Het beheer van onze data is de laatste jaren uitgegroeid tot een heet hangijzer. Idealiter zijn onze gegevens in ons eigen bezit én makkelijk te gebruiken. Dat klinkt eenvoudig, maar in de realiteit ligt dit ingewikkelder.
Welke alternatieven zijn er op dit moment? En wat kunnen we verwachten van een initiatief als de Nederlandse Datakluis? De Technoloog gaat in gesprek met journalist Peter Olsthoorn, schrijver van het boek Baas over Eigen Data.
Alles bij de bron; BNR
Stadskanaal heeft per ongeluk persoonsgegevens op straat gegooid van mensen die het niet eens waren met gemeentelijke bestemmingsplannen. Het gaat om adressen, telefoonnummers en bijvoorbeeld e-mailadressen van inwoners. Daardoor waren meningsverschillen tussen buren bijvoorbeeld zichtbaar. Maar ook kunnen die gegevens gebruikt worden voor phishing of fraude.
Een ondernemer van wie de gegevens op straat liggen maakt het in eerste instantie niet uit. Dat zegt hij, maar even later belt hij terug. ,,Ik ben het er eigenlijk helemaal niet mee eens dat mijn nummer is gedeeld.’’
Een ander persoon vindt het vervelend dat zijn naam, contactgegevens en adres aan hem worden voorgelezen. ,,Dat is niet zo netjes. Een slechte zaak, daar gaat je privacy. Ik heb ook niets gehoord van de gemeente, geen belletje of briefje. Niets.’’
De adresgegevens van een raadslid zijn ook gelekt. De politicus wil in de toekomst achter zijn huis een nieuwe aanbouw neerzetten en daarvoor moet een deel van de grond worden herstemd naar een woonbestemming.
De gemeente publiceerde die informatie in een gebundeld document van 642 bladzijden: ‘totaalbestand zienswijzen (geanonimiseerd)’. In een inventarisatie staat dat het om 89 zienswijzen gaat. In werkelijkheid zijn dat er 78. Daarvan zijn bij tenminste 20 persoonsgegevens als adressen, e-mailadressen en 06-nummers niet weggelakt, ofwel geanonimiseerd.
De gegevens stonden tussen de vergaderstukken van de gemeenteraad van Stadskanaal. Die stukken zijn voor iedereen toegankelijk. Journalisten raadplegen die bijvoorbeeld geregeld.
Het document en daarmee de gegevens werden afgelopen woensdag offline gehaald. Donderdag werd een andere versie online gezet, daarin waren persoonsgegevens wel weggelakt.
De gemeente Stadskanaal is op de hoogte van het lek, zegt een woordvoerder. ,,Wij vinden het heel erg.’’ Juist ook omdat de gemeente uiterste voorzichtig met de gegevens omging. Uiteindelijk is er een foutief bestand geüpload, zegt ze. ,,Het was een menselijke fout.’’
Er is binnen 72 uur melding gemaakt bij AP, zegt volgens de woordvoerder. ,,Het heeft van maandagavond tot woensdagochtend online gestaan. Alle mensen die het betreft zullen een brief krijgen."
Alles bij de bron; DVHN
Een Amerikaanse patiënt heeft het ziekenhuis in de Verenigde Staten waar ze wordt behandeld aangeklaagd nadat een ransomwaregroep op de systemen van het ziekenhuis wist in te breken en daar naaktfoto's buitmaakte, die het vervolgens op internet publiceerde. Dat heeft het advocatenkantoor dat de vrouw bijstaat bekendgemaakt. Hoe de aanvallers toegang konden krijgen is niet bekendgemaakt, maar volgens de advocaten had de aanval voorkomen kunnen worden.
"Terwijl het ziekenhuis zichzelf een schouderklopje geeft voor het niet ingaan op de losgeldeisen van de aanvallers, hebben ze bewust en opzettelijk de echte slachtoffers genegeerd", aldus de advocaten. Die stellen verder dat patiënten niet wisten dat foto's van hen onderdeel van het medisch dossier waren en dat die gestolen konden worden. De vrouwelijke patiënte is nu een massaclaim gestart waar andere patiënten zich bij kunnen aansluiten (pdf).
Alles bij de bron; Security
Er is 12,2GB aan gestolen data van het Zwitserse securitybedrijf Acronis online verschenen. The Register schrijft dat het gaat om 'certificaatbestanden, logs, systeemconfiguraties, systeeminformatielogs, archieven van het bestandssysteem, Python-scrips voor een Acronis-database, back-upconfiguraties en veel screenshots van back-upoperaties'.
De hacker noemt de beveiliging van het cybersecuritybedrijf slecht en claimt dat hij of zij het bedrijf wilde 'vernederen'.
Onderzoek van het bedrijf heeft tot nu toe uitgewezen dat de credentials van een klant die diagnostische gegevens uploadt naar Acronis zijn gecompromitteerd, meldt Chief information security officer van Acronis Kevin Reed. Het bedrijf werkt samen met die klant en het account in kwestie is geblokkeerd totdat het onderzoek is afgerond.
Acronis zegt daarbij dat de data ook alleen afkomstig zijn van die ene klant; het bedrijf benadrukt dat 'geen ander systeem of account hierdoor geraakt is' en dat er 'geen datalek is dat zich niet bevindt in de map van deze specifieke klant'.
Acronis biedt onder meer applicaties voor consumenten op het gebied van security, back-ups, bestandsherstel en meer. Hun True Image-back-upsoftware wordt wel eens gebundeld met ssd's. Ook voor bedrijven biedt het bedrijf cybersecuritydiensten.
Alles bij de bron; Tweakers
PayPal moet zich binnenkort voor de rechter verantwoorden voor de afhandeling van een datalek dat eind vorig jaar plaatsvond.
In januari waarschuwde PayPal zo’n 35.000 klanten voor “ongebruikelijke activiteiten” op de systemen van het bedrijf. De daders hadden toegang tot privacygevoelige informatie, waaronder namen, woonadressen, geboortedata, kopieën van rijbewijzen en BSN-nummers...
...De aanklagers stellen dat er bij de cyberaanval “uiterst gevoelige data” zijn buitgemaakt “die een goudmijn vormen voor datadieven”. Verder hebben ze tijd en geld moeten steken in het verhelpen of beperken van de gevolgen van de aanval.
Tot slot verwijten ze PayPal dat het nalatig is geweest om haar systemen te monitoren en klantgegevens te beschermen. Hun privégegevens zijn daardoor mogelijk in de handen van criminelen beland.
Alles bij de bron; VPN-gids
De aanval op wachtwoordmanager LastPass waarbij kluisdata en gegevens van klanten werden gestolen kon mede plaatsvinden doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Een aanvaller maakte daar misbruik van om het systeem met malware te infecteren.
Vorige week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware.
Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen.
De "media software" in kwestie bleek Plex te zijn en laat nu weten dat de aanvaller gebruikmaakte van een beveiligingslek uit 2020, aangeduid als CVE-2020-5741. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen. Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid.
Op 24 augustus vorig jaar waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten.
Alles bij de bron; Security
LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies.
LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd.
Alles bij de bron; Security
Een slachtoffer van het datalek bij de Hogeschool van Arnhem en Nijmegen (HAN) eist een schadevergoeding van duizend euro van de onderwijsinstelling en stapt nu naar de rechter om dit te krijgen. In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen.
Uit onderzoek bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond. Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Een oud-student van de HAN wil een schadevergoeding van duizend euro en een schuldbekentenis van de onderwijsinstelling, maar die zou daar niet in mee willen gaan.
De oud-student wordt bijgestaan door de plaatselijke studentenvakbond AKKU. De eerste zitting in deze zaak vindt plaats op 15 maart.
Alles bij de bron; Security
Het datalek bij ticketverkoper Ticketcounter in 2021, waar de gegevens van 1,9 miljoen gebruikers werden gestolen, had kinderlijk eenvoudig voorkomen kunnen worden, zo stelt de directeur van het bedrijf. Een back-up van het bedrijf was door een fout voor iedereen op internet toegankelijk en werd in februari 2021 gedownload.
Tegenover BNR stelt Ticketcounter-directeur Sjoerd Bakker dat het datalek door "onzorgvuldigheid" aan de kant van het bedrijf is ontstaan en het kinderlijk eenvoudig voorkomen had kunnen worden.
"Het is eigenlijk kinderlijk eenvoudig. Negentig procent van de datadiefstallen, datalekken vindt plaats doordat je toch net wat onzorgvuldig omgaat met gegevens en bij ons was het zo dat die [de back-up - red] op een plek stond die publiek beschikbaar was. Hadden we daar een wachtwoord op gezet was het nooit gebeurd of is de kans kleiner. Wees je bewust van de data. Zodra een computer is gekoppeld aan het internet is die kwetsbaar."
Alles bij de bron; Security
Het Amerikaanse ministerie van Defensie is het slachtoffer geworden van een groot datalek: via een openstaande Azure-server was meer dan een terabyte aan gevoelige data toegankelijk via het internet. Afgelopen maandag werd de server offline gehaald, nadat deze al weken open stond voor het publiek.
Volgens de ontdekker, beveiligingsonderzoeker Anaruag Sen, gaat het om een intern mailboxsysteem, waarop interne e-mails van het leger staat opgeslagen. Door een misconfiguratie werd de server niet met een wachtwoord beschermd, waardoor iedereen op het internet toegang kon krijgen tot gevoelige mailbox-gegevens, mits het IP-adres bekend was.
Volgens Sen zelf stond er zo'n 3TB aan interne e-mails op de server. Minstens 1TB daarvan zou toegankelijk zijn geweest via het internet.
Alles bij de bron; AGConnect