Digitale Schandpaal

Google heeft het eigen personeel gewaarschuwd dat hun gegevens door een e-mailblunder bij een derde partij in verkeerde handen terecht zijn gekomen. Een werknemer van een bedrijf dat personeelsdiensten voor Google verzorgt bleek een document met personeelsinformatie per ongeluk naar de manager van een ander bedrijf te hebben gestuurd.

Uit onderzoek bleek dat het document namen en social security-nummers bevatte. Volgens Google is er geen bewijs dat de gelekte gegevens zijn misbruikt en uit de logbestanden blijkt dat naast de manager niemand de gegevens heeft ingezien voordat die werden verwijderd. Daarnaast heeft de manager bevestigd dat hij de informatie uit het document niet heeft opgeslagen, gedownload, openbaar heeft gemaakt of op andere wijze heeft gebruikt.

Alles bij de bron; Security


Pwnedlist.com, een website die 866 miljoen gelekte en gestolen inloggegevens bevatte en deze gegevens door een beveiligingslek bleek te lekken, heeft besloten met de dienst te stoppen. Via Pwnedlist.com kunnen bedrijven openbare datalekken volgen die mogelijk voor hun personeel een beveiligingsprobleem kunnen worden. De informatie op de website is afkomstig van allerlei gehackte websites en bedrijven. De dienst is vergelijkbaar met HaveIBeenPwned.com. Door een beveiligingslek in de website bleken gebruikers voor willekeurige domeinen aan te kunnen geven dat ze hiervoor wilden worden gewaarschuwd als zich een datalek had voorgedaan.

It-journalist Brian Krebs werd door een beveiligingsonderzoeker over de kwetsbaarheid getipt. Hij besloot Apple.com aan zijn eigen waarschuwingen toe te voegen, wat ook werkte. Hierdoor kon Krebs meer dan 100.000 gebruikersnamen en wachtwoorden voor accounts eindigend op Apple.com downloaden. Via het lek was het uiteindelijk mogelijk om alle 866 miljoen accountgegevens in de database te downloaden. Op Twitter bagatelliseert InfoArmor het probleem en stelt dat het om al gecompromitteerde gegevens gaat. Daarnaast laat Pwnedlist.com nu weten dat de website vanaf 16 mei uit de lucht wordt gehaald.

Bron; Security


Een slachtoffer van een zware mishandeling in het Groningse uitgaansleven is niet blij met de uitzending van de beelden in het SBS6-programma 'De Meldkamer'. Volgens burgemeester Den Oudsten van Groningen had de Nationale Politie de beelden nooit aan SBS6 mogen leveren. De mishandelde man zegt van tevoren niet te zijn ingelicht over de uitzending van de beelden in het SBS6-programma.

Rob Kouwenhoven, vanuit de Nationale Politie nauw betrokken bij de productie van 'De Meldkamer', bevestigt dat het slachtoffer niet is ingeseind. "We hadden het slachtoffer vooraf moeten informeren en dat is in de hectiek niet gebeurd", zo zegt hij in de krant. "We hebben aan de betrokkenen onze excuses aangeboden."

Ondanks het verzoek van het slachtoffer aan zowel de politie als SBS6, zijn de beelden nog altijd op internet te vinden, aldus het Dagblad van het Noorden zaterdag.

Burgemeester Peter den Oudsten noemt het onwenselijk dat de beelden op televisie zijn verschenen. "De afspraken die de Nationale Politie heeft gemaakt met SBS6 zijn in strijd met ons protocol",  aldus de Groningse burgemeester in een reactie. Daarin is met politie en justitie afgesproken dat de beelden eigendom zijn van de gemeente en dat de privacy van zowel slachtoffers als daders wordt beschermd. Den Oudsten zegt de kwestie te zullen bespreken in zijn overleg met politie en justitie. "Dit is een ongewenst effect van ons cameratoezicht. Als er geen opsporingsdoel mee is gediend, horen die beelden niet thuis op de televisie. Ik zal voorstellen het protocol aan te scherpen."

Alles bij de bron; NU


Een verpleegkundige uit het Isala-ziekenhuis in Zwolle heeft foto's van medische ingrepen op zijn Facebookaccount gezet. Op die manier waren ze voor iedereen zichtbaar. Op de afbeeldingen zijn onder meer operatief verwijderde voorwerpen, inwendige opnamen van patiënten en röntgenfoto's te zien. 

De  foto's zijn niet direct herleidbaar naar personen; er staan bijvoorbeeld geen namen bij. 'Maar dat maakt op zichzelf nog niet veel uit', zegt hoogleraar recht en de informatiesamenleving in Leiden Gerrit-Jan Zwenne. 'Voor het delen van gezondheidsgegevens gelden strenge regels. In deze situatie kan dat eigenlijk alleen als de patiënt expliciete toestemming heeft. In alle andere gevallen is het ondenkbaar dat je die verspreidt.' Die toestemming is niet door de patiënten gegeven, blijkt uit een verklaring van Isala.

Dat vindt ook de Autoriteit Persoonsgegevens. Een woordvoerder benadrukt dat naast het privacybezwaar 'er op heel veel fronten iets aan te merken is op het verspreiden' van deze medische gegevens. De beelden kunnen ook 'herleidbaar zijn' en 'dan mag je ze niet op een publieke pagina zetten'. 

In een verklaring stelt Isala 'erg geschrokken' te zijn en het incident 'zeer hoog' op te nemen. 'Met het plaatsen van deze foto's is het medisch beroepsgeheim geschonden en mogelijk is plaatsing ook in strijd met de wet Bescherming Persoonsgegevens.' Isala heeft preventief melding gedaan van een vermoedelijk datalek bij de Autoriteit Persoonsgegevens. Tegen de desbetreffende medewerker 'worden maatregelen genomen'.

Alles bij de bron; Volkskrant


De aanvaller die vorig jaar inbrak bij de Italiaanse hackhuurlingen van Hacking Team, heeft een doe-het-zelf-gids gepubliceerd waarin hij de hele aanpak uit de doeken doet. Het is een uitgebreid verhaal met veel details en een zeer lezenswaardig stuk. Verplicht leesvoer voor informatiebeveiligers en serverbeheerders...

...Ondanks de gênante en grootschalige hack, bestaat Hacking Team nog steeds. Wel is het bedrijf recentelijk zijn exportlicentie kwijtgeraakt.

Alles bij de bron; WebWereld


De vangst die nog steeds onbekende hackers deden bij Mossack Fonseca is enorm groot. Er lekten 11,5 miljoen vertouwelijke documenten uit die de periode van 1970 tot eind 2015 bestrijken. Daarbij gaat het om 4,8 miljoen e-mails, 3 miljoen databasebestanden, 2,2 miljoen pdf's, 1,1 miljoen beeldbestanden en 320.00 tekstdocumenten. Deze Panama papers beslaan bij elkaar 2,6 terabyte.  

Bij nadere analyse door specialisten blijkt dat de hackers niet alles uit de kast hebben hoeven halen: de IT-beveiliging van Mossack Fonseca was van bedroevend niveau. De website van Mossack Fonseca draait op een WordPress-versie van december 2014. Sindsdien zijn meerdere nieuwe versies met updates voor kritieke lekken uitgebracht. De website laadt bovendien verschillende verouderde scripts en plug-ins.

Zijn klantenportal heeft Mossack Fonseca gerealiseerd in Drupal. Die draait nog steeds op versie 7.23; daarvan zijn in de drie jaar dat die nu draait in nieuwe versies 25 beveiligingslekken gedicht. Het klantenportal was daardoor onder andere kwetsbaar voor het SQL-injectielek dat vanwege zijn gevaar bekend staat als Drupalgeddon. Het e-mailsysteem dat Mossack Fonseca gebruikte - Microsofts Outlook Web Access - was al sinds 2009 niet geüpdate. E-mail werd ook niet versleuteld met TLS. 

Alles bij de bron; AutomGids


De namen van personen in de Panama Papers mogen niet openbaar gemaakt worden. Dat zegt privacy-organisatie Privacy First. Het zou te veel schade aanrichten. 

Over een paar weken zet het consortium van onderzoeksjournalisten ICIJ de gegevens online. Daarmee worden honderden belastingontwijkende Nederlanders mogelijk onterecht aan de schandpaal genageld, vreest Privacy First. BNR spreekt hierover met Bas Filippini, voorzitter van Privacy First. Volgens hem heeft een groot deel van de mensen niks illegaals gedaan, maar gaan zij wel veel schade ondervinden als ze zo neergezet worden. Ze worden volgens hem gecriminaliseerd. Schuldig bevonden voordat überhaupt onderzoek gedaan is. "Dat doen we niet eens bij echte criminelen."

Audio: klik HIER

Alles bij de bron; BNR 


Hogeschool Van Hall Larenstein blijkt persoonlijke gegevens van 4.400 studenten te hebben doorgestuurd naar alle studenten van de hogeschool. Onder andere het woonadres, telefoonnummers, -mailadressen en het BSN-nummer van studenten zijn door de fout uitgelekt.

Dit meldt Omroep Gelderland, dat via de website Publeaks een tip kreeg over het datalek. Publeaks is een platform waar anoniem informatie kan worden verstrekt aan de media. Een woordvoerder van de Hogeschool Van Hall Larenstein bevestigt het incident. Het datalek is gemeld bij de Autoriteit Persoonsgegevens, iets wat sinds de invoering van de meldplicht datalekken begin 2016 verplicht is. De hogeschool roept studenten die in problemen komen door het datalek zich op te melden. 

Alles bij de bron; ExecPPL


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha