Databeveiliging & Dataverlies

Beveiligingsonderzoeker Dennis Baaten ontdekte in september een kwetsbaarheid op webshopplatform Mijnwebshoppartner

De website gebruikte oplopende klantnummers die Baaten kon opvragen via de url. Hij kreeg dan namen, adressen en contactinformatie te zien van gebruikers. Het ging bij dat laatste om e-mailadressen en telefoonnummers. Ook waren in sommige gevallen bedrijfsnamen, KvK-nummers en btw-nummers te zien die tot voor kort waren gebaseerd op hun burgerservicenummer.

Baaten zegt dat het klantbestand op die manier eenvoudig geautomatiseerd te downloaden was. In totaal stonden er 7232 klanten in de database, die verdeeld stonden over vier webshops. Baaten zocht contact met het bedrijf en gaf het datalek via een responsible disclosure-procedure door. Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.  

Of het probleem voor alle webshops die onder Mijnwebshoppartner vallen is opgelost weet hij niet. "Mogelijk zijn er nog meer webshops die op dit platform draaien die ik niet heb gevonden. Dan zou het probleem nog groter in omvang zijn", zegt hij.

Alles bij de bron; Tweakers


 

Een phishingaanval die eerder dit jaar plaatsvond heeft voor een datalek bij de gemeente Bergen op Zoom gezorgd, zo laat het college van burgemeester en wethouders in een brief aan de gemeenteraad weten. Via een phishingmail wisten aanvallers toegang tot de mailboxen van in totaal negen medewerkers te krijgen.

Uit nader onderzoek blijkt dat de aanvallers mogelijk toegang hebben gehad tot de inhoud van de mailboxen en andere bestanden met persoonsgegevens. "We kunnen niet met zekerheid vaststellen dat er toegang is geweest tot de persoonsgegevens ... We moeten dan ook uitgaan van een risico op mogelijk misbruik van gegevens, bijvoorbeeld voor identiteitsfraude", zo laat de brief weten.

Volgens het college zijn de meeste personen van wie persoonsgegevens in de mailboxen stonden achterhaald. Het gaat in totaal om zo'n vierhonderd personen die bijvoorbeeld hun cv naar de gemeente mailden en klantgegevens die per e-mail zijn uitgewisseld, zij hebben een persoonlijke brief van de gemeente ontvangen. Tevens is de kans aanwezig dat de aanvallers via de accounts van de medewerkers ook toegang hebben gekregen tot andere bestanden met persoonsgegevens, waaronder naam, adres en bsn-nummers van inwoners van Bergen op Zoom.

Alles bij de bron; Security


 

De browserextensie Privacy Badger is ontwikkeld om gebruikers tegen trackers te beschermen, maar een kernonderdeel van de extensie maakte het juist eenvoudiger voor trackers om gebruikers online te volgen. Dat ontdekten onderzoekers van Google. De Amerikaanse burgerrechtenbeweging EFF, die de extensie ontwikkelde, heeft aanpassingen aangekondigd...

...Onderzoekers van Google ontdekten dat het zelflerende onderdeel van Privacy Badger ook de achilleshiel van de extensie is. Een aanvaller zou namelijk de manier kunnen manipuleren waarop Privacy Badger reageert, in wat het blokkeert en toestaat. Dit zou kunnen worden gebruikt om gebruikers, via een vorm van fingerprinting, te identificeren, of informatie te achterhalen over de websites die ze bezoeken...

...De EFF heeft geen bewijs gevonden dat er misbruik van de feature is gemaakt, maar heeft besloten om die uit voorzorg standaard uit te schakelen. Zodoende worden bij alle gebruikers dezelfde trackers geblokkeerd. Om trackers te blokkeren maakt Privacy Badger voortaan gebruik van een lijst met bekende trackingdomeinen. Deze lijst wordt periodiek bijgewerkt. Gebruikers kunnen het zelflerende onderdeel nog wel zelf inschakelen. Volgens de EFF gaat het hier om een acceptabele afweging die gebruikers voor zichzelf kunnen maken.

Alles bij de bron; Security


 

Zes onderzoekers hebben gedurende een periode van drie maanden tientallen kwetsbaarheden in de infrastructuur van Apple gevonden waardoor ze onder andere toegang tot broncode, iCloud-accounts van gebruikers, interne applicaties, sessies van medewerkers en privédata van gebruikers wisten te krijgen.

Van de in totaal 55 kwetsbaarheden werden er elf als kritiek aangemerkt. Via deze beveiligingslekken konden de onderzoekers willekeurige code op systemen van Apple uitvoeren, beheerderstoegang bij een interne applicatie krijgen, gebruikersaccounts overnemen, Apples Identity and Access Management (IAM) keys van Amazon Web Services stelen, iCloud-accounts van gebruikers overnemen en toegang tot broncode van Apple-projecten krijgen.

Alle genoemde beveiligingslekken zijn inmiddels door Apple verholpen. 

Alles bij de bron; Security


 

Bij de ransomware-aanval op Veiligheidsregio Noord- en Oost-Gelderland (VNOG) van vorige maand is geen data gestolen, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Tweede Kamer laten weten. Aanvallers wisten interne systemen van de VNOG te infecteren, waardoor met name de kantoorprocessen ernstig werden verstoord.

Vandaag laat de VNOG zelf weten dat alle systemen weer operationeel zijn. "Na de aanval met cybersoftware zijn bij de VNOG alle systemen veilig hersteld en op orde. De VNOG is ook weer per e-mail bereikbaar", zo meldt de Veiligheidsregio. De VNOG voegt toe dat het onderzoek naar de aanval nog niet is afgerond. "Daarom kunnen wij geen informatie geven over welke partij achter deze aanval zit en hoe dit heeft kunnen gebeuren."

Naar aanleiding van de aanval bij de VNOG is er door de veiligheidsregio's geïnvesteerd in extra veiligheidsmaatregelen waaronder een actieve security monitoring via een extern SOC (Security Operations Center). De VNOG bestaat uit 22 gemeenten in Noord- en Oost-Gelderland die samenwerken op het gebied van brandweerzorg, geneeskundige hulpverlening, bevolkingszorg en crisisbeheersing en rampenbestrijding. 

Alles bij de bron; Security


 

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. 

In de meeste gevallen gaat het om post die naar het verkeerde adres wordt verstuurd, maar soms komt informatie op straat te liggen door vergeten usb-sticks die rondslingeren in of rondom het ziekenhuis. Ook zijn er NWZ-medewerkers die zonder toestemming medische dossiers van een patiënt inkijken.

Woordvoerder Marieke de Vries verklaart dat de meeste datalekken onschuldig zijn. "Over het algemeen is degene die onbedoeld met informatie over een ander in aanraking komt een betrouwbare partij die het netjes terug bezorgd. Dat hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens of de betrokkene." Als iemand zonder toestemming een dossier inkijkt, maakt het ziekenhuis daar volgens de Vries altijd een melding van. Dat gebeurde in 2020 vijf keer. 

Dit jaar zijn er tot nu toe 41 incidenten bekend. In 2019 werden er in de twee locaties 66 datalekken gevonden en in het jaar ervoor waren er 42 incidenten.

Alles bij de bron; NHNieuws


 

RTL Nieuws wist de domeinnaam van Jeugdriagg over te nemen. Dat is een instelling die jeugdzorg verleent aan duizenden gezinnen, die in 2015 van naam veranderde en inmiddels bekendstaat als Kenter Jeugdhulp. Jeugdriagg.nl is sindsdien verlopen. 

Daardoor was het mogelijk nieuw binnengekomen e-mails te lezen waar soms medische dossiers in stonden. Ook konden berichten onderschept worden die toegang gaven tot de online systemen van het bedrijf. Het gaat om gevoelige privé-informatie zoals over de thuissituaties en bijvoorbeeld drugsgebruik of schoolproblemen van kinderen die in behandeling waren bij de instelling.

Het gaat om de namen, adressen en bsn's van 'miljoenen Nederlanders', schrijft RTL. Ook was in te zien welke zorgverzekering en aanvullende pakketten een verzekerde had. De informatie stond in een database van Vecozo, een bedrijf dat digitale ondersteuning biedt aan zorginstellingen. Het lek is inmiddels gedicht.

Alles bij de bron; Tweakers


 

De gemeente Roosendaal heeft vorige week een mail verstuurd waarbij per abuis alle vierhonderd geadresseerden zichtbaar waren. 

Door een menselijke fout bij het versturen waren de e-mailadressen van alle abonnees zichtbaar omdat alle geadresseerden in het CC (Carbon Copy) veld stonden in plaats van het BCC (Blind Carbon Copy) veld. Enkele uren nadat de e-mail was verzonden, heeft de gemeente alle geadresseerden excuses aangeboden.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha