Datalek nieuws en overzicht week 35-2021

Gepubliceerd op 5 september 2021 om 13:49
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Hacker wil geld zien van HAN voor datalek waarbij ‘180.000 gegevens’ in verkeerde handen terechtkwamen

De hacker die via het computersysteem van de Hogeschool van Arnhem en Nijmegen (HAN) persoonsgegevens van studenten en medewerkers in handen heeft gekregen, eist geld van de hogeschool. Dat heeft de HAN bevestigd tegenover de Gelderlander, na berichtgeving van de NOS. Om welk bedrag het gaat en wat de hacker van plan is als er niet wordt betaald, is niet bekend. Mogelijk kunnen de gegevens gepubliceerd of verkocht worden. Het datalek waar de HAN mee te kampen heeft, kwam woensdag aan het licht doordat de school een bericht van de hacker ontving. Het datalek, waarbij persoonsgegevens in handen van derden zijn terechtgekomen, wordt momenteel met de hoogste prioriteit onderzocht. Het gaat volgens bronnen om 180.000 gegevens. De HAN kan dit nog niet bevestigen, omdat het onderzoek nog loopt.


Hackers stelen personeelsdossiers van medewerkers provincie Gelderland

Buitenlandse hackers hebben de personeelsdossiers van medewerkers van de provincie Gelderland weten buit te maken bij een digitale inbraak. Er zijn geen aanwijzingen dat de gestolen gegevens op het dark web of elders zijn gepubliceerd of te koop worden aangeboden. De daders hebben geen losgeldeisen kenbaar gemaakt. Dat schrijft de provincie Gelderland in een persverklaring.


Bangkok Airways meldt datalek met passagiersgegevens na ransomware-aanval

De Thaise luchtvaartmaatschappij Bangkok Airways heeft passagiers gewaarschuwd voor een datalek nadat criminelen achter de LockBit-ransomware toegang tot systemen wisten te krijgen. Vorige week meldde de ransomwaregroep op de eigen website dat het meer dan tweehonderd gigabyte aan data had buitgemaakt en het deze gegevens zou publiceren als de luchtvaartmaatschappij het losgeld niet betaalde. In een verklaring op de eigen website bevestigt Bangkok Airways dat het slachtoffer van een cyberaanval is geworden en er ongeautoriseerde toegang tot systemen heeft plaatsgevonden. Daarbij zijn ook persoonlijke gegevens van passagiers buitgemaakt, waaronder naam, nationaliteit, geslacht, telefoonnummer, e-mailadres, adresgegevens, contactgegevens, paspoortinformatie, reisgeschiedenis, gedeeltelijke creditcardinformatie en maaltijdvoorkeuren. Van hoeveel passagiers de gegevens zijn gestolen is niet bekendgemaakt. Wel waarschuwt de luchtvaartmaatschappij passagiers om alert te zijn op verdachte e-mails of telefoontjes waarbij aanvullende gegevens worden ontfutseld. Verdere details over de aanval zijn niet gegeven. Bangkok Airways stelt dat het de beveiliging van de systemen wel gaat aanscherpen. Aangezien de luchtvaartmaatschappij het gevraagde losgeld niet betaalde heeft de LockBit-groep de gestolen data via de eigen website inmiddels openbaar gemaakt.


Coronatests en persoonlijke gegevens 700.000 Fransen gelekt via website

Door een groot datalek in Frankrijk zijn de coronatestresultaten en persoonlijke gegevens van 700.000 Fransen op straat komen te liggen. Het gaat om namen, geboortedata, adresgegevens, telefoonnummers, geslacht, burgerservicenummers, e-mailadressen en testresultaten. Het datalek deed zich voor bij een op WordPress gebaseerd platform genaamd Francetest dat de gegevens van coronatests die bij apotheken worden uitgevoerd doorstuurt naar een platform van de Franse overheid. Een wachtwoord dat aanwezig was in een voor iedereen toegankelijk bestand op de website zou de oorzaak van het datalek zijn. Ook zou de website verschillende basale beveiligingsmaatregelen niet hebben getroffen. Een patiënt die zijn resultaten via het platform wilde ophalen ontdekte dat het mogelijk was om gegevens van andere patiënten te benaderen en zelfs een account aan te maken, laat Mediapart weten. Het bedrijf achter het platform heeft het datalek inmiddels bij de Franse privacytoezichthouder CNIL gemeld, dat tevens een onderzoek is gestart, meldt Sud Ouest.


OM eist celstraffen voor datalek door GGD'ers

Voor het verkopen en aanbieden van persoonsgegevens uit coronadossiers van de GGD is dinsdagmiddag voor de rechtbank in Utrecht een jaar celstraf geëist tegen de 21-jarige Mourad Z. uit Heiloo, waarvan vier maanden voorwaardelijk. Tegen de tweede verdachte in het onderzoek naar het datalek bij de GGD, de 23-jarige Armin L. uit Alblasserdam, eiste het OM een halfjaar celstraf, waarvan de helft voorwaardelijk. "Ben je op zoek naar iemands gegevens zoals een adres of telefoonnummer? Dan ben je hier aan het goede adres". Met die tekst bracht Z. volgens het OM de gestolen persoonsgegevens op Telegram aan de man, onder anderen van Peter R. de Vries, John van den Heuvel, Kees van der Spek, Ahmed Aboutaleb en bekende criminelen. Die informatie haalde Z. uit het CoronIT-systeem, waar hij als GGD-medewerker van het ingehuurde contactcenter toegang tot had. Onderzoek naar het datalek bij de gezondheidsorganisatie wees begin dit jaar uit dat een handvol personeelsleden zonder toestemming in dossiers had "lopen rondneuzen". Volgens het OM keek Z. bij 101 mensen onrechtmatig in de dossiers. In 62 gevallen maakte hij foto’s van persoonsgegevens. Daarna bood hij het aan. "Ik was nieuwsgierig geworden toen ik op het nieuws hoorde dat in het coronadossier van Aboutaleb was gekeken. Ik dacht niet dat dit kon’’, zei Z. "Toen ben ik met mijn stomme hoofd gaan kijken.’’ Ook de twee jaar oudere medeverdachte L. - geen bekende van Z.- was nieuwsgierig naar gegevens van idolen als Badr Hari en Lil' Kleine. "Ik wist niet dat het niet mocht’’, zei hij. "Ik had het eerder voor vrienden gedaan en was in zes maanden niet op de vingers getikt." Foto's stuurde hij naar een vriend, waarna ze op Telegram terechtkwamen. De advocaat van L. vond de strafeis te hoog. Volgens haar waren de privacyregels niet duidelijk. De raadsman van Z. stelde: "Onze eigen overheid is zelf verantwoordelijk dat dit systeem er was. In allerijl is er een callcenter opgericht, de privacybescherming is uit het oog verloren.’’ De GGD GHOR wilde niet reageren, maar de officier stelde dat Z. en L. de wet moesten kennen. "Bij de training is er ook ruimschoots aandacht voor geweest.’’


Amerikaanse beurswaakhond legt 750.000 dollar aan boetes op voor datalekken

De Amerikaanse beurswaakhond SEC heeft verschillende bedrijven in totaal 750.000 dollar aan boetes opgelegd wegens datalekken waarbij de gegevens van duizenden klanten op straat kwamen te liggen. De bedrijven in kwestie zijn actief als investeringsadviesbedrijven en handelaren. Vijf onderdelen van de Cetera Financial Group kregen een boete van 300.000 dollar opgelegd wegens een serie datalekken die tussen november 2017 en juni 2020 plaatsvonden. Aanvallers wisten toegang tot meer dan zestig e-mailaccounts van Cetera-medewerkers te krijgen. In deze e-mailaccounts stonden de persoonlijke identificeerbare gegevens van minstens 4300 klanten. Volgens de SEC was geen van de overgenomen e-mailaccounts beveiligd op een manier die aan het beleid van Cetera voldeed. Daarnaast vond de beurswaakhond dat de datalekmelding aan getroffen klanten misleidende taal bevatte die suggereerde dat de melding eerder na de ontdekking van het datalek was verstuurd dan in werkelijkheid het geval was. Twee onderdelen van Cambridge Investment moeten een boete van 250.000 dollar betalen. Tussen januari 2018 en juli 2021 werden de e-mailaccounts van 121 Cambridge-medewerkers overgenomen. Daardoor lekte de persoonlijke informatie van minstens 2177 klanten. De SEC ontdekte dat na de eerste aanval in januari 2018 waarbij een e-mailaccount werd overgenomen er geen maatregelen werden getroffen om accounts beter te beschermen. Dit gebeurde pas dit jaar. De SEC stelt dat dit tot nieuwe datalekken bij het bedrijf heeft geleid. Als laatste kreeg KMS Financial Services een boete van 200.000 dollar opgelegd. Aanvallers kregen tussen september 2019 en december 2019 toegang tot de e-mailaccounts van vijftien KMS-medewerkers. Dit zorgde voor een datalek met de gegevens van 4900 KMS-klanten. Het bedrijf bleek tot mei 2020 geen geschreven beleid en procedures te hebben waarin extra beveiligingsmaatregelen werden afgedwongen. Daarnaast werden deze extra maatregelen pas in augustus 2020 geïmplementeerd. Daardoor liepen klanten extra risico, aldus de SEC.


Ambtenaren provincie Gelderland mogen nieuw paspoort wegens datalek

Veertienhonderd ambtenaren van de provincie Gelderland mogen wegens een datalek bij een extern ict-bedrijf waarbij hun personeelsdossiers werden buitgemaakt een nieuw paspoort aanvragen. Dat laat Omroep Gelderland weten. Criminelen wisten bij het niet nader genoemde ict-bedrijf "een fors volume aan digitale data" te stelen, waaronder de Gelderse personeelsdossiers, zo maakte de provincie eerder bekend. Vanwege het datalek adviseert de provincie aan gedupeerde medewerkers om een nieuw paspoort aan te vragen. "Daarmee is onzekerheid weggehaald, je kunt dan aan de voorkant problemen proberen te voorkomen", aldus een woordvoerder. Tegenover De Gelderlander stelt een woordvoerder dat het hier om een vrijwillige keuze gaat. "Als mensen zich zorgen maken over hun gegevens kunnen ze een nieuw paspoort aanvragen." Vanwege de datadiefstal heeft de provincie de samenwerking met het ict-bedrijf stopgezet. Daarnaast zijn alle eerder beschikbaar gestelde gegevens aan het bedrijf vernietigd.


Zijn je gegevens op straat beland? Schadevergoeding krijgen is bijna onmogelijk

Criminelen betalen graag voor persoonlijke gegevens. Zo kan ook jouw naam, adres of bankrekeningnummer in verkeerde handen vallen. Dat begint bij een datalek, bijvoorbeeld na een hack. Of omdat een medewerker slordig met jouw gegevens omgaat. Kun je een schadevergoeding krijgen als een bedrijf, overheidsinstelling of andere organisatie de controle over jouw gegevens verliest? Lees verder


Fujitsu ontkent bron te zijn van datalek

Gegevens die afgelopen week op het darkweb zijn aangeboden als gestolen Fujitsu data zijn niet bij Fujitsu gestolen, meldt de IT service provider. De gegevens lijken volgens het bedrijf betrekking te hebben op klanten, en niet op eigen systemen van Fujitsu. De data worden aangeboden door een groep genaamd Marketo. De groep claimt op een website op het darknet 4GB aan gestolen data van Fujitsu in handen hebben. Ook publiceerde zij een sample van de data en claimden dat de dataset onder meer vertrouwelijke klantgegevens, bedrijfsgegevens, budgetdata, rapporten en andere bedrijfsdocumenten omvat. In een reactie aan ZDNet meldt een woordvoerder van Fujitsu op de hoogte te zijn van de claim. In mei vond een datalek plaats bij Fujitsu, waarbij via Fujitsu's ProjectWEB platform data van Japanse overheidsinstanties is gestolen. De woordvoerder meldt dat er geen aanwijzigingen zijn dat de nu te koop aangeboden data gerelateerd zijn aan dit eerdere security-incident. De woordvoerder meldt dat de informatie gerelateerd lijkt te zijn aan klanten, en niet eigen systemen van Fujitsu.


Waarom stijgen de kosten van datalekken tot recordhoogtes? ESET legt uit.

Het is misschien gemakkelijk om de recordkosten van datalekken toe te schrijven aan de COVID-19-pandemie. Maar als men beter toekijkt, krijgt men een genuanceerder beeld. In 2020 is elk cybersecurity-verhaal natuurlijk op de pandemie gefocust. Deze unieke crisis en de digitale transformatie die erdoor versnelde, hebben het aanvalsoppervlak van bedrijven vergroot en zowel middelen als aandacht afgeleid van vitale beveiligingsprojecten. Daar uit het IBM rapport «Cost of a Data Breach Report 2021 blijkt dat de kosten van datalekken ongekend hoog waren, is het gemakkelijk om COVID-19 de schuld te geven. Maar dat is niet het complete verhaal. Sinds enkele jaren nemen de kosten van inbreuken toe. Hoewel de stijging van vorig jaar uitzonderlijk is, is het duidelijk dat veel organisaties, ondanks ze meer dan ooit aan beveiliging gingen besteden, nog steeds niet de gewenste resultaten behalen.

Costfa Data Breach Report 2021
PDF – 3,4 MB 405 downloads

Levendige handel gestolen persoonsgegevens op het darkweb

Als een bedrijf of instantie gehackt wordt, kunnen persoonsgegevens worden gestolen. Voor slachtoffers kan dat vergaande consequenties hebben, zoals identiteitsfraude. Helaas is het voor slachtoffers nauwelijks mogelijk de schade te verhalen, aldus dr. Tim Walree, die op dit onderwerp promoveerde. Lees verder



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken