Beveiligingsonderzoeker Sean Kahler kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist.
Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden.
Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd.
Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'.
Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren.
Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold.
Alles bij de bron; Security
In Frankrijk is het illegaal, en het Italiaanse parlement debatteerde onlangs over een nieuwe wet die het strafbaar stelt: ouders die foto's plaatsen van hun kinderen op sociale media. Ook in Nederland maken instanties zich zorgen over de gevolgen van het zogenoemde sharenting, een samentrekking van de Engelse woorden sharing en parenting. Dat slaat op het overmatig delen van kinderfoto's.
Het is niet raar om foto's van je kinderen te willen delen, maar het kan wel schadelijke gevolgen hebben, zegt Jos Kerssen van de Fraudehelpdesk. Kerssen zegt dat de helpdesk "met gefronste wenkbrauwen" naar sharenting kijkt. "Het kan leiden tot verschillende vormen van identiteitsfraude", zegt hij.
Zo kunnen criminelen informatie afleiden uit de socialemedia-accounts van ouders, en die gebruiken voor het plegen van hulpvraagfraude. Dat is een type fraude waarin criminelen zich voordoen als een bekende of dierbare van hun slachtoffer en om financiële hulp vragen. "Ze kunnen dan veel makkelijker vragen beantwoorden over de persoon als wie ze zich voordoen."
Ook kunnen criminelen uit de foto's afleiden waar een kind op school zit om vervolgens een nep-mail te sturen naar de ouders, waarin ze zich voordoen als de school en om een financiële bijdrage vragen.
Misschien nog wel gevaarlijker is het volgens Kerssen dat het voor cybercriminelen mogelijk is om een deepfake, een met kunstmatige intelligentie gemanipuleerde video, te maken waarin het lijkt alsof het kind iets zegt of doet. "Een crimineel heeft maar een paar foto's nodig en een klein stukje audio om een deepfake te maken."
Die neppe video's kunnen door pedoseksuelen gebruikt worden, waarschuwt Deutsche Telekom. Het telecombedrijf toont in een campagne een AI-gegenereerde vrouw die mensen voor de gevaren van sharenting waarschuwt. "Voor jou zijn het leuke herinneringen, voor anderen data", vertelt ze aan het paar dat haar ouders speelt. "En voor mij, is het misschien het begin van een nare toekomst"
Cybersecuritybedrijf Kaspersky waarschuwt op zijn website dat ouders niet goed controleren waar de foto's terechtkomen en in hoeverre ze worden verspreid. "Foto's kunnen bijvoorbeeld de school of het schooluniform van het kind afbeelden, of de naam van de straat waar het gezin woont. En aan de locatie van een foto is soms zelfs de real-time locatie van een kind te achterhalen", aldus het bedrijf.
YouTuber en presentatrice Marlieke Koks plaatst nog af en toe foto's en video's waarin haar kinderen herkenbaar in beeld zijn, maar dan wel in Instagram-stories, waar de beelden na 24 uur verdwijnen. Over de gevaren van sharenting zegt ze: "Een pedofiel kan ook door de straat lopen en een foto van je kind maken. Je wordt een beetje bang gemaakt, zeker als je helemaal niet zo veel volgers hebt."
Alles bij de bron; NOS
Toen tien jaar geleden plots een deurwaarder bij haar aanbelde, bleek dat iemand de identiteit van Chantal had gestolen en op haar naam veel schulden had gemaakt, die zíj moest aflossen. "Ik werd behandeld als een crimineel."
"Dat bijna niemand mij geloofde dat ik écht niet zelf al die schulden had gemaakt, dat vond ik nog het ergste. Deurwaarders geloofden mij niet maar ook mensen in mijn omgeving dachten soms dat het allemaal mijn eigen fout was. Soms ging ik daardoor bijna aan mezelf twijfelen. Onzin natuurlijk. Maar het vreet aan je, als je plots tot aan je nek in de schulden zit zonder dat je er iets aan kunt doen."
"Ik had mijn leven prima op de rit, tot die noodlottige dag in 2012. Op een middag werd er aangebeld. Nietsvermoedend deed ik open, en tot mijn verbazing stond er een deurwaarder op de stoep die beslag kwam leggen op mijn auto.
De reden: ik had zogenaamd mijn zorgverzekering al anderhalf jaar niet betaald, daardoor stond er een bedrag open van veertienduizend euro. Het tolde in mijn hoofd en het zweet brak me uit bij het horen van dat enorme bedrag."
"Ik snapte er niets van, ik had altijd netjes mijn verzekering betaald en nooit een aanmaning gehad. Ik liet mijn afschrijvingen aan de deurwaarder zien als bewijs, met mijn polisnummer. Toen bleek er een tweede verzekering te zijn afgesloten op mijn naam, maar met een ander polisnummer en adres. Iemand anders had dus mijn identiteit gebruikt.
Gestrest belde ik met mijn zorgverzekeraar. Ergens had ik toen nog goede hoop dat dit misverstand snel rechtgezet kon worden. Een administratief foutje dat eenmaal opgehelderd, weer even makkelijk zou verdwijnen."
"Maar zo werkte het niet. De zorgverzekeraar wilde niet met mij in gesprek omdat de zaak was overgedragen aan het incassobureau. Het adres waarop die tweede verzekering was afgesloten konden ze mij niet geven in verband met de privacywetgeving. De daders die mijn identiteit hadden gestolen, werden dus beter beschermd dan ik zelf."
"Vanaf dat moment ging het van kwaad tot erger. Om de haverklap stond er een deurwaarder op de stoep met nieuwe aanmaningen. Niet alleen vanuit instanties, maar ook van postorderbedrijven. Het betrof allemaal onbetaalde rekeningen voor dingen die ik nooit besteld en ontvangen had. Ik werd er wanhopig van."
"Natuurlijk zocht ik hulp. Bij mij is het waarschijnlijk misgegaan toen ik een nieuwe telefoon kocht. Toen deze werd bezorgd, werd aan de deur mijn identiteitsbewijs gescand. Die scan is in de verkeerde handen gevallen.
Een fraudebureau kon achterhalen dat de IP-adressen waarmee bestellingen op mijn naam gedaan zijn, afkomstig zijn uit landen rond de Middellandse Zee. Ik was dus echt slachtoffer geworden van een bende."
"Inmiddels had ik een schuld van meer dan tachtigduizend euro op mijn naam staan. Zes keer stapte ik naar de politie, en zes keer werd ik weggebonjourd zonder dat ik aangifte kon doen. Ze pakten de zaak niet op en gingen niets onderzoeken, want wie kon garanderen dat ik niet zelf die schulden had gemaakt? Ik moest maar met bewijs komen.
Dat was echt een shock, ik dacht dat de politie er was om burgers te beschermen. Maar ik werd gezien als een crimineel. Continu moest ik mezelf verdedigen."
Ik begon een nieuw bedrijf en werkte snoeihard om alles af te betalen. Langzaamaan werd ik opener over mijn situatie. Lange tijd schaamde ik me, omdat zoveel mensen dachten dat ik het zélf had veroorzaakt. Alleen mijn man bleef in mij geloven. Beetje bij beetje besefte ik dat ik me nergens voor moest schamen, en dat ik hier zonder hulp niet uitkwam."
"Online deed ik mijn verhaal en een onbekende las over mijn situatie en heeft toen financiële hulp aangeboden. Dankzij haar steun en natuurlijk mijn eigen aflossingen ben ik sinds twee maanden uit de schulden. Mentaal komt de klap nu pas. Maar ik krijg daar hulp voor en ik heb goede hoop dat ik me gauw beter ga voelen."
"Dit wil ik nooit meer meemaken en ik doe er alles aan om dat te voorkomen. Ik ben nu heel voorzichtig en laat niemand een kopietje of scan van mijn ID maken. Bij een nieuwe telefoon moet dat wel, maar dan maak ik een foto van het identiteitsbewijs van de medewerker.
Online vul ik nergens het documentnummer van mijn paspoort in, want een hacker heeft die gegevens zo te pakken. Iedereen denkt: dit kan niet, zoiets gebeurt mij niet. Maar jaarlijks worden in Nederland meer dan tweehonderdduizend mensen slachtoffer van identiteitsfraude. Het kan echt iedereen gebeuren als je even niet oplet."
Alles bij de bron; RTL
Overheidsinstantie Logius heeft ruim drieduizend actieve DigiD-accounts verwijderd die door criminelen op de illegale online marktplaats Genesis Market werden aangeboden.
De Genesis Market was een marktplaats waarop gestolen gegevens van met malware besmette computers werden aangeboden. Het ging om zaken als inloggegevens, cookies en andere data, waaronder ook gebruikersnamen en wachtwoorden van DigiD-accounts. Naar schatting werden via de marktplaats de gegevens van twee miljoen slachtoffers verhandeld, waaronder vijftigduizend Nederlanders.
Begin april werd de marktplaats tijdens een internationale operatie offline gehaald. Daarbij kregen de autoriteiten gegevens in handen van zowel personen die op Genesis Market actief waren als slachtoffers. Zo bleek dat de inloggegevens van 3154 actieve DigiD-accounts via de marktplaats werden aangeboden.
"Hiermee kunnen hackers het digitale leven van hun slachtoffers overnemen en kunnen mensen de dupe worden van identiteitsfraude", aldus Logius, dat de betreffende accounts heeft verwijderd en gedupeerden via een brief heeft ingelicht.
Alles bij de bron; Security [Thnx-2-Niek]
Slachtoffers van de toeslagenaffaire en datalekken krijgen geen nieuw burgerservicenummer, zo heeft demissionair staatssecretaris Van Huffelen van Digitalisering op basis van onderzoek laten weten. Begin 2021 had VVD-Kamerlid Lodders Kamervragen gesteld over een nieuw BSN voor slachtoffers van de toeslagenaffaire...
...Volgens de onderzoekers zou een nieuw BSN niet de problemen van slachtoffers van de toeslagenaffaire wegnemen. "Als het BSN wijzigt zal de ‘ongewenste historie’ niet verdwijnen. Zelfs als het BSN op de meest grondige manier wordt gewijzigd, zal de historie nog steeds naar een bepaalde persoon zijn te herleiden. Dat komt vooral omdat het BSN niet het enige identificerende gegeven is", zo stellen ze.
Naast slachtoffers van de toeslagenaffaire werd ook gekeken of slachtoffers van datalekken een nieuw BSN zouden moeten krijgen. Het gaat dan om personen van wie het burgerservicenummer onbedoeld is gelekt. Daar stellen de onderzoekers dat het wijzigen van het BSN in zekere zin wel een oplossing is. "Immers, het vervangen van het BSN betekent dat het oude niet meer geldig is en niet meer misbruikt kan worden. Het risico op misbruik wordt gereduceerd."
Er zijn echter ook nadelen. "Tegelijkertijd veroorzaakt het voor de burger veel regeldruk, is er risico op fouten en brengt het voor de overheid veel kosten en risico voor de uitvoering met zich mee", concludeert Van Huffelen, die de aanbevelingen van de onderzoekers volgt en het huidige beleid, waarbij een burger geen tweede of nieuw BSN kan krijgen, ongewijzigd laat.
Alles bij de bron; Security
Een man uit Den Haag is door de rechter veroordeeld tot twee jaar en acht maanden gevangenisstraf, omdat hij acht paspoorten heeft vervalst. Dat deed hij als ambtenaar van de afdeling Burgerzaken bij de gemeente Den Haag.
Romario P. vervalste de paspoorten in de periode van juli tot half september vorig jaar. 'De man heeft zelf aanvraagformulieren ingevuld, betalingen verricht en gebruik gemaakt van biometrische gegevens van niets vermoedende burgers aan de balie', zegt de rechtbank. P. plakte onder meer verkeerde foto's op de paspoorten.
'De rechtbank oordeelt dat hij op geraffineerde wijze misbruik heeft gemaakt van zijn positie als ambtenaar bij de afdeling Burgerzaken van de gemeente Den Haag. Hij heeft het vertrouwen van de burger in de overheid ernstig geschaad. In het maatschappelijk verkeer hoort men erop te kunnen vertrouwen dat ter identificatie gebruikte ambtelijke stukken, zoals paspoorten, een juiste weergave bevatten van de daarin vermelde gegevens.'
Van de opgelegde celstraf zijn acht maanden voorwaardelijk. Ook mag de Hagenaar zes jaar lang niet bij een overheidsinstantie werken waar op welke manier dan ook identiteitsdocumenten worden afgegeven. Het Openbaar Ministerie (OM) had eerder vier jaar cel geëist, waarvan een jaar voorwaardelijk.
Alles bij de bron; OmroepWest
VRT-radiomaker Ward Bogaert ontdekte eind maart dat een fraudeur 79 dozen Rilatine had afgehaald op naam van zijn dochter.
Met een foto van het ziekenfondsklevertje van Bogaerts dochter haalde de fraudeur tientallen dozen af bij verschillende apotheken. Dat wekte wantrouwen bij de politie die de radiomaker opbelde om te vragen of zijn dochter Rilatine nam. Aangezien ze de medicatie zelf niet nam en nooit had gekocht, werd snel duidelijk dat het om een geval van identiteitsfraude ging.
De politie en Bogaert weten niet hoe de dader een foto van de ziekenfondsklever heeft bemachtigd. Mogelijk werden de klevers uit een brievenbus van het ziekenfonds gehaald. Dat de apotheker zo’n klever, met het rijksregisternummer op, als bewijs aanvaardt met een geschreven voorschrift is goed mogelijk.
“Voor een handgeschreven voorschrift is het rijksregisternummer voldoende”, legt apotheker Sophie Peeren uit. Met dat nummer controleert de apotheker of je recht hebt op een terugbetaling.
Sinds 1 januari 2020 moeten artsen medicijnen in principe elektronisch, via een identiteitskaart, voorschrijven. Alleen in uitzonderlijke gevallen wordt er nog op papier voorgeschreven.
Alles bij de bron; deMorgen
Het hackerscollectief Play dreigt ermee komende maandag een halve terabyte aan gevoelige data van Antwerpenaren op het internet te zetten. Op zijn darkwebsite claimt Play dat het gaat over onder meer persoonlijke informatie, paspoorten, identiteitskaarten en financiële documenten. ‘Mensen mogen de gevolgen van zo’n lek niet onderschatten’, zegt ethisch hacker Inti De Ceukelaire....
...Wat kan iemand met een gestolen kopie van je identiteitskaart?
Inti De Ceukelaire: Heel veel. Er kunnen wagens gehuurd worden op jouw naam of leningen aangegaan worden. In sommige ziekenhuizen kun je met een kopie van een identiteitskaart patiëntendossiers opvragen vol medische gegevens die je vervolgens met de post opgestuurd worden. Hetzelfde geldt voor heel wat attesten via overheidswebsites. Je kunt iemand laten schrappen uit de bevolkingsregisters van zijn gemeente. Ook bepaalde beleggingsplatformen laten toe om met een kopie van je identiteitskaart rekeningnummers of persoonsgegevens in te kijken of aan te passen. Op die manier kan iemand met slechte bedoelingen je geld innen. Dankzij de GDPR (de Algemene Verordening Gegevensbescherming die regels oplegt over het verwerken van persoonsgegevens binnen de Europese Unie, nvdr) kun je bij organisaties en bedrijven een verzoek indienen om je persoonlijke gegevens in te kijken of aan te passen. Daarvoor heb je vaak alleen een kopie van je identiteitskaart nodig. Mensen mogen de gevolgen van zo’n lek niet onderschatten.
Met checkdoc.be biedt de overheid wel een manier om na te gaan of een Belgisch identiteitsdocument bekendstaat als gestolen, verloren, verlopen, ongeldig of niet uitgereikt, maar het gebruik van die website is totaal niet ingebakken.
Alles bij de bron; Knack
Een man is bij de balie van de gemeente Alkmaar aangehouden toen hij zich probeerde in te schrijven met de identiteitsdocumenten van iemand anders.
De man identificeerde zich met een identiteitsdocument. De baliemedewerker van de gemeente wantrouwde de situatie, omdat de foto op het identiteitsdocument niet leek op de man die voor haar stond. Zij informeerde de politie.
Die nam vingerafdrukken af bij de man, waardoor duidelijk werd dat de gegevens op de identiteitsdocumenten niet overeen kwamen met de identiteit van de man. Daarom werd de man aangehouden.
Het onderzoek naar de eigenaar van de identiteitsdocumenten wordt voortgezet.
Alles bij de bron; Beveiliging
Een Amerikaan die inbrak op de databases van het University of Pittsburgh Medical Center (UPMC) en daar de persoonsgegevens van meer dan 65.000 medewerkers buitmaakte om die vervolgens op internet te verkopen is veroordeeld tot een gevangenisstraf van zeven jaar.
De man wist in 2013 en 2014 toegang tot de UPMC-databases te krijgen. De persoonlijke informatie die hij daar stal verkocht hij op internet. Met deze gegevens werd vervolgens belastingfraude gepleegd.
Verder wist de Amerikaan van 2014 tot en met 2017 nog eens 90.000 andere sets van persoonlijke informatie te stelen en op internet te verkopen, waarmee wederom identiteitsdiefstal en bankfraude werd gepleegd. Volgens het Amerikaanse ministerie van Justitie is er met de verhandelde data voor in totaal 1,7 miljoen dollar aan onterechte belastingteruggaven ontvangen.
Alles bij de bron; Security