Databeveiliging & Dataverlies

Aanvallers zijn erin geslaagd om de privégegevens van meer dan 540.000 mensen bij de Franse overheid te stelen. De aanval was gericht tegen de Ariane-database, een dienst waarbij Franse burgers die naar het buitenland reizen zich kunnen aanmelden.

De Franse overheid kan op deze manier burgers in het buitenland waarschuwen voor rampen of noodsituaties in de locatie waar ze zich bevinden. Reizigers kunnen ook de gegevens van personen opgegeven die in noodgevallen moeten worden benaderd. Bij de aanval zijn van deze personen de gegevens buitgemaakt. Het gaat om namen, telefoonnummers en e-mailadressen. De gegevens van Ariane-gebruikers en informatie over reisbestemmingen zijn niet gestolen.

Contactpersonen lopen nu het risico op phishingaanvallen en scams, aldus een uitleg op de website van het ministerie van Buitenlandse Zaken. 

Alles bij de bron; Security


 

Apps zuigen niet zelden zoveel gegevens op als waar ze mee kunnen wegkomen, en dat is niet lekker voor je privacy. Een uitzondering op deze regel is de app Irma ('I Reveal My Attributes') van de Stichting Privacy By Design.

Deze app kun je 'laden' met gegevens over jezelf, oftewel attributen, en een website of -dienst waar je inlogt kun je deze attributen per stuk overhandigen: niet meer dan ze nodig hebben en niet meer dan ze vragen. Zo weet een derde partij allen wat relevant is en niet méér. De derde partij kan er ook van op aan dat de attributen juist zijn, want de herkomst is bekend: ze kunnen bijvoorbeeld direct afkomstig zijn uit de Basisregistratie Personen (BRP), met andere woorden het bevolkingsregister.

Irma en de Stichting Privacy by Design zijn ontstaan aan de Radboud Universiteit. 

Alles bij de bron; BNR [met podcast]


 

De privégegevens van 52,5 miljoen gebruikers van het sociale netwerk Google Plus waren door een fout in een programmeerinterface (API) voor apps en ontwikkelaars toegankelijk, zo heeft Google bekendgemaakt. Het probleem werd veroorzaakt door een fout in een software-update die in november werd geïntroduceerd.

Een week na de introductie werd het probleem door Google zelf gevonden en verholpen. Via de fout konden apps profielgegevens van gebruikers opvragen die niet openbaar waren. Daarnaast hadden de apps toegang tot profielgegevens die gebruikers met elkaar hadden gedeeld, maar niet openbaar hadden gemaakt. Google gaat alle getroffen gebruikers informeren.

Alles bij de bron; Security


 

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie.

De autoriteiten kunnen straks een technical assistance request, of TAR, doen bij techbedrijven en online diensten. Dit is een verzoek tot vrijwillige hulp, bijvoorbeeld om technische details te verstrekken. Daarnaast zijn er de technical assistance notices, of TAN's, die tot verplichte medewerking leiden op straffe van boetes. Dit kan bijvoorbeeld een verplichting zijn om te helpen bij het inzichtelijk maken van berichtenverkeer, ook al is die versleuteld. Ten slotte zijn er de technical capability notices, kortweg TCN's, die verplichten om het technisch mogelijk te maken voor de autoriteiten om bij data van verdachten te komen.

De bevoegdheden zouden alleen bij ernstige misdaden zoals terrorisme ingezet mogen worden. Een belangrijke waarborg in de wet is dat de verzoeken niet mogen leiden tot systemic weaknesses zoals backdoors of het verzwakken van encryptie, maar volgens critici zal dit onherroepelijk het geval zijn en is de waarborg vaag omschreven. Techbedrijven zoals Apple hebben al zware kritiek geleverd op het wetsvoorstel.

Alles bij de bron; Tweakers


 

216 Accountants is getroffen door een datalek. Door het lek zijn klant- en persoonsgegevens van klanten van het bedrijf tijdelijk inzichtelijk geweest voor alle klanten.

In een e-mail gericht aan getroffen klanten meldt het bedrijf op 1 december te zijn overgegaan op een nieuw klantenportaal. Door een menselijke fout bij de leverancier is op het oude klantportaal een bestand met informatie tijdelijk toegankelijk geweest voor alle klanten van het bedrijf. Dit bestand bevatte zowel klant- als persoonsgegevens.

Onderzoek van 216 wijst uit dat een beperkt aantal klanten het bestand heeft aangeklikt wat volgens niet betekent dat zij het bestand hebben gedownload en ingezien. Het bedrijf heeft deze klanten verzocht de informatie permanent te verwijderen. Ook is van het datalek melding gemaakt bij de Autoriteit Persoonsgegevens.

216 adviseert bedrijven personeel te informeren over het mogelijk lek, aangezien het getroffen bestand ook persoonsgegevens van medewerkers kan bevatten. 

Alles bij de bron; DutchIT


 

De Amerikaanse hotelketen Marriott heeft ontdekt dat criminelen een database van reserveringen bij dochterbedrijf Starwood gestolen hebben. Daarmee zijn de gegevens van 500 miljoen klanten op straat komen te liggen, waaronder voor een deel creditcardinformatie. Van 327 miljoen gebruikers betreft het onder andere de naam, adres, e-mailadres, telefoonnummer, paspoortnummer, geboortedatum, geslacht en informatie over het verblijf zoals aankomst en vertrek.

Van 'sommigen' zijn ook creditcardgegevens in handen van criminelen, waaronder de vervaldatum. Volgens Marriott zijn de creditcardnummers met AES-128 versleuteld.

Marriott International meldt op 8 september een notificatie te hebben gekregen van een beveiligingstool, dat een onbevoegde probeerde om zijn database van klantreserveringen bij zijn dochterketen Starwood binnen te dringen. Na onderzoek bleken criminelen al sinds 2014 toegang te hebben tot die database.

Alles bij de bron; Tweakers


 

Hackers verschaften zich via eerder gelekte wachtwoorden tot ruim 30.000 RTL-accounts. Ze gebruikten e-mailadressen en wachtwoorden die zij bij eerdere hacks bij onder meer bij LinkedIn, Dropbox en eBay hadden buitgemaakt.

Daarbij hebben ze privégegevens van gebruikers bemachtigd. RTL Nieuws meldt dat in meerdere gevallen volledige namen en woonadressen in handen van hackers zijn gekomen. De hackers konden toegang krijgen tot privégegevens van gebruikers van RTL-diensten als Videoland, Buienradar en RTL Nieuws. 

Alles bij de bron; AGConnect


 

Het dataverzamelingsbedrijf Adapt biedt naar eigen zeggen "de meest flexibele bedrijfscontactendatabase" ter wereld aan en heeft door een onbeveiligde database de gegevens van ruim 9,3 miljoen mensen gelekt. Het gaat onder andere om namen, e-mailadressen en informatie over de werkgever, zoals bedrijfsnaam en functie.

Beveiligingsonderzoeker Bob Diachenko ontdekte op 5 november een 123 gigabyte grote MongoDB-database van het bedrijf die voor iedereen op internet toegankelijk was. In dit geval is het bijzonder om de database zonder enige vorm van authenticatie op internet aan te treffen, stelt Diachenko. De onderzoeker weet niet of de database opzettelijk voor iedereen toegankelijk was of dat het om een misconfiguratie gaat. Diachenko waarschuwde Adapt voor het datalek, maar kreeg geen reactie.

Diachenko heeft de data nu gedeeld met Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 9,3 miljoen e-mailadressen was 74 procent al via een ander datalek bij Have I Been Pwned bekend. Het datalek bij Adapt is één van de grotere die de afgelopen maanden aan de zoekmachine is toegevoegd.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha