Databeveiliging & Dataverlies

Veel overheidsinstanties hebben hun privacyregister van verwerkingsactiviteiten niet op orde. En dat terwijl de nieuwe Europese privacyregels gemakkelijke inzage in persoonsgegevensverwerking verplicht stellen. De burger moet vaak moeite doen te achterhalen hoe overheden welke gegevens gebruiken.

Dat concluderen onderzoekers van de Open State Foundation, die pleiten voor gestandaardiseerde registers voor overheden. Zij onderzochten de beschikbaarheid en kwaliteit van verwerkingsregisters van alle Nederlandse ministeries, provincies en gemeenten. Van de 379 overheden ontving de stichting 246 registers. Bijna een kwart (89) daarvan stond gewoon online en de rest bemachtigde de organisatie na informatieverzoeken.

63 procent van de ontvangen registers blijkt incompleet. Er ontbreken een of meerdere wettelijk verplichte kolommen. Daarnaast staat in 83 procent van de registers informatie die niet verplicht is. Ze worden bovendien in uiteenlopende bestandsformaten gepubliceerd.

Alles bij de bron; Computable



 

Kan een ambtenaar persoonlijk verantwoordelijk worden gesteld op het veroorzaken van een datalek, waarna er volgens het college van B en W geen melding hoeft te worden gemaakt bij de Autoriteit Persoonsgegevens?

Dat vraagt de PvdA in de Asser gemeenteraad zich af. Nadat bekend was geworden dat er in maart van dit jaar een groot datalek was geweest bij de gemeente Assen – waarbij 530 persoonsgegevens na een foutief verstuurde e-mail in verkeerde handen terecht waren gekomen – meldden de sociaaldemocraten dat er daarna nóg een datalek bij de gemeente was geweest.  

Het betrof hier privacygevoelige gegevens, die eveneens vanuit het stadhuis waren verzonden naar een verkeerde ontvanger. Het ging deze keer om medische gegevens en persoonsgegevens. Het eerste voorval was wel gemeld bij Autoriteit Persoonsgegevens, het tweede niet, aldus het college. Volgens B en W hoefde dat niet, omdat de betrokken ambtenaar die de mail verzond persoonlijk als schuldige werd aangemerkt.

‘Het college heeft geconcludeerd dat de opsteller van de mail deze zelf heeft geadresseerd. B en W trekken vervolgens de conclusie dat het daarom niet is te kwalificeren als datalek van de gemeente Assen. Maar is het niet zo, dat een ambtenaar zijn werk verricht námens de gemeente? En dat die een mail niet op persoonlijke titel verzend, maar námens de gemeente? Op welk moment kan een ambtenaar persoonlijk worden aangesproken op zijn werk, waar ligt de verantwoordelijkheid? Kortom, wat ligt eraan ten grondslag dit niet te melden bij de Autoriteit Persoonsgegevens?’

Rengers verwijst vervolgens nog maar eens naar het rapport van de Rekenkamercommissie, die na onderzoek naar de beveiliging van informatie in het gemeentehuis kenbaar maakte dat dit in veel gevallen ‘zo lek als een mandje’ was. En dat er echt iets moest gebeuren om die informatie beter te beschermen. Rengers vraagt zich af wat er met die aanbeveling is  gedaan.

Alles bij de bron; AsserCourant


 

Onder meer accountnummers, wachtwoorden en een lijst met prominente Australische klanten van Symantec lekte uit. Daarnaast zijn namen van accountmanagers en accountnummers uitgelekt.

Het lek vond in februari plaats in een Australische demolab van Sophos. Het lek werd door Symantec niet gemeld bij de Australische toezichthouder of in de openbaarheid gebracht. 

Het datalek vond plaats nadat aanvallers wisten door te dringen tot Symantec accounts van een aantal grote Australische bedrijven en overheidsinstellingen. Guardian Australia meldt dat de aanvallers achter deze aanval ook betrokken zijn geweest bij de diefstal van data rond het Australische Medicare-programma. Deze data is later op het darknet te koop aangeboden.

Alles bij de bron; DutchIT


 

Twee studenten van de opleiding Security & Network Engineering aan de UvA hebben een datalek in het Student Informatie Systeem van de universiteit ontdekt. Via het inmiddels gedichte lek konden ze de cijfers van alle 34.000 studenten inzien.

Via het Student Informatie Systeem (SIS) worden vakinschrijvingen, studievoortgang, cijfers, betalingsstatussen en andere belangrijke zaken van studenten geregeld. Studenten die op het SIS waren ingelogd konden door het veranderen van een studentnummer en vaknummer in de URL en het uitschakelen van JavaScript de cijfers van medestudenten inzien. Door het uitschakelen van JavaScript werd de controle uitgeschakeld die keek of de opgevraagde cijfers ook daadwerkelijk van de ingelogde gebruiker waren. In het geval JavaScript wel stond ingeschakeld werd de gebruiker doorgestuurd naar een pagina met een foutmelding.

Bovendien was het zo dat er, als het studentnummer niet werd ingevuld, een overzicht van alle studentnummers verscheen en dat er bij het leeg laten van de vakcode een lijst met alle vakcodes zichtbaar werd. De ontdekkers gaan ervan uit dat de gegevens geautomatiseerd te scrapen waren, omdat het om het simpelweg aanpassen van de url ging.

Alles bij de bronnen; Security & Tweakers


 

Volgens beveiligingsbedrijf Digital Shadows zijn maar liefst 2,3 miljard databestanden gelekt sinds de invoering van de Europese privacywet GDPR. In de bestanden staan onder meer inloggegevens voor zakelijke IT-systemen, paspoortgegevens van klanten, bankgegevens en medische informatie. 

Het aantal gelekte bestanden is daarmee met ruim 50 procent gestegen in een jaar tijd, schrijft Computer Weekly. Ongeveer de helft van de lekken verliep via de server message block (SMB) protocol, aldus het beveiligingsbedrijf. Maar ook andere technologieën werden verkeerd geconfigureerd, wat voor problemen zorgden. Zo was 20 procent van de lekken het gevolg van FTP-diensten, 16 procent van rsync-sites, 8 procent van Amazon S3 cloud-opslag buckets en 3 procent van NAS-apparaten.

Alles bij de bron; TechZine


 

Een server die niet met een wachtwoord was beveiligd, heeft de persoonlijke gegevens van 56,9 miljoen Amerikanen gelekt. In de meeste gevallen ging het om voor- en achternamen, e-mailadressen, adressen, postcodes, telefoonnummers en IP-adressen, meldt ZDNet. De server bevatte meerdere databases voor in totaal 73 GB aan data.

Ook de gegevens van bijna 26 miljoen bedrijven stonden online. deze database bevatte bestanden met bedrijfsgegevens, onder meer namen, telefoonnummers, e-mailadressen en informatie over het aantal werknemers en de omzet, zegt de onderzoeker die de server heeft ontdekt tegen ZDNet. Een Canadees bedrijf dat de server vermoedelijk beheerde, wilde niet op vragen reageren.

Alles bij de bron; NU


Accountants hebben persoonlijke gegevens en belastingaangiften van oud-cliënten kunnen inzien door een datalek bij De Belastingdienst. Het lek werd bij toeval ontdekt. Dat schrijft de Volkskrant die met de accountant uit Rotterdam heeft gesproken. Volgens de krant waren de gegevens van de oud-cliënten maandenlang te zien. 

De fout werd bij toeval door de accountant ontdekt. Toen hij bezig was met de belastingaangiftes van een van zijn cliënten van wie hij een machtiging had en op de terug-knop klikte, kwam hij bij een lijstje terecht met verschillende klanten. Daartussen zaten ook cliënten van wie de machtiging inmiddels was verlopen. Hij kon de strikt persoonlijke gegevens van hen inzien. 'Als ik kwaad zou willen zou ik dus de aangiften waar ik geen toegang tot mag hebben, kunnen aanpassen', aldus de accountant.  

De fout komt alleen voor in de browser Edge van Microsoft. Bij andere browsers, zoals Google Chrome, krijg je een foutmelding. De Belastingdienst erkent het lek en heeft de fout deze week hersteld.

Alles bij de bron; RTL


 

Grote techbedrijven trekken samen op tegen de Britse geheime dienst GCHQ. Die inlichtingendienst pleit ervoor om via een omweg toch mee te kunnen lezen met versleutelde berichten.

"Dat is een bedreiging voor de cyberveiligheid en fundamentele mensenrechten", zeggen tegenstanders van het GCHQ-plan in een open brief. Die is ondertekend door onder meer Google, Apple, Microsoft en Whatsapp, een dochterbedrijf van Facebook. De brief is een reactie op een voorstel van de Britse geheime dienst om toch mee te kunnen lezen met berichten die worden verstuurd via diensten met end-to-end-encryptie.

De bedrijven publiceerden de open brief aan de Britse geheime dienst op het blog Lawfare. De techreuzen staan niet alleen in hun kritiek, want de brief is mede-ondertekend door 47 tegenstanders, waaronder ook wetenschappers en belangenorganisaties.

Alles bij de bron; RTLZ



 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha