De afgelopen vijf jaar ontving de Autoriteit Persoonsgegevens (AP) meer dan 114.000 meldingen van datalekken, maar wat kunnen we daar nu precies van leren? Hoe ontstaan deze datalekken, wat kan er worden gedaan om ze te voorkomen en wanneer worden de meeste datalekken gemeld? Security.NL vroeg het Dennis Davrados, coördinator datalekken van de privacytoezichthouder...
...Bijna 88.000 van de 114.000 datalekmeldingen die sinds 2018 werden gedaan vallen in de categorie "Brief of postpakket met persoonsgegevens geopend retour ontvangen, kwijtgeraakt of verstuurd of afgegeven aan de verkeerde ontvanger(s)". Ook telde de AP duizenden datalekken als gevolg van e-mails waarbij de CC-optie in plaats van de BCC-optie werd gebruikt...
...Naast fouten bij het versturen van post en e-mails vinden er ook steeds meer datalekken via cyberaanvallen plaats. Vorig jaar waren het er meer dan achttienhonderd. Bij datalekken veroorzaakt door cyberaanvallen gaat het vaak om grote hoeveelheden gegevens. Davrados ziet in de categorie cyberaanvallen twee trends die opvallen: betrokkenheid van ict-leveranciers bij datalekken en diefstal van data bij ransomware-aanvallen.
Veel van de datalekken als gevolg van cyberaanvallen waren mogelijk doordat organisaties hadden nagelaten om basale beveiligingsmaatregelen te treffen, zoals het installeren van beschikbare beveiligingsupdates of het gebruik van multifactorauthenticatie en sterke wachtwoorden...
...Een ander aandachtspunt dat Davrados noemt is dataminimalisatie. "Iedereen kent het en denkt van 'logisch', maar toch zien we elke keer weer bij datalekken dat er data op schijven en systemen staat die allang verwijderd had moeten worden en dan toch wordt meegezogen in zo'n datalek. Zo wordt de omvang van zo'n datalek echt onnodig groot. Wij zeggen altijd 'data die je niet hebt kun je ook niet lekken', dus wees er alert op, dat je op zo min mogelijk data zit, want dat maakt de impact van een datalek kleiner."
Alles bij de bron; Security
Medewerkers van de GGzE konden vrijwel onbeperkt in de dossiers van cliënten kijken, terwijl dat tegen de regels is. Een cliënte kwam er zelfs achter dat 160 medewerkers haar dossier hadden ingezien. Dat gebeurde via het computersysteem 'User'.
De huidige raad van bestuur ontkent dat alle 2400 medewerkers toegang hebben tot de dossiers van alle cliënten. Wel erkent de raad dat het in enkele gevallen mis is gegaan.
De vrouw, wiens dossier werd ingezien door 160 medewerkers, kaartte het probleem in maart aan bij de GGzE. Toen werd het onderzocht, maar werd geconcludeerd dat niemand onrechtmatig in haar dossier had gekeken. Het is onduidelijk of het computersysteem toen ook getoetst is aan de wettelijke regels voor de bescherming van medische dossiers.
Alles bij de bron; Studio040
Begin deze maand waarschuwde Landal Greenparks al 12.000 gasten dat hun gegevens mogelijk openbaar gemaakt zouden worden. Criminelen wisten namelijk toegang te krijgen tot het MOVEit transfersysteem dat Landal gebruikt om gegevens uit te wisselen. De criminelen hebben daad bij woord gevoegd en inmiddels liggen persoonlijke gegevens van vele gasten van het park op straat.
Het gaat hierbij om namen, adresgegevens, geboortedata, e-mailadressen en reserveringsinformatie van voornamelijk Belgische, Duitse en Nederlandse mensen.
Alles bij de bron; Opgelicht!
Bij een ransomware-aanval op de Universiteit van Manchester is ook een dataset met de informatie van 1,1 miljoen patiënten van tweehonderd ziekenhuizen buitgemaakt, zo meldt de Britse krant The Independent. De universiteit werd eerder deze maand het slachtoffer van een "cyberincident".
Laatst ontvingen studenten al een e-mail van de aanvallers dat de gestolen gegevens openbaar gemaakt zouden worden als de universiteit het gevraagde losgeld niet betaalde.
Nu stelt The Independent dat ook informatie van traumapatiënten en mensen behandeld na terreuraanvallen, wat voor onderzoeksdoeleinden door de universiteit was verzameld, is gestolen. Uit documenten waar de Britse krant over zegt te beschikken blijkt dat de aanvallers toegang tot de back-upservers hadden. Bij de aanval zou 250 gigabyte aan data zijn buitgemaakt.
Alles bij de bron; Security
Bij een malware-aanval op het bedrijf die eind vorig jaar plaatsvond zijn de persoonsgegevens van 28.000 medewerkers gestolen, zo is bekendgemaakt.
Op 10 januari ontdekte het bedrijf ongeautoriseerde activiteit op de it-systemen. Verder onderzoek wees uit dat een aanvaller de systemen op of rond 23 december vorig jaar met malware had geïnfecteerd en gegevens had gedownload.
Het gaat om naam, adresgegevens, e-mailadres, rekeninggegevens, waaronder een beperkt aantal wachtwoorden, pincodes of andere toegangsgegevens, identificatienummers, zoals die van rijbewijs en identiteitskaart, social-securitynummers, paspoortinformatie, digitale handtekening en informatie die betrekking heeft op het dienstverband, zoals beperkte medische geschiedenis en gezondheidsclaims.
Het datalek werd eerder dit jaar al gemeld, maar in een datalekmelding aan de procureur-generaal van de staat Maine laat het bedrijf weten dat het om 28.000 personen gaat. Een aantal dat in eerste instantie nog niet bekend was.
Alles bij de bron; Security
Datalekken in de zorgsector in Nederland blijven toenemen. De Autoriteit Persoonsgegevens (AP) heeft recentelijk aangegeven dat Nederlandse burgers ervan uit moeten gaan dat hun persoonlijke gegevens waarschijnlijk al gelekt zijn of in de toekomst zullen worden gelekt.
Nieuw onderzoek van SOTI, Digitale transformatie in de gezondheidszorg: Het belang van het integreren van nieuwe technologieën, benadrukt de omvang van de beveiligingsrisico’s: 96% van de Nederlandse zorgverleners in de eerstelijnszorg heeft sinds 2021 te maken gehad met ten minste één datalek.
De resultaten van SOTI’s onderzoek onthullen dat een opmerkelijke 41% van de organisaties sinds 2021 te maken heeft gehad met een datalek door een externe bron. Ook steeg het aantal datalekken door medewerkers met 53%. Dit leidde tot een stijging van het totale aantal datalekken door werknemers, waarbij bijna alle organisaties (96%) in de gezondheidszorg op zijn minst een datalek hebben ervaren in het laatste jaar.
Alles bij de bron; Emerce
UPS Canada heeft klanten gewaarschuwd voor een datalek nadat criminelen gestolen klantgegevens voor sms-phishing gebruikten.
Volgens UPS is er misbruik gemaakt van de online tool waarmee klanten informatie over hun pakketten kunnen opzoeken. Het bleek echter ook mogelijk om informatie over de bezorging van pakketten van andere personen op te vragen en zo hun telefoonnummer te achterhalen. Die informatie zou vervolgens voor "smishing-aanvallen" zijn gebruikt. Na ontdekking hiervan zegt UPS maatregelen te hebben genomen om toegang tot de informatie te beperken.
De manier waarop UPS klanten informeerde zorgde echter voor felle kritiek. Het transportbedrijf stuurde getroffen klanten namelijk een brief over phishing en smishing. Pas in de vierde paragraaf van de brief wordt echter duidelijk gemaakt dat het om een datalek gaat.
"Dit is niet hoe een datalekmelding eruit hoort te zien. Ze zouden meteen duidelijk moeten maken wat ze zijn, anders zullen mensen doen wat ik bijna deed, ze namelijk ongelezen weggooien", zegt Brett Callow, beveiligingsonderzoeker van antivirusbedrijf Emsisoft, die de brief via Twitter deelde.
Alles bij de bron; Security
Een database met gebruikersgegevens van het Shell Recharge-laadpalennetwerk was zonder wachtwoord online toegankelijk. Het gaat om een interne database van bijna een terabyte aan klantengegevens.
Het datalek werd ontdekt door onderzoeker Anurag Sen en onder meer TechCrunch heeft de gegevens in kunnen zien; er zouden miljoenen datapunten in de database zitten, waaronder namen, e-mailadressen, telefoonnummers en voertuigidentificatienummers van klanten van Shell Recharge. Ook data over residentiële privélaadpunten zou in de dataset te vinden zijn geweest.
De gegevens werden gehost in een cloudomgeving van Amazon en werden volgens de bronnen niet beveiligd met een wachtwoord. TechCrunch zegt dat de recentste gegevens in 2023 aan de database werden toegevoegd. Onderzoeker Sen meldde de mogelijkheid tot onbevoegde toegang bij Shell, maar kreeg daar geen antwoord op. Ook TechCrunch meldde dit, waarna de data al snel ontoegankelijk werd gemaakt.
Alles bij de bron; Tweakers
De afgelopen jaren ontving de Autoriteit Persoonsgegevens (AP) meer dan 114.000 datalekmeldingen, maar er zijn verschillende maatregelen die mensen kunnen nemen om vooraf de schade te voorkomen, zoals het gebruik van de KopieID-app en het niet verstrekken van gegevens die bedrijven niet echt nodig hebben om een dienst aan te bieden. Dat meldt de AP in de vandaag verschenen datalekrapportage over 2022.
Alles bij de bron; Security
Gigabyte heeft bios-updates uitgebracht om een 'backdoor' van allerlei moederborden te verwijderen. Eind mei stelde securitybedrijf Eclypsium dat er in een groot aantal modellen moederborden van Gigabyte een backdoor aanwezig is waardoor een aanvaller systemen met malware kan infecteren.
De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om de update-service die onderdeel van het Gigabyte App Center is, een programma voor het updaten van apps, drivers en bios.
Afhankelijk van de configuratie gebeurt het downloaden van de code via het onversleutelde HTTP. maar een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen.
Zo'n 270 modellen moederborden hebben volgens Eclypsium met het probleem te maken.
Alles bij de bron; Security