Databeveiliging & Dataverlies

Een kritiek beveiligingslek bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen, zoals gebruikersnaam, naam, e-mailadres, telefoonnummers, adresgegevens, registratiedatum, land en het systeem waarmee er werd geregistreerd. Starbucks heeft de kwetsbaarheid inmiddels verholpen.

Alles bij de bron; Security


 

Op internet zijn gigabytes aan gestolen data van meer dan tweehonderd Amerikaanse politiekorpsen verschenen. Het gaat om honderdduizenden documenten met namen van agenten, e-mailadressen, e-mails, telefoonnummers, afbeeldingen, rapporten, handleidingen, videobestanden, spreadsheets en afbeeldingen van verdachten.

De data werd gestolen bij een hostingprovider die verschillende portalen host waar opsporingsdiensten data uitwisselen. Vervolgens werden de gegevens gepubliceerd door "Distributed Denial of Secrets", dat door sommigen een "alternatief voor WikiLeak" wordt genoemd.

De National Fusion Center Association (NFCA) heeft het datalek in een recent verstuurde waarschuwing bevestigd, zo meldt it-journalist Brian Krebs. Fusion centers zijn door de Amerikaanse overheid aangestuurde centra die politie-informatie verzamelen en onder andere instanties en opsporingsdiensten delen. De gestolen data gaat terug tot 1996.

Alles bij de bron; Security


 

Juridische vraag: Deze vraag krijg ik in vele varianten, daarom een algemeen antwoord vandaag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vul maar in] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Antwoord: Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. 

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. 

Alles bij de bron; Security


 

De namen, adressen, telefoonnummers en wachtwoorden van honderdduizenden klanten van maaltijdbezorger Foodora zijn gelekt. Onder de 50.000 gelekte gegevens van Nederlandse klanten bevinden zich in ieder geval 22.000 versleutelde wachtwoorden, zegt Gevers. In een aantal gevallen zouden die ook te kraken zijn.

Het gaat in ieder geval om de persoonlijke gegevens van klanten die sinds 2016 via de dienst eten hebben laten bezorgen, bevestigt moederbedrijf Delivery Hero. Destijds was Foodora ook actief in Nederland. Het merk verdween uit het straatbeeld nadat het Delivery Hero in 2018 niet lukte om een koper voor de Nederlandse tak te vinden.

Alles bij de bron; NU


 

Een hacker heeft toegang weten te krijgen tot de e-mailbox van het Centrum voor Jeugd en Gezin (CJG) Rijnmond. Op die manier had hij toegang tot e-mailverkeer met duizenden cliënten, bevestigt woordvoerder Mariska Briët. 

Om welke gevoelige informatie het gaat, hangt af van het e-mailverkeer dat cliënten met het CJG Rijnmond hebben gehad. "Dat gaat soms om een naam, soms om een adres en soms om een BSN", schetst de woordvoerder de situatie.

Uit onderzoek van een computerbeveiligingsbedrijf komt naar boven dat de hacker niet verder in de systemen is gekomen dan de e-mailbox, aldus Briët. "Daaruit is gebleken dat er geen toegang is geweest tot cliëntendossiers." Ook is er "geen activiteit" meer waargenomen nadat het CJG Rijnmond ontdekte dat een onbevoegde toegang had tot de mailbox. 

Aan de betrokkenen is een brief gestuurd waarin het CJG hen waarschuwt dat de persoonlijke informatie van cliënten misbruikt kan worden. Informatie zoals namen en BSN's zijn gevoelig voor bijvoorbeeld identiteitsfraude.

De hacker wist toegang te krijgen tot de e-mailbox via een phishingmail naar enkele medewerkers. Nadat een medewerker op een malafide link had geklikt, kon de onbevoegde in het systeem.

Alles bij de bron; NU


 

Het bedrijf Formdesk wist van het beveiligingslek in de Infectieradar die het bedrijf ontwikkelde voor het RIVM, liet minister de Jonge dinsdag aan de Tweede Kamer weten. In een reactie zegt het bedrijf "werkelijk geen idee" te hebben waar de minister dit op baseert.

Zaterdag werd bekend dat de Infectieradar, waarmee mensen hun ziekteverschijnselen rond het coronavirus kunnen doorgeven aan het RIVM, een lek bevatte. Door het webadres aan te passen, kon iemand inzicht krijgen in de gegevens die een ander had ingevuld.  

"Bij het ontwikkelen van die site zijn juist wel veiligheidschecks gedaan, waarbij ook dit (specifieke lek, red.) als een van de veiligheidsrisico's in beeld is gekomen", zei De Jonge over wat er op dit moment over het lek bekend is. "Vervolgens is daar ook een oplossing voor aangedragen die Formdesk moest doorvoeren. Deels is dat overgenomen en deels niet", aldus De Jonge. "Zo gaan de dingen soms. Menselijke fouten zijn menselijk."

Marco Beuk van Formdesk laat in een reactie weten verbaasd te zijn over het verhaal van De Jonge. Volgens hem is de kwetsbaarheid niet eerder aan het licht gekomen en dus ook niet aan Formdesk teruggekoppeld. "Ik heb werkelijk geen idee waar de minister het over heeft", zegt hij over de verklaring van de minister.

De onderzoeker en de journalist die het lek hebben ontdekt en gemeld hadden toegang tot de formulieren van 49 personen. Deze mensen zijn daarvan op de hoogte gesteld.

Alles bij de bron; NU


 

De Infectieradar van het RIVM, waar Nederlanders aan kunnen geven of ze last hebben van coronaklachten, bevatte een ernstig datalek. Dat blijkt zaterdag uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. Het RIVM heeft de database uit de lucht gehaald.

Volgens de NOS kon "iedereen met enige technische vaardigheid tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen".

Deelnemers aan de Infectieradar vullen wekelijks een formulier in waarbij ze aangeven welke klachten ze hebben. Hiermee kan het RIVM volgen hoe gezondheidsklachten verspreid zijn in Nederland en hoe zich dat ontwikkelt in de tijd.

Deelnemers aan de Infectieradar krijgen een uniek nummer toegewezen. Bij het invullen van het formulier was dat nummer te zien in de adresbalk. Wie het nummer veranderde, kreeg een formulier te zien van een andere deelnemer. Onder meer e-mailadres, geboortejaar en postcodecijfers waren dan zichtbaar.

Het lek bestond al sinds de introductie van Infectieradar op 17 maart.

Alles bij de bron; NU


 

Gegevens van mensen die tussen 2009 en 2017 een Porsche hebben gekocht zijn buitgemaakt bij de diefstal van een USB-stick. Dat bevestigt Pon nadat er naar gedupeerde klanten een mail is gestuurd. Een USB-stick met NAW-gegevens (inclusief telefoonnummer en/of mailadres) werd gestolen ’uit een beveiligde ruimte in een van onze kantoren’, zo schrijft het concern in een statement...

...ICT-advocaat bij Lawfox Wouter Dammers laat weten dat het niet uitzonderlijk is dat gevoelige data op usb-sticks wordt bewaard. „Erg handig vind ik dat niet”, laat hij weten. „Een USB-stick kan je makkelijk kwijtraken, zeker als de informatie die erop staat onversleuteld is, is dat niet ideaal. Zeker als het onversleuteld is, is dit niet handig.”

Alles bij de bron; Telegraaf


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha