Databeveiliging & Dataverlies

Het lek zit in Biostar-2, een 'webgebaseerd, open en geïntegreerd beveiligingsplatform' waarmee gebruikers zich online kunnen identificeren bij diensten van derde partijen. Het gaat om een gecentraliseerde dienst waarmee naast gebruikersnamen en wachtwoorden ook biometrische gegevens kunnen worden opgeslagen...

...In de database stonden meer dan 27,8 miljoen records, met een totale omvang van 23 gigabyte. Die gegevens bestonden naast vingerafdrukken en gezichtsscans ook uit gebruikersnamen en onversleutelde wachtwoorden, logs van toegang tot gebouwen, beveiligingsniveau's van medewerkers en persoonlijke informatie van werknemers. De onderzoekers merken ook op dat de vingerafdrukken in hun geheel werden opgeslagen, in plaats van alleen een hash daarvan. De onderzoekers wisten de informatie niet alleen in te zien, maar ook nieuwe gebruikers toe te voegen en data te wijzigen. Zo konden zij hun eigen vingerafdruk toevoegen aan specifieke gebruikersaccounts.

De onderzoekers ontdekten het lek eerder deze maand en lichtten het bedrijf erachter in. Die heeft nog geen officiële reactie gegeven, maar de database is inmiddels niet meer online te vinden. Daarop besloten de onderzoekers hun bevindingen alsnog te publiceren. Hoe lang de data openbaar te vinden is geweest en of daar misbruik van is gemaakt is niet bekend.

Alles bij de bron; Tweakers


 

...wat niemand zag aankomen, is dat de AVG ook als wapen gebruikt kan worden in het arsenaal van kwaadwillende social engineers, hackers en mensen die anderen willen doxen en lastigvallen. 

Een onderdeel van de AVG is namelijk dat alle Europeanen bij elk bedrijf kunnen opvragen welke gegevens ze over hen hebben. Pavur en Knerr onderzochten of die informatieverzoeken gebruikt konden worden om gevoelige informatie van anderen te verkrijgen.

Dat is wat cybersecurity-onderzoeker James Pavur ontdekte toen hij en Casey Knerr, zijn verloofde en de co-auteur van hun onderzoek, een wedje legden over de AVG. “De weddenschap hield in dat ik haar identiteit kon stelen met die verzoeken,” zegt Pavur.

“James heeft de weddenschap gewonnen,” zegt Knerr. Dankzij de AVG kon hij persoonlijke informatie over Knerr opvragen, waaronder haar burgerservicenummer (BSN). Samen met Knerr, die ook in de cybersecurity-industrie werkt – en met haar volledige toestemming – bedacht Pavur een slim, maar simpel experiment.

Hij begon met Knerrs naam en achternaam, een paar e-mailadressen, telefoonnummers en ander laaghangend fruit dat hij online kon vinden. Met een e-mailadres dat eruitzag als dat van Knerr stuurde hij informatieverzoeken naar 75 bedrijven en met de gegevens die hij kreeg – waaronder Knerrs adres – stuurde hij nieuwe informatieverzoeken naar 75 andere bedrijven.

Met die verzoeken kreeg Pavur veel gegevens van Knerr in handen, zoals haar BSN, geboortedatum, meisjesnaam van haar moeder, wachtwoorden, eerdere adressen, reis- en hotelgegevens, cijfers van de middelbare school, gedeeltelijke creditcardnummers en informatie over of ze ooit een online datingdienst had gebruikt.

...Volgens Pavur en Knerr reageerde een kwart van de bedrijven die hij benaderde helemaal niet. Twee derde van de bedrijven, waaronder de online datingdiensten, reageerde met zoveel informatie dat Pavur erachter kwam dat zijn verloofde een account had op een datingsite. Van de bedrijven die reageerden, gaf een kwart zomaar gevoelige informatie weg zonder de identiteit van Knerr te verifiëren. 15 procent vroeg om informatie die gemakkelijk vervalst kan worden en 40 procent van de bedrijven vroeg om identificatie-informatie die volgens het onderzoek relatief moeilijk is om te vervalsen.

Pavur concludeert dat we betere mechanismen nodig hebben om te verifiëren dat de persoon die het informatieverzoek doet ook echt is wie hij beweert te zijn. Sommige bedrijven waren best goed in het verifiëren van zijn identiteit. Maar in andere gevallen namen bedrijven niet eens de moeite om te vragen naar verificatie en stuurden ze gewoon de gegevens terug, zoals in het geval van het bedrijf dat Knerrs BSN meteen aan Pavur gaf.

Alles bij de bron; Vice


 

Miljoenen gebruikers van sneakerbeurs StockX zijn slachtoffer van een datalek geworden nadat een aanvaller hun naam, e-mailadres, adresgegevens, gebruikersnaam, schoenmaat, gehasht wachtwoord en aankoopgeschiedenis wist te stelen. Vorige week besloot StockX de wachtwoorden van gebruikers wegens "systeemupdates" te resetten. Verdere uitleg werd echter niet gegeven.

Nu blijkt dat de wachtwoorden vanwege het datalek zijn gereset. In een verklaring stelt StockX dat het de wachtwoorden direct heeft gereset nadat het de inbraak ontdekte.

Volgens TechCrunch zijn de gegevens al in mei gestolen en gaat het om 6,8 miljoen accounts. Die gegevens worden nu op internet te koop aangeboden. 

Alles bij de bron; Security


 

Begin dit jaar zijn bij online webshop CafePress de gegevens van meer dan 23 miljoen gebruikers gestolen, zo is nu pas bekend geworden. Het gaat om e-mailadressen, namen, telefoonnummers en adresgegevens van 23,2 miljoen accounts. De data werd in februari buitgemaakt.

De gestolen e-mailadressen zijn nu aan Have I Been Pwned toegevoegd, de zoekmachine waarmee gebruikers in meer dan 8,2 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. 77 procent van de buitgemaakte e-mailadressen was al via een ander datalek bij Have I Been Pwned bekend.

Hoe de gegevens konden worden gestolen is niet bekend. CafePress heeft gebruikers nog niet over het datalek geïnformeerd.

Alles bij de bron; Security


 

De Entertainment Software Association (ESA) heeft persoonlijke gegevens van ruim tweeduizend journalisten en analisten gelekt, die dit jaar de belangrijkste gamebeurs ter wereld de E3 bezochten. 

De organisatie bewaarde een lijst van aanwezigen, die iedereen via de openbare ESA-website kon downloaden. Op de lijst stonden bijvoorbeeld namen, telefoonnummers en thuisadressen.

YouTuber Sophia Narwitz ontdekte dat de lijst voor iedereen toegankelijk was, waarna de E3-organisatie ingreep en de gegevens verwijderde. Het is niet duidelijk wie de lijst nu in handen hebben en wat er verder mee gebeurt. In de lijst was onder meer informatie van YouTubers, Wall Street-analisten, aanwezige journalisten en Tencent-medewerkers te vinden.

VentureBeat merkt op dat de lijst waarschijnlijk ook vanuit Europa te bekijken was en dat gegevens van Europese journalisten zijn gelekt. Daarmee is mogelijk ook de privacywet Algemene verordening gegevensbescherming overtreden, wat flinke boetes kan opleveren.
 
Alles bij de bron; NU

De data van miljoenen gebruikers van de Amerikaanse online kledingmarktplaats Poshmark is gestolen. Het gaat om profielgegevens zoals gebruikersnaam, naam, geslacht en woonplaats. Ook accountgegevens waaronder e-mailadres, kledingmaat en gesalte en gehashte wachtwoorden zijn buitgemaakt, alsmede koppelingen met opgegeven socialmedia-accounts.

De website heeft naar eigen zeggen meer dan 50 miljoen gebruikers waarvan er 5 miljoen producten aanbieden. In een verklaring stelt het bedrijf dat de gehashte wachtwoorden bijna niet te kraken zijn. Toch krijgen alle gebruikers uit voorzorg het advies om hun wachtwoord te wijzigen. Ook stelt Postmark dat het de beveiliging heeft aangescherpt om herhaling in de toekomst te voorkomen.

Alles bij de bron; Security


 

Een database met daarin persoonlijke gegevens van 14 miljoen Chilenen was openbaar toegankelijk. Het gaat om gegevens van stemgerechtigden in het land die zijn opgeslagen in 2017. Dat blijkt uit onderzoek van ZDNet.

Het gaat om namen, adressen, geslacht, leeftijd en belastingnummers van 14,3 miljoen individuen. Dat is 80% van de bevolking. Het lek werd ontdekt door een onderzoeker die een journalist bij ZDNet tipte. De site deed een steekproef om de gegevens te controleren en deze bleken juist. De overheid van Chili heeft bevestigd dat de gegevens kloppen, maar ontkent dat de server met het datalek van de overheid is.

Alles bij de bron; NU


 

Honda heeft via een onbeveiligde database allerlei vertrouwelijke netwerkgegevens gelekt, alsmede informatie over medewerkers en het bedrijf. Justin Paine, ontdekte de ElasticSearch-database via zoekmachine Shodan. De database was voor iedereen op internet zonder inloggegevens toegankelijk. 

In het geval van Honda ging het om een database die 40 gigabyte groot was en 134 miljoen documenten bevatte. De opgeslagen informatie bestond uit namen van medewerkers, hun e-mailadres, wanneer ze voor het laatst waren ingelogd, werknemersnummer en accountnaam.

Een andere tabel bevatte wederom de naam van medewerkers, maar ook de naam van hun computer, besturingssysteem en besturingssysteemversie. In een derde tabel vond Paine ip-adressen, mac-adressen, gebruikte beveiligingsleverancier en welke Windows-updates waren geïnstalleerd. De database bevatte ook informatie over de interne ip-adressen van printers. Het lukte Paine ook om in de database informatie over de directeur van Honda terug te vinden. Het ging om zijn e-mailadres, naam, afdeling, mac-adres, gebruikte Windows-versie en patchniveau, ip-adres, accountnaam, wanneer er voor het laatst was ingelogd en werknemers-ID.

Eén van de tabellen in de database bevatte informatie over machines waarop geen beveiligingssoftware was geïnstalleerd. Na te zijn ingelicht werd de database door Honda beveiligd. Volgens de autofabrikant zijn er geen aanwijzingen dat de gegevens zijn gelekt. Hoe het kon dat de database onbeveiligd online stond is niet bekendgemaakt.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha