Datalek nieuws en overzicht week 34-2021

Gepubliceerd op 29 augustus 2021 om 09:54
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Datalek bij KvK na misbruik autorisatie door oud-advocaat: 1.800 privéadressen gelekt

Tientallen (oud-)advocaten hebben misbruik gemaakt van een onterechte autorisatie om privégegevens op te vragen in het Handelsregister. Dit meldt de Kamer van Koophandel na een ernstig datalek door toedoen van een oud-advocaat, waarbij onder meer adressen van Tweede Kamerleden zijn gelekt.

De KvK trad eind vorige week zelf naar buiten over het datalek. Een voormalig advocaat – begin dit jaar uitgeschreven – had nog tot en met juni dit jaar privégegevens van (publieke) personen opgevraagd in het Handelsregister. Hiermee maakte hij misbruik van een autorisatie die nog niet was ingetrokken, waarmee een gebruiker niet-openbare privéadressen van bijvoorbeeld politici of bestuursfunctionarissen kan opvragen.

De reden dat de oud-advocaat dit nog maanden kon blijven doen: ‘Autorisatiehouders zijn zelf verantwoordelijk voor het laten intrekken van autorisaties,’ aldus de KvK. Volgens de KvK is slechts een beperkt aantal instanties en beroepsgroepen bevoegd om zulke privégegevens in te zien, waaronder justitie, advocaten, notarissen en deurwaarders.


Datalek treft pornosite: gsm-nummers duizenden abonnees op straat

Door een datalek liggen duizenden telefoonnummers van abonnees van een mobiele pornosite op straat. Dat heeft VTM Nieuws (B) ontdekt. Het lek is opgetreden bij een tussenbedrijf dat de facturatiegegevens doorgeeft aan gsm-providers, hebben alerte IT’ers opgemerkt. De beveiliging van dit bedrijf lijkt zo lek als een zeef. Door telefoonnummers in te geven kon worden nagegaan of een nummer ‘matcht’ met een betalende gebruiker van de niet nader genoemde pornosite. Het was zo mogelijk om gehele contactlijsten daarop te ‘controleren’. VTM Nieuws nam de proef op de som. Op 4.800 nummers kwam aan het licht dat zo’n 140 nummers betalende content hadden bekeken, onder wie een minister, een ex-minister en een topadvocaat. “Tussenbedrijf Wister Mobile Services verzamelde veel meer dan enkel een telefoonnummer”, benadrukt IT-journalist Kenneth Dée. “Zo werd bijgehouden wat de gebruiker in het verleden had bekeken, met welke smartphone naar de site werd gesurft en wanneer de gebruiker dat deed. Kijk, er is niets mis met het kijken van porno. Dat is niet het punt. Het gaat erom dat het om gevoelige info gaat die tot de privacy behoort, en dat wordt door het datalek zwaar met de voeten getreden.” Operatoren Proximus en Orange stellen dat het probleem geheel bij Wister Mobile Services ligt. Proximus laat alvast weten dat de samenwerking wordt herbekeken. Pas na enkele uren kon VTM Nieuws Wister contacteren voor een reactie. Het tussenbedrijf erkent de fout en heeft naar eigen zeggen het formulier en de pagina offline gehaald. De pagina was enkel in het leven geroepen voor de telefonisten van Wister, luidt het. Het bedrijf is in meerdere landen actief, waaronder Frankrijk en Noorwegen.


Mogelijk datalek bij provincie Gelderland

De provincie Gelderland is getroffen door een datalek. Bij de aanval zijn personeelsdossiers van de provincie mogelijk in handen gevallen van onbekenden. Dit meldt onder meer het AD op basis van een persbericht van de provincie. Het lek vond plaats door een cyberaanval op een extern ICT-bedrijf dat de dossiers van medewerkers van de provincie bijhoudt. Het lek is woensdagavond ontdekt, waarna het is gedicht. De provincie deed donderdagochtend aangifte bij de politie. Ook is melding gemaakt bij de Autoriteit Persoonsgegevens en is het personeel geïnformeerd. De provincie onderzoekt nog of en van welke specifieke medewerkers gegevens zijn uitgelekt.


SP wil opheldering over datalek bij KvK

De Socialistische Partij (SP) wil dat minister Blok duidelijkheid geeft over het datalek bij de Kamer van Koophandel (KvK) dat deze week aan het licht kwam. De fractie van Lilian Marijnissen wil onder meer weten hoe het mogelijk is dat een voormalige advocaat maandenlang toegang had tot privégegevens van Kamerleden. Tevens wil de partij van de minister weten of hij zo snel mogelijk het plan van de toezichthouder gaat uitvoeren om woongegevens van zzp’ers onzichtbaar te maken.

Dat blijkt uit schriftelijke vragen van Renske Leijten (SP) aan demissionair minister van Economische Zaken en Klimaat Stef Blok.

Een Datalek Bij De Kamer Van Koophandel
PDF – 39,4 KB 281 downloads

Datalek bij fiscus: brieven aan belastingadviseurs verkeerd geadresseerd

De Belastingdienst heeft een aantal brieven over bezwaren tegen de box 3-heffing aan de verkeerde belastingadviseurs gestuurd. Van de fout is melding gemaakt bij de Autoriteit Persoonsgegevens. Het gaat om brieven met dagtekening 14 augustus 2021, waarin de naam en het burgerservicenummer van personen staan vermeld. ‘Wij hebben onlangs brieven verstuurd aan fiscaal dienstverleners over het bezwaar vermogensrendementsheffing box 3 van hun klanten. Hierin staat dat het bezwaarschrift meeloopt in de massale bezwaarprocedure voor box 3’, aldus de fiscus over de inhoud van de brief. Het probleem is dat zulke brieven ook zijn verstuurd aan fiscaal dienstverleners die de betrokken persoon helemaal niet als klant hebben. ‘Bij het opstellen van de brieven is een fout gemaakt. Het koppelen van de burgerservicenummers aan beconnummers is niet goed gegaan. Hierdoor zijn er mogelijk gegevens van klanten waarvoor u niet de gemachtigde bent aan uw kantoor verzonden. Behalve naam en burgerservicenummer stonden er geen persoonsgegevens in de brief.’ De fout valt onder het lekken van persoonsgegevens. ‘Wij hebben deze fout daarom gemeld bij de Autoriteit Persoonsgegevens.’ Binnenkort wordt een juiste brief verstuurd en een algemene brief met meer informatie. De klanten van wie de persoonsgegevens gelekt zijn, krijgen een excuusbrief.


57 datalekken in 2020 bij noordwest ziekenhuis, bescherming privacy kon beter

Bij de Noordwest Ziekenhuisgroep in Alkmaar en Den Helder zijn vorig jaar in totaal 57 datalekken ontdekt. In negentien gevallen is melding gemaakt bij de Autoriteit Persoonsgegevens. Dat valt te lezen in het jaarverslag 2020 van de Noordwest Ziekenhuisgroep. In 2019 ging het nog om 66 datalekken en 28 meldingen, zo viel nog in 2019 in het jaarverslag te lezen. Van een datalek is sprake wanneer patiëntinformatie per vergissing in verkeerde handen valt, openbaar is in te zien of is kwijtgeraakt. Van de 57 gevallen in 2020 waren 19 datalekken ernstig genoeg om bij de Autoriteit Persoonsgegevens te melden. 17 keer moest ook de betrokkene worden ingelicht.


‘Verkeerd geconfigureerde Power Apps-applicaties lekken miljoenen bestanden’

Volgens securitybedrijf UpGuard hebben applicaties op basis van low-codeplatform Microsoft Power Apps te maken met een datalek van 38 miljoen bestanden. Oorzaak was het vergeten aan te zetten van een belangrijke security-setting. Verkeerde configuratie-instellingen kunnen tot datalekken en andere securityrisico’s leiden. Dit blijkt ook bij verkeerd geconfigureerde applicaties op basis van het low-codeplatform van Microsoft. Uit onderzoek van securityspecialist UpGuard, een startup dat software ontwikkelt voor het vinden van kwetsbaarheden in IT-infrastructuur, is gebleken dat verkeerd geconfigureerde applicaties op basis van Power Apps tot een datalek van maar liefst 38 miljoen bestanden heeft geleid. In totaal ging het hierbij om duizend verschillende applicaties van meerdere bedrijven, waaronder grote multinationals als Ford, American Airlines en ook Microsoft zelf. Het datalek in de met Power Apps vervaardigde applicaties zorgde ervoor dat zonder wachtwoord toegang tot de data in de betreffende applicaties kon worden verkregen. Hierdoor werd onder meer persoonlijke data beschikbaar, waaronder Social Security-nummers en persoonlijke informatie voor Covid-19-tracing.

How Default Permissions On Microsoft Power Apps Exposed Millions
PDF – 1,2 MB 358 downloads

JPMorgan Chase Bank waarschuwt voor datalek met rekeninggegevens

De Amerikaanse bank JPMorgan Chase heeft klanten gewaarschuwd voor een datalek waarbij hun rekeninggegevens en rekeningafschriften mogelijk door andere klanten zijn ingezien. Volgens de bank zorgde een "technisch probleem" ervoor dat klanten met "soortgelijke persoonlijke informatie" de rekeninginformatie van klanten op Chase.com of binnen de Chase-app konden zien. Het gaat dan om transacties, namen en rekeningnummers. Ook kan het zijn dat deze andere klanten rekeningafschriften van de getroffen klanten ontvingen. Voor zover bekend zijn er geen aanwijzingen dat er misbruik van de rekeninginformatie is gemaakt. Hoeveel klanten precies zijn gedupeerd is onbekend. Tevens worden er geen verdere details over het technische probleem gegeven. JPMorgan Chase biedt getroffen klanten de mogelijkheid om een jaar lang kosteloos hun krediet te laten monitoren. In dit geval worden klanten gewaarschuwd als er iets aan hun kredietinformatie veranderd.

Notification Letter 51
PDF – 252,5 KB 423 downloads

Voormalig klanten klagen T-Mobile US aan na mega-datalek

T-Mobile US wordt door een aantal voormalige klanten voor de rechter gesleept vanwege het datalek waarbij gegevens van miljoenen klanten werden gelekt. Dat meldt Fox News. De eisers beschuldigen het bedrijf van nalatig gedrag. Er zouden gegevens zijn gelekt van in totaal zo'n 53 miljoen klanten. Het telecombedrijf heeft volgens de eisers zijn klanten niet adequaat beschermd. In de aanklacht valt te lezen dat gevreesd wordt dat kwaadwillenden met de informatie op frauduleuze wijze een uitkering kunnen aanvragen, rekeningen openen en leningen afsluiten. Ook kunnen criminelen met de gegevens valse informatie verstrekken aan de politie in geval van een arrestatie. Een andere eiser stelt dat slachtoffers van het datalek inmiddels al meer dan duizend uur hebben besteed aan allerlei privacykwesties. Het zou slachtoffers veel tijd kosten om alle financiële overzichten te controleren op ongeautoriseerde activiteiten.


Datalek bij Radboudumc is veroorzaakt door voormalige medewerker

Het datalek bij het Radboudumc in Nijmegen is te wijten aan een oud-medewerker, meldt het ziekenhuis in een update. Door het lek liggen de gegevens van een onbekend aantal medewerkers op straat.

Het ziekenhuis ontdekte het datalek eerder deze maand. Namen, inlognamen, e-mailadressen en telefoonnummers van ziekenhuismedewerkers zijn gelekt. Ook de gegevens van werknemers van organisaties waarmee het Radboudumc samenwerkt liggen op straat. Het ziekenhuis meldt nu dat een oud-medewerker bestanden online heeft gezet op GitHub, een online platform waarop softwareontwikkelaars kennis met elkaar delen. Het ging vooral om scripts, codes die gebruikt worden om processen te automatiseren. Er stond echter ook vertrouwelijke informatie tussen, zoals persoonlijke gegevens. Uit onderzoek van het ziekenhuis is gebleken dat de informatie door derden is ingezien. Een persoon kreeg door de scripts toegang tot de servers van het ziekenhuis en plaatste daarop software om cryptovaluta te generen. Het ziekenhuis heeft tegen beide personen aangifte gedaan. Eerder werd het lek al gemeld bij de Autoriteit Persoonsgegevens.



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken