Databeveiliging & Dataverlies

De ontwikkelaars van contentmanagementsysteem (cms) Joomla hebben 2700 gebruikers gewaarschuwd voor een datalek met onversleutelde back-ups waarbij hun persoonlijke gegevens zijn gelekt. Het gaat om gebruikers met een account op de Joomla Resources Directory, waar partijen hun Joomla-gerelateerde diensten kunnen aanbieden. Joomla is een cms dat door meer dan 1,5 miljoen websites wordt gebruikt. Het datalek kwam na een interne website-audit aan het licht.

Bij het datalek waarover Joomla bericht werden onversleutelde back-ups van de JRD in de Amazon Web Services S3-bucket van een derde partij opgeslagen.

Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. De derde partij die de S3-bucket beheerde is eigendom van een voormalige teamleider van de Joomla Resources Directory en ten tijde van het datalek nog steeds lid van het JRD-team. Elke onversleutelde back-up bevatte een volledige kopie van de website. Het gaat onder andere om volledige naam, zakelijke adresgegevens, zakelijk e-mailadres, zakelijk telefoonnummer, bedrijfswebsite, gehasht wachtwoord, ip-adres en andere informatie van 2700 gebruikers die een JRD-account hadden. De derde partij waar de back-ups werden opgeslagen is gevraagd die te verwijderen.

Alles bij de bron; Security


 

Het UWV heeft vorig jaar meer dan 600 datalekken aan de Autoriteit Persoonsgegevens gemeld. Een jaar eerder waren het er nog 342. Dat laat de instantie in het jaarverslag over 2019 weten. Vorig jaar ontving het UWV 1657 signalen over datalekken. Van deze datalekken waren er 606 "meldenswaardig" en werden aan de Autoriteit Persoonsgegevens gerapporteerd.

Vorig jaar kreeg de instantie met twee grote datalekken te maken. Bij het eerste datalek werden via het account van een werkgever op Werk.nl 117.000 unieke cv's gedownload. Daarop zijn alle gedupeerden en de AP ingelicht en het betreffende account geblokkeerd. Tevens zijn alle wachtwoorden van werkgevers gereset en oude accounts opgeschoond. Ook zijn de processen rond de monitoring verbeterd.

Bij het tweede grote datalek had een UWV-medewerker bij een uitnodigingsmail een bijlage toegevoegd met persoonsgegevens van 586 klanten. De mail werd naar 99 klanten gestuurd. 

Ook de Sociale Verzekeringsbank (SVB) heeft vorig jaar meer datalekken bij de Autoriteit Persoonsgegevens gemeld. Werd er in 2018 nog 157 keer melding van een datalek bij de toezichthouder gemaakt, vorig jaar ging het om 512 datalekken. In de meeste gevallen ontstaan de datalekken bij het versturen van post. De SVB is verantwoordelijk voor de uitvoering van het AOW-pensioen, de kinderbijslag en enkele andere regelingen.

Na onderzoek door de Autoriteit Persoonsgegevens heeft de SVB de registratie van datalekken aangepast, zodat voortaan op een meer consequente wijze het soort datalekken en genomen maatregelen wordt bijgehouden. Tevens zijn er bewustwordingscampagnes onder medewerkers en leidinggevenden gehouden voor het voorkomen en rapporteren van datalekken bij de organisatie.

Van de 512 datalekken die de SVB vorig jaar bij de Autoriteit Persoonsgegevens meldde werden er 192 veroorzaakt bij het verzenden van de jaaropgaven. Het ging om een storing in een foutendetectiesysteem in de geautomatiseerde postverwerking bij de postverwerker van de SVB. Pas na de verzending werd ontdekt dat brieven gericht aan meerdere personen in één en dezelfde enveloppe terecht waren gekomen. Verder zorgden fouten in de adressering, meer brieven bij elkaar in één envelop bij handmatige verzendingen en het verwerken van stukken in verkeerde dossiers tot de nodige datalekken.

Beide instanties praten de toename goed met de motivatie 'het toegenomen bewustzijn onder medewerkers.' daarnaast claimt de SVB dat 'een stijgend privacy-bewustzijn van klanten ook leidt tot een toename van meldingen die de SVB ontvangt'

Alles bij de bron; Security [UWV] & Security [SVB]


 

Een kwetsbaarheid in de verplichte corona-app van Qatar maakte het mogelijk om toegang tot gevoelige persoonlijke gegevens van meer dan één miljoen gebruikers te krijgen. Het ging onder andere om naam, nationaal identiteitsnummer, gezondheidsstatus en locatiegegevens, zo meldt Amnesty International op basis van eigen onderzoek. 

Gegevens die de app verzamelt worden naar een centrale server van de overheid geüpload. Die gegevens waren echter voor iedereen op internet toegankelijk, aangezien er geen beveiligingsmaatregelen aanwezig waren om de data te beschermen, aldus Amnesty International. De Ehteraz-app laat via een qr-code de gezondheidsstatus van de gebruiker zien. De qr-code gebruikt een kleurensysteem om de gezondheid van de gebruiker aan te geven.

De qr-code wordt door de app bij de centrale server opgevraagd. Hiervoor maakt de app gebruik van het nationaal identiteitsnummer waarmee de gebruiker zich registreerde. Bij het opvragen van de qr-code vond er geen aanvullende authenticatie plaats. Hierdoor was het mogelijk voor een aanvaller om zich met een willekeurig identiteitsnummer te registreren en vervolgens de qr-code van de burger in kwestie op te vragen. Daar komt bij dat het nationaal identiteitsnummer van Qatar een consistent formaat volgt. Zodoende is het mogelijk om alle combinaties te genereren en daarmee de gegevens van de betreffende Ehteraz-gebruikers op te vragen die op de server waren verzameld.

Amnesty waarschuwde de autoriteiten in Qatar, waarna de namen en locatiegegevens uit de qr-code werden verwijderd.

Alles bij de bron; Security


 

Namen van 250 slachtoffers die vorige eeuw werden misbruikt en mishandeld in opvanghuizen die onder leiding stonden van de overheid, liefdadigheidsinstellingen en kerken zijn via een e-mailblunder openbaar geworden. 

Het Interim Advocate's Office, dat slachtoffers en overlevenden van het misbruik vertegenwoordigt, verstuurde afgelopen vrijdag een maandelijkse nieuwsbrief. Daarbij waren 250 namen van de geadresseerden voor andere ontvangers zichtbaar. Interim Advocate Brendan McAllister heeft excuses gemaakt voor het datalek en een onderzoek naar de oorzaak aangekondigd, zo melden de BBC en ITV. Inmiddels is ook de Britse privacytoezichthouder ICO over het datalek geïnformeerd.

Verschillende slachtoffergroepen hebben om zijn ontslag gevraagd, zo meldt The Irish Times. McAllister zegt zich over zijn positie te zullen beraden mocht blijken dat hij verantwoordelijk is voor het datalek.

Alles bij de bron; Security


 

AIS, de grootste mobiele aanbieder van Thailand, heeft een database offline gehaald die realtime miljarden internetgegevens van miljoenen Thaise internetgebruikers lekte. Dat schrijft beveiligingsonderzoeker Justin Paine maandag op zijn blog.

Paine zegt dat hij de database zonder wachtwoord op internet heeft gevonden. Met toegang tot deze database beweert hij dat iedereen "snel een beeld kan schetsen van wat een internetgebruiker (of het complete huishouden) op dat moment aan het doen is".

Op 13 mei waarschuwde Paine al voor de open database. Na een week niets te hebben gehoord, meldde hij de grote beveiligingslek bij ThaiCERT, het coördinatiecentrum voor de beveiliging van computersystemen in Thailand. Kort daarna werd de database ontoegankelijk.

Alles bij de bron; NU


 

Privégegevens van miljoenen gebruikers van de Wishbone-app zijn op internet verschenen. Het gaat onder andere om e-mailadres, gebruikersnaam, telefoonnummer, locatie, geslacht, authenticatietokens voor Facebook en Twitter, profielafbeeldingen en gehashte wachtwoorden.

Via de Wishbone-app kunnen gebruikers content op social media vergelijken en beoordelen, alsmede privéberichten met elkaar uitwisselen. Met name tieners en jongvolwassenen maken er gebruik van. In 2016 werd de app al een keer getroffen door een datalek. Nu zou Wishbone opnieuw slachtoffer van een datalek zijn. De gestolen data werd vervolgens op internet te koop aangeboden.

Eén van de partijen die de data te koop aanbood besloot die vervolgens gratis aan te bieden. Het zou volgens het bericht om data van 40 miljoen accounts gaan. Het is echter onduidelijk of dit aantal klopt. Volgens cijfers van Google is de Androidversie van de app meer dan 5 miljoen keer geïnstalleerd. 

Alles bij de bron; Security


 

Een databank waarop te zien is wie er besmet is het coronavirus, heeft voortaan een paswoord. 
 

Het Riziv nam die beslissing omdat te veel artsen uit nieuwsgierigheid gegevens opvroegen, zonder dat ze die informatie nodig hadden voor hun job. Het gaat om huisdokters die slechts zeer sporadisch actief zijn in de triageposten die tests afnemen. “Een ongewenst neveneffect”, luidt het bij het Riziv. De maatregel is sinds deze week van kracht.

Bron; HLN


 

Bij de dataroof bij EasyJet zijn ook de e-mailadressen en reisplannen van 200.000 Nederlandse klanten gestolen, vertelt een woordvoerder. Van 58 Nederlandse klanten zijn de creditcardgegevens gestolen.

EasyJet maakte dinsdag bekend dat de e-mailadressen en reisplannen van in totaal negen miljoen klanten gestolen zijn. Daarnaast wisten de daders de creditcardgegevens van in totaal 2.208 klanten in handen te krijgen.

Volgens de woordvoerder worden de getroffen Nederlandse klanten uiterlijk op 26 mei benaderd. EasyJet heeft al contact opgenomen met de Nederlandse klanten van wie creditcardgegevens zijn gestolen. "Ze hebben ondersteuning aangeboden gekregen", aldus de woordvoerder.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha