Datalek nieuws en overzicht week 33-2021

Gepubliceerd op 22 augustus 2021 om 10:28
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Provincie Gelderland mogelijk slachtoffer van datalek na inbraak op systeem

Na een inbraak op een systeem is de provincie Gelderland mogelijk slachtoffer van een datalek geworden, zo laat de provincie zelf weten. De inbraak zou hebben plaatsgevonden tijdens het bijwerken van personeelsdossier door een extern ict-bedrijf. Details ontbreken nog, maar de aanvaller zou via een kwetsbaarheid in het systeem zijn binnengekomen. Zowel het AD en Omroep Gelderland melden op basis van een persbericht dat de kwetsbaarheid in het systeem is verholpen. De provincie heeft inmiddels aangifte en gedaan en de Autoriteit Persoonsgegevens is ingelicht. Of er ook gegevens van ambtenaren zijn buitgemaakt wordt nog onderzocht. De provincie stelt dat de inbraak geen gevolgen voor de veiligheid van andere digitale werkzaamheden in de provincie heeft. Vanwege het lopende onderzoek wil de provincie voorlopig geen aanvullende details over de inbraak geven.


Datalek radboudumc, gegevens medewerkers op internet

Universitair ziekenhuis Radboudumc meldde eind vorige week een datalek, waarbij gegevens van eigen medewerkers en partnerorganisaties betrokken waren. Gegevens van patiënten zijn niet op straat terecht gekomen. Het lek is volgens het ziekenhuis gedicht. Verder zijn er maatregelen genomen om herhaling en verdere schade te voorkomen. Uit onderzoek van het CBS eerder dit jaar bleek dat een datalek in de zorg vrij regelmatig plaatsvindt. “Digitale veiligheid is een groot goed, zeker in de zorg, en heeft voortdurend onze aandacht”, aldus Mark Janssen, lid Raad van Bestuur bij het Radboudumc in een reactie. “We vinden het enorm vervelend dat we er desondanks niet in geslaagd zijn dit incident te voorkomen. Onze welgemeende excuses aan alle collega’s en partnerorganisaties die overlast ervaren als gevolg van deze situatie.”


Datalek persoonsgegevens bij de gemeente

Op vrijdag 30 juli heeft er bij de gemeente Zoetermeer een datalek plaatsgevonden. Op deze dag had er een uitkeringsspecificatie gestuurd moeten worden naar 169 klanten. Het printen en verzenden van de specificaties heeft de gemeente bij een externe drukkerij belegd. Daar is bij het printen van de specificaties een fout optreden. Door een verkeerde instelling van de printer is er dubbelzijdig geprint. Hierdoor kreeg de helft van de klanten geen specificatie, de andere helft van de klanten kreeg op de achterkant van hun specificatie de gegevens van een andere klant zoals onder andere NAW gegevens, BSN en de specificatie en rekeningnummer. De gemeente heeft de datalek gemeld bij de Autoriteit Persoonsgegevens. De situatie is in kaart gebracht en er worden maatregelen genomen om herhaling te voorkomen. Ook hebben de betreffende klanten een nieuwe juiste specificatie gekregen en is uitgelegd wat er is gebeurd. En uiteraard zijn excuses aangeboden. “We vinden het pijnlijk en vervelend dat de persoonsgegevens van burgers op deze manier terecht zijn gekomen bij andere burgers”, aldus het college. “Bescherming van persoonsgegevens staat hoog op de agenda van het college en het college blijft zich hiervoor inzetten.” De fractie van de VVD heeft over dit onderwerp schriftelijke vragen gesteld. “De Autoriteit Persoonsgegevens heeft concrete aanbevelingen gepubliceerd voor de ontwikkeling van zogenoemde Smart City toepassingen waarbij met slimme sensoren en meetapparatuur kunnen worden ingezet. VVD-fractievoorzitter Rob Duiven wil weten of het college van plan is om deze Smart City-toepassingen in te zetten. “De VVD is voorstander om innovatieve slimme oplossingen in te zetten om privacy te waarborgen. “


Commissie: datalek toont dat controle coronatestbedrijven onvoldoende was

Een recent datalek met een coronatestbedrijf heeft aangetoond dat de controle op de naleving van de aansluitvoorwaarden onvoldoende was. Er moet dan ook meer regie komen op het toezicht van commerciële testaanbieders, zo heeft de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 aan demissionair minister De Jonge van Volksgezondheid bekendgemaakt. De commissie adviseert de minister over digitale ondersteuning bij de bestrijding van corona. Testbedrijven kunnen op CoronaCheck worden aangesloten, zodat testresultaten vanuit de app beschikbaar zijn. Het bedrijf Testcoronanu kwam eind juli in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen. Er gelden verschillende voorwaarden om op CoronaCheck aangesloten te worden. "Het recente datalek bij een commerciële testaanbieder heeft duidelijk gemaakt dat de controle op naleving van de aansluitvoorwaarden, waaronder een pentest, voor aanvang niet voldoende is geweest", aldus de Begeleidingscommissie. Die adviseert om controle op naleving van de aansluitvoorwaarden voor aanvang aan te scherpen en grondig te controleren of informatiebeveiligingsmaatregelen op het vereiste niveau zijn. Eerder stelde De Jonge dat een goede pentest de gevonden kwetsbaarheid had moeten vinden. De minister voegde toe dat elke testaanbieder na de aansluiting op CoronaCheck periodiek wordt gemonitord. Vanwege de recente aansluiting was Testcoronanu nog niet aan bod gekomen. De begeleidingscommissie adviseert om de controle in de eerste week na de aansluiting te laten plaatsvinden. Verder raadt de Begeleidingsscommissie aan om het monitoringsproces aan te scherpen en de periode tussen de scans na aansluiting zo kort mogelijk te houden. Verder zou een derde partij deze scans in opdracht van het ministerie van Volksgezondheid moeten uitvoeren. "Dit alles om mogelijk volgende incidenten te voorkomen." De minister stelt dat hij ervoor heeft gekozen om extra controles door een team van het ministerie zelf uit te laten voeren. "Ik vind het belangrijk deze kennis zelf in huis te hebben en heb dus niet gekozen voor het inschakelen van een externe partij."

Igheid En Gebruik Corona Check Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid 19
PDF – 347,2 KB 314 downloads

Meer Amerikanen slachtoffer van datalek bij T-Mobile dan gedacht

Het aantal klanten dat slachtoffer van een datalek bij T-Mobile is geworden, is groter dan aanvankelijk gedacht. De telecomprovider meldt vrijdag in een update dat de gegevens van nog eens 5,3 miljoen Amerikanen zijn buitgemaakt. Eerder meldde T-Mobile al dat de gegevens van 7,8 miljoen klanten zijn gestolen. Ook hebben de cybercriminelen nog eens 40 miljoen gegevens van onder anderen voormalige klanten van het telecombedrijf buitgemaakt. Sindsdien heeft de provider ontdekt dat nog eens 667.000 voormalige en potentiële klanten in de VS slachtoffer zijn geworden van het datalek. De gestolen klantgegevens bevatten onder meer voor- en achternamen, geboortedata en persoonsnummers. Er zijn geen aanwijzingen dat er financiële gegevens zijn gelekt, zegt T-Mobile.


AT&T ontkent datalek met gegevens van 70 miljoen klanten

De Amerikaanse telecomprovider AT&T ontkent dat een dataset met de gegevens van naar verluidt 70 miljoen klanten bij het bedrijf vandaan komt. Op een forum voor cybercriminelen wordt een database te koop aangeboden die volgens de aanbieder namen, adresgegevens, telefoonnummers, social-securitynummers en geboortedata van zeventig miljoen AT&T-klanten bevat, zo meldt securitybedrijf Cyble. Onlangs werd op hetzelfde forum een database met gegevens van Amerikaanse T-Mobile-klanten te koop aangeboden. T-Mobile bevestigde dat het inderdaad slachtoffer van een inbraak was geworden waarbij de gegevens van miljoenen klanten waren buitgemaakt. Volgens AT&T is er echter geen sprake van een datalek. "Gebaseerd op ons onderzoek vandaag lijkt de informatie die in een internet chatroom verscheen niet van onze systemen afkomstig te zijn", aldus de provider in een verklaring. Waar de data dan vandaan komt is onbekend.

Shiny Hunters Selling Alleged AT
PDF – 755,8 KB 434 downloads

Uitgeverij Pearson betaalt 1 miljoen dollar boete voor bagatelliseren datalek

De Britse uitgeverij Pearson moet een boete van 1 miljoen dollar betalen wegens het bagatelliseren van een datalek waarbij miljoenen studentengegevens werden gestolen en er misleidende verklaringen werden gegeven. Dat heeft de Amerikaanse beurswaakhond SEC aangekondigd. Pearson is een grote uitgever van schoolboeken. Aanvallers wisten in 2018 studentengegevens, waaronder geboortedata en e-mailadressen, alsmede inloggegevens van systeembeheerders van 13.000 klantenaccounts van schooldistricten en universiteiten te stelen. Het ging om miljoenen studentenrecords. In het jaarrapport van 2019 noemde Pearson een datalek een "hypothetisch risico", ook al wist het bedrijf dat een datalek zich in 2018 had voorgedaan. De uitgeverij kwam in juli 2019 met een mediaverklaring dat bij het datalek mogelijk geboortedata en e-mailadressen waren gestolen, ook al wist het bedrijf dat die gegevens wel degelijk waren buitgemaakt. Verder stelde Pearson dat het over strikte beveiligingsmaatregelen beschikte, ook al had het nagelaten een kritieke kwetsbaarheid te patchen waardoor de aanvaller uiteindelijk wist binnen te komen. Op 21 maart 2019 ontdekte Pearson dat een aanvaller een kwetsbaarheid in AIMSweb had gebruikt om miljoenen records van een server te downloaden. Het ging om een kritiek beveiligingslek waardoor een aanvaller willekeurige code op kwetsbare servers kan uitvoeren. De ontwikkelaar kwam in september 2018 met een beveiligingsupdate voor dit lek in AIMSweb. Pearson wist in september 2018 dat de patch beschikbaar was, maar installeerde die pas in maart 2019 nadat het datalek was ontdekt. In juli 2019 waarschuwde Pearson klanten voor het datalek, maar meldde niet dat gebruikersnamen en wachtwoordhashes van schoolbeheerders waren buitgemaakt. Die bleven daardoor risico lopen, aldus de SEC. Eind juli kwam Pearson met een mediaverklaring die volgens de SEC voor verschillende redenen misleidend was. Volgens de beurswaakhond is het belangrijk dat bedrijven die met een datalek te maken krijgen juiste informatie aan investeerders over het incident geven en heeft Pearson hierbij verschillende regels overtreden. De uitgeverij en de SEC zijn nu overeengekomen dat Pearson een boete van 1 miljoen dollar betaalt.


Colonial Pipeline waarschuwt voor datalek na ransomware-aanval

De Colonial Pipeline Company heeft bijna zesduizend mensen gewaarschuwd voor een datalek nadat criminelen eerder dit jaar toegang tot hun persoonlijke gegevens kregen. De data werd gestolen bij de ransomware-aanval in mei. Volgens de brief aan gedupeerde personen hebben aanvallers op 6 mei persoonlijke informatie buitgemaakt, zoals naam, contactgegevens, geboortedatum, social-securitynummer, rijbewijsnummer en gezondheidsgerelateerde informatie. De in totaal 5810 getroffen personen kunnen vanwege het datalek een jaar lang kosteloos hun krediet laten monitoren. De criminelen achter de aanval wisten volgens een securitybedrijf dat het incident onderzocht door middel van een gelekt vpn-wachtwoord binnen te komen. Vanwege de aanval besloot het bedrijf de grootste brandstofpijplijn in de Verenigde Staten uit te schakelen. Alleen de administratiesystemen waren echter door de ransomware getroffen en verschillende bronnen lieten weten dat de beslissing om de brandstofpijplijn uit te schakelen was genomen vanwege zorgen over de mogelijkheid om te kunnen blijven factureren. Vanwege de uitval werd in verschillende staten de noodtoestand afgekondigd en ontstonden er tekorten bij duizenden tankstations. Colonial betaalde de aanvallers uiteindelijk 4,4 miljoen dollar losgeld.


VS lekken lijst met mogelijke terroristen

Een lijst met gegevens van 1,9 miljoen mensen heeft wekenlang online gestaan zonder wachtwoord. Alles wijst er op dat het om een lijst met mogelijke terroristen gaat. De dataset bevat de naam, geboortedatum, het geslacht, paspoortdetails, of de persoon op een no-fly lijst staat en andere minder duidelijke indicatoren. Securityonderzoeker Bob Diachenko van Comparitech ontdekte de lijst op een Elasticsearch cluster waar het zonder wachtwoord werd bewaard. Wat de lijst precies is, wordt formeel niet bevestigd, maar zaken als de no-fly status en omschrijvingen zoals 'TSC watchlist ID' (TSC staat voor Terrorist Screening Center) doen zeer sterk vermoeden dat het om een lijst gaat die Amerikaanse instellingen of luchtvaartmaatschappijen hanteren om mogelijke terroristen te identificeren. Diachenko ontdekte de lijst op 19 juli en verwittigde het Amerikaanse Department of Homeland Security. Sinds 9 augustus is de lijst offline gehaald. Maar ze werd is intussen ook geïndexeerd door zoekmachines, waardoor Diachenko waarschijnlijk niet de enige is die de gegevens heeft. Diachenko zegt op LinkedIn dat hij bedankt werd door DHS voor het wijzen op het datalek, maar verder geen uitleg kreeg over de lijst of hoe ze online kwam. Hoewel de TSC-verwijzing doet vermoeden dat het om een dataset gaat die door Amerikaanse instellingen werd samengesteld, stond de data op een server in Bahrein.


Klant- en bedrijfsgegevens toegankelijk door bug op website Ford

Door een verkeerde instelling bij Ford Motor hadden hackers vrij spel om allerlei bedrijfs- en privacygevoelige te raadplegen. Kwaadwillenden hadden toegang tot de databases met klantgegevens, privégegevens van medewerkers, het interne ticketsysteem en concurrentiegevoelige informatie. Tevens was het mogelijk om accounts van klanten en medewerkers van afstand over te nemen.

Dat meldt BleepingComputer.



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken