrekers zijn binnengekomen door een e-mailadres dat ergens is gelekt, in combinatie met een zwak wachtwoord, zegt een woordvoerder van het bedrijf. Volgens haar zijn er aanwijzingen dat de gegevens ook daadwerkelijk uit de mailbox zijn gestolen, en is er niet enkel toegang geweest.
Alles bij de bron; Tweakers