Een database die beweert het Aadhaar-nummer, paspoortnummer en andere persoonlijke gegevens van 815 miljoen Indiërs te bevatten, staat sinds 9 oktober te koop op BreachForums .
“Om deze slachtoffergroep in perspectief te plaatsen: de totale bevolking van India telt iets meer dan 1,486 miljard mensen”, merkte cyberbeveiligingsbedrijf Resecurity op in zijn blogpost , waarbij hij benadrukte dat dit de grootste datalek van persoonlijke gegevens in het land zou kunnen zijn. In de verkeerde handen kunnen deze gegevens worden gebruikt voor digitale identiteitsdiefstal, wat verder kan resulteren in andere cybercriminaliteit, zoals bankfraude.
Onderzoekers van Resecurity legden contact met de hacker die de database verkocht en kwamen erachter dat ze bereid waren deze voor $ 80.000 te verkopen. De hacker deelde ook spreadsheets met daarin vier grote lekmonsters met fragmenten van Aadhaar-gegevens als bewijs.
Het Resecurity-team kon geldige Aadhaar-ID's in de monsters identificeren door deze te vergelijken met de functie Verify Aadhaar van UIDAI . De authenticiteit van de gehele database is echter niet geverifieerd.
Het is nog niet duidelijk waar deze database vandaan lekte. Sommige mediakanalen hebben het lek toegeschreven aan de Indian Council of Medical Research (ICMR), maar ICMR heeft dit niet bevestigd. De Times of India meldde dat de regering dit lek onderzoekt.
Alles bij de bron; Medianama [via Security & googliaans vertaald]
Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.
Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory.
Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.
...Hackers zijn er in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.
Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.
Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.
....Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.
Alles bij de bron; TechZine
Privégegevens van ggz-patiënten die een privacyverklaring hebben ondertekend dat ze hun gegevens niet willen delen zijn door een softwarefout toch gedeeld, zo heeft demissionair minister Helder voor Langdurige Zorg laten weten (pdf). Psychiaters en psychologen zijn sinds 1 juli door de NZa verplicht om informatie over iedere patiënt aan te leveren. Het gaat daarbij om zeer vertrouwelijke informatie.
Gegevens worden standaard verzameld en patiënten moeten actief bezwaar tegen de dataverzameling maken.
Hierdoor wordt echter niet alleen het delen van gegevens met de NZa stopgezet, maar ook het delen van gegevens met de desbetreffende zorgverzekeraar. Dijk wilde uitleg waarom er geen aparte privacyverklaring is ontwikkeld die alleen over het delen van gegevens met de NZa gaat.
Volgens Helder heeft de NZa dit onderzocht. ".... De partijen die de ict-systemen van zorgaanbieders verzorgen gaven in dit kader aan de NZa aan dat het onmogelijk was deze splitsing (tijdig) gerealiseerd te krijgen."
Daarnaast blijkt dat gegevens van patiënten die een privacyverklaring hadden getekend toch zijn gedeeld. Eén systeem waar zorgverleners gebruik van maken gaf door 'een probleem in de programmatuur' aan dat er geen privacyverklaring was ondertekend, terwijl dit wel het geval was. De NZa ontving van vijf zorgaanbieders een melding dat dit probleem zich bij hen had voorgedaan.
Helder stelt dat de toezichthouder alle bestanden waarin deze fout zat heeft verwijderd en de zorgaanbieders heeft gevraagd om deze opnieuw aan te leveren met gecorrigeerde gegevens. De minister merkt op dat de NZa heeft onderzocht of dit soort situaties met extra automatische of menselijke interventies voorkomen kunnen worden. "Dit blijkt helaas niet het geval volgens de NZa, omdat de fout zit in de ict-systemen waaruit de bestanden worden aangeleverd."
Alles bij de bron; Security
Casio heeft van klanten in 149 landen de persoonlijke gegevens gelekt. Het gaat om naam, e-mailadres, land, bestelgegevens en gebruiksinformatie, zoals logdata en nicknames. Volgens Casio wisten aanvallers toegang te krijgen tot een database van een online wiskundetool.
Uit onderzoek blijkt dat de datadiefstal mogelijk was doordat de netwerkbeveiliging van de ontwikkelomgeving als gevolg van een 'operationele fout' was uitgeschakeld.
De fabrikant stelt dat bijna 92.000 'items' van Japanse klanten zijn buitgemaakt, alsmede 1100 onderwijsinstellingen die klant zijn. Daarnaast zijn van klanten in 148 andere landen en regio's 35.000 items gestolen.
Alles bij de bron; Security
Een aanvaller die begin deze maand de gegevens van miljoenen gebruikers van dna-testbedrijf 23andMe lekte heeft opnieuw gebruikersdata gepubliceerd. Dit keer zou het om een dataset gaan met genetische informatie van vier miljoen mensen afkomstig uit Groot-Brittannië, aldus de aankondiging.
TechCrunch stelt dat het een deel van de nieuw gelekte data kon matchen met openbare informatie van 23andMe-gebruikers.
Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Alles bij de bron; Security
Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde.
CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen.
Het besturingssysteem draait op switches en routers van het bedrijf. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt.
Het securitybedrijf VulnCheck heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt.
Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen.
Alles bij de bron; Security
Bioscoopketen Vue heeft klanten gewaarschuwd voor een datalek in de webomgeving waarbij mogelijk persoonsgegevens zijn getroffen.
Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens. Afgelopen zomer meldde RTL Nieuws op basis van een tip van een ethisch hacker dat Vue de privégegevens van honderdduizenden klanten lekte.
Via een kwetsbaarheid in de website kon de broncode worden ingezien. Via de broncode werd informatie gevonden die toegang gaf tot de database van de bioscoopketen en de dienst die de betalingen verwerkt. Daarnaast bleek de website kwetsbaar voor SQL-injection.
Getroffen klanten hebben vandaag een e-mail ontvangen waarin Vue waarschuwt dat hun gegevens mogelijk zijn getroffen. Wat betreft de gebruikte kwetsbaarheden zijn die inmiddels verholpen. "Ook hebben wij extra beveiligingsverbeteringen doorgevoerd bij onze website en app, en extra beveiligingscontroles en monitoring geïmplementeerd", zo laat Vue verder weten.
Alles bij de bron; Security
Een ethisch hacker waarschuwde het openbaar vervoersbedrijf Arriva vorige week voor een datalek in het contactformulier op de Arriva-website. De hacker kon daardoor alles zien wat 195.000 mensen op het formulier hadden ingevuld. Arriva vroeg in het formulier niet alleen naar de voornaam, achternaam en het e-mailadres. Maar ook om bijvoorbeeld het telefoonnummer en de geboortedatum.
Beleidsadviseur Rejo Zenger van privacyorganisatie Bits of Freedom; "Ik snap niet dat bedrijven zoveel gegevens vragen. Dat betekent dat je ook meer gegevens moet beschermen."
"Een bedrijf heeft jouw geboortedatum, geslacht, foto, socialemedia-accounts of wat voor andere persoonsgegevens in principe niet nodig voor het doel van een contactformulier", zegt Schenkel van de AP. Het bedrijf mag die gegevens dan ook niet opvragen. Behalve als het een goede of logische reden heeft om die gegevens aan je te vragen.
Als je verplicht wordt om op een website meer gegevens in te vullen dan in jouw ogen nodig is, dan kun je daar volgens Zenger op twee manieren mee omgaan. "Je kunt kijken of je het bedrijf kunt bellen. In dat geval bepaal je zelf welke gegevens je verstrekt."
Anders kun je bewust foutieve informatie invullen. Zenger: "Als ik een handleiding van een product opvraag bij een bedrijf, hebben ze in mijn ogen mijn telefoonnummer of geboortedatum niet nodig. Als die wel worden gevraagd, vul ik daar iets willekeurigs in."
Alles bij de bron; NU
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Van een oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt. Hij eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wilde daar niet in mee gaan. Wel kreeg hij een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen. Daarop spande hij een rechtszaak aan.
De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren.
De rechter merkt op dat de hogeschool slecht gereageerd heeft op de klacht van de student dat het webformulier verouderd was en er geen sprake van een passende technische maatregel is, zoals de AVG vereist. Hierop stelde de hogeschool dat het formulier sinds 2018 online staat en niet eerder is gecompromitteerd.
De oud-student eiste een vergoeding wegens immateriële schade. Volgens de rechter heeft het lekken van de persoonsgegevens van de oud-student niet tot schade geleid. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf zeer zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was.
Gezien het feit dat het om gevoelige medische gegevens gaat, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van driehonderd euro uit.
Alles bij de bron; Security
De Technische Universiteit Eindhoven heeft een 1,3 uit de vijf mogelijke punten gekregen voor de omgang op de universiteit met de privacyregels. Dat blijkt het het rapport van de Functionaris Gegevensbescherming.
Het rapport over 2022 werd dinsdagmiddag behandeld door de universiteitsraad.
Volgens Functionaris Gegevensbescherming (FG) ontbreekt het vooral aan volwassenheid in de omgang met data. De FG ziet ook positieve punten, zoals bewustzijn rond privacyregels. Gehoopt wordt dan ook dat dat leidt tot een echt ‘privacy-cultuur’ op de universiteit. Ook ziet de FG dat steeds vaker de goede raad van privacy-professionals wordt gevraagd, maar niettemin wordt nog altijd onvoldoende gehoor gegeven aan privacywetgeving.
Ook wordt in het rapport teruggekeken naar het grote datalek van campuskaarten van de universiteit. “Hoewel de universiteit dit datalek correct heeft afgehandeld, bleek de verwerking tussen de TU/e en ID-Ware zelf niet in overeenstemming met de AVG. Door het lage volwassenheidsniveau van de TU/e was de omvang van het incident zo excessief”, aldus de FG.
De universiteit wil eind 2025 de omgang met privacyregels hebben verbeterd, tegen die tijd moet de universiteit drie van de vijf punten weten te behalen.
Alles bij de bron; Studio040