Datalek nieuws en overzicht week 40-2021

Gepubliceerd op 10 oktober 2021 om 13:26
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek bij streaming-gameplatform Twitch, Auris Groep meldt datalek met cliëntgegevens na aanval op netwerk en gigantisch datalek in Aalten: persoonlijke gegevens van 5.500 kinderen liggen op straat. Dit en meer lees je in het datalek weekoverzicht week 40.


Datalek nieuws


Populaire Chinese Android Game Developer stelt meer dan 1 miljoen gamers bloot aan hacking

Onder leiding van Noam Rotem en Ran Locar ontdekte het onderzoeksteam van vpnMentor een datalek van het Chinese mobiele gamingbedrijf EskyFun. Het bedrijf gebruikte een onbeveiligde server om enorme hoeveelheden gegevens op te slaan die van gebruikers op zijn games waren verzameld. Veel van deze gegevens waren ongelooflijk gevoelig en het was niet nodig dat een videogamebedrijf dergelijke gedetailleerde bestanden over zijn gebruikers bijhield. Bovendien heeft EskyFun, door de gegevens niet te beveiligen, mogelijk meer dan 1 miljoen mensen blootgesteld aan fraude, hacking en nog veel erger.


Datalek bij streaming-gameplatform Twitch

Bij streamingdienst Twitch heeft een datalek plaatsgevonden. Het videoplatform bevestigt dat er een hack heeft plaatsgevonden en zegt de omvang nog te onderzoeken. Bij het lek zijn onder meer de broncode voor het platform en informatie over betalingen aan bekende gebruikers online gezet, schrijft The Verge. Volgens de techsite is er 125 gigabyte aan gestolen gestolen gegevens op het berichtenplatform 4Chan geplaatst, maar omvatten deze data geen persoonlijke gegevens van gebruikers, zoals wachtwoorden en e-mailadressen. In de gelekte broncode van het platform zouden criminelen kunnen zoeken naar kwetsbaarheden om nieuwe hacks te ontwikkelen. "Dit opent een gigantische deur voor kwaadwillenden om malware te installeren en gevoelige gegevens te stelen", zegt een woordvoerder van cybersecuritybedrijf Check Point Software Technologies tegen persbureau ANP. Op Twitch, eigendom van Amazon, kunnen gamers hun gamesessies live uitzenden, soms voorzien van eigen commentaar. Bekende streamers kunnen geld verdienen met hun video's.


Auris Groep meldt datalek met cliëntgegevens na aanval op netwerk

De Koninklijke Auris Groep is slachtoffer geworden van een datalek nadat een aanvaller toegang kreeg tot het netwerk en gegevens van cliënten en medewerkers buitmaakte. Auris biedt zorg, onderwijs en ambulante begeleiding voor mensen met een taalontwikkelingsstoornis of die doof of slechthorend zijn. Het heeft locaties in een groot aantal Nederlandse steden. Op 29 september werd het netwerk van Auris getroffen door een aanval. In eerste instantie meldde de organisatie dat het last had van een computerstoring. "Medewerkers van Auris zijn hierdoor alleen telefonisch en via WhatsApp bereikbaar. We werken hard om deze storing op te lossen. Als er meer informatie is, dan informeren we u via de website", aldus een bericht op 4 oktober. Vandaag meldt Auris dat er sprake was van een aanval op het netwerk. Uit het onderzoek dat vervolgens werd ingesteld blijkt dat er van een server gegevens zijn gestolen. Volgens de organisatie gaat het voornamelijk om bedrijfsgegevens van Auris en in beperkte mate om soms verouderde gegevens van medewerkers en cliënten over de periode 2004-2021. "Voor het grootste deel gaat het om gegevens die geen hoog risico inhouden. In enkele gevallen is er sprake van gegevens waaraan mogelijk wel een hoger risico is verbonden", aldus een uitleg van Auris. Om wat voor gegevens het precies gaat wordt niet vermeld. Alle gedupeerde cliënten en medewerkers zullen de komende periode worden geïnformeerd over het datalek. Er is inmiddels melding gemaakt bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Vanwege de veiligheid zijn alle systemen tijdelijk buiten werking gesteld. Op dit moment wordt stapsgewijs het Auris-netwerk heropend.


Gigantisch datalek in Aalten: persoonlijke gegevens van 5.500 kinderen liggen op straat

Door een fout zijn alle BSN-gegevens van kinderen en jongeren van 4 tot en met 23 jaar uit de gemeente Aalten naar een vreemd e-mailadres gestuurd. Het gaat om de gegevens van 5.500 personen. De gemeente heeft alle ouders in Aalten hiervan op de hoogte gesteld en vraagt hen de komende tijd extra oplettend te zijn op zaken als identiteitsfraudeIn het schrijven legt de gemeente uit wat er mis is gegaan op 10 september. 
‘Een door ons ingehuurde kracht wilde gegevens uit een registratiesysteem gebruiken voor de verplichte rapportage leerplicht naar de regio en het rijk. Aan het eind van dag was dit nog niet klaar. De medewerker heeft vervolgens alle gegevens naar een privé e-mailadres gestuurd. Dit mag niet en is niet volgens de gestelde richtlijnen’, staat in de brief te lezen. Aalten telt ruim 27.000 inwoners. 


Datalek bij HAN groter dan gedacht, hacker vroeg om veel meer losgeld dan 10.000 euro

Het datalek bij de Hogeschool van Arnhem en Nijmegen blijkt nog omvangrijker dan gedacht. Een hacker heeft toegang gekregen tot 530.000 mailadressen. Hij eiste voor de buitgemaakte gegevens losgeld. Dat was volgens de HAN een veelvoud van het bedrag van 10.000 euro dat tot dusver circuleerde. Rob Verhofstad, voorzitter van het college van bestuur van de HAN, biedt zijn excuses aan voor het voorval aan iedereen die gedupeerd is. ,,Ondanks al onze inspanningen een digitaal veilige omgeving te bieden, waren we helaas niet bestand tegen deze aanval.” De omvang van het incident blijkt uit onderzoek dat de HAN naar het datalek heeft laten doen. Uit dat onderzoek blijkt dat een hacker zich via een webformulier toegang heeft verschaft tot een server van de HAN waarop een grote hoeveelheid data opgeslagen stond. Daar stonden de mailadressen op, maar ook andere gegevens. Of de hacker die allemaal in handen kreeg, is onduidelijk. De hacker vroeg daarop om losgeld. Volgens RTL Nieuws, dat contact met de hacker had, zou het gaan om 10.000 euro. Maar volgens de HAN was het een veelvoud ervan. Om hoeveel geld het wel ging, wil de hogeschool niet zeggen. De HAN weigerde te betalen, waarna de hacker gegevens online zette. Door te betalen, zou de hogeschool deze vorm van cybercriminaliteit in stand houden en betalen zou geen garantie bieden dat de buitgemaakte data niet verder verkocht of gepubliceerd worden. 


Onderwijsminister moet opheldering geven over datalek bij HAN

Demissionair minister van Onderwijs Van Engelshoven moet opheldering geven over het datalek bij de Hogeschool van Arnhem en Nijmegen (HAN), zoals de schade en kosten die de aanval tot nu toe heeft veroorzaakt. Afgelopen dinsdag meldde de HAN dat het datalek mogelijk veel groter is dan in eerste instantie werd gedacht. Begin september meldde de HAN dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server heeft gekregen waarop persoonlijke informatie stond. Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. "Of de hacker daadwerkelijk alle op de server beschikbare data in handen en/of gepubliceerd heeft, is niet bekend", zo stelt de HAN. Naar aanleiding van het datalek heeft de VVD nu Kamervragen gesteld. "Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?", vragen VVD-Kamerleden Woude en Rajkowski. Daarnaast moet Van Engelshoven een inschatting geven van de schade en kosten die de aanval tot nu heeft veroorzaakt. "Is het waar dat de HAN een 'makkelijk doelwit' is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?", willen Woude en Rajkowski verder weten. De minister moet tevens duidelijk maken of ze de mening deelt dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen. "Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligingseisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren?", aldus de vraag van de VVD-Kamerleden. De minister moet binnen drie weken met een antwoord komen.

Het Bericht Psychische Problemen HAN Studenten Ook Op Straat Na Grote Hack
PDF – 40,8 KB 263 downloads

Wereldwijd sms-verwerkingsbedrijf ontdekt jarenlang datalek

Syniverse, een Amerikaans bedrijf dat het sms-verkeer voor meer dan driehonderd telecomproviders wereldwijd regelt, is jarenlang ongemerkt slachtoffer geweest van een datalek. Dat schrijft het bedrijf in een verklaring aan de Amerikaanse beurswaakhond SEC. Het bedrijf meldt dat het een kwetsbaarheid heeft ontdekt waarbij de inloggegevens van meer dan tweehonderd klanten op straat lagen. Onder deze klanten zijn telecombedrijven van over de hele wereld, waaronder AT&T en Verizon. De kwetsbaarheid zou spelen sinds 2016, maar het bedrijf heeft het lek pas ontdekt in mei van dit jaar. Welke gegevens met de gelekte inloggegevens bekeken konden worden, laat het bedrijf niet weten. Een oud-werknemer van Syniverse vertelt aan VICE dat de gegevens gebruikt konden worden om de sms-gegevens van mogelijk miljarden mensen wereldwijd te bekijken. Het zou gaan over sms-berichten, maar ook locatiegegevens en telefoonnummers van klanten van de getroffen telecombedrijven. Syniverse laat weten dat het lek gedicht is en dat er momenteel geen sprake meer is van kwetsbaarheden in de systemen van het bedrijf. Het is onbekend hoe de hackers toegang kregen tot de inloggegevens.

UNITED STATES SECURITIES AND EXCHANGE COMMISSION
PDF – 9,4 MB 246 downloads

Amerikaanse overheid gaat leveranciers aanklagen die datalekken verzwijgen

De Amerikaanse overheid gaat leveranciers en partijen die beurzen ontvangen aanklagen wanneer ze een datalek verzwijgen. Dat heeft plaatsvervangend minister van Justitie Lisa Monaco aangekondigd. "Te lang hebben bedrijven ervoor gekozen om te zwijgen onder de verkeerde veronderstelling dat het minder riskant is om een datalek te verbergen dan het te melden", aldus Monaco. "Dat verandert vandaag." Het niet melden van datalekken en digitale inbraken hindert de mogelijkheid van de Amerikaanse overheid om niet alleen ransomware te bestrijden, maar alle vormen van criminaliteit, merkte Monaco op. "Het houdt in dat we het alleen moeten doen, zonder belangrijke inzichten van onze partners in de private sector en dat moet veranderen, vandaag nog." De Amerikaanse autoriteiten zullen "civiele handhavingstools" gaan inzetten om bedrijven die aan de Amerikaanse overheid leveren te vervolgen wanneer ze geen vereiste cybersecuritystandaarden volgen, gebrekkige cybersecurityproducten leveren of stellen dat ze aan de eisen voldoen of hun beveiliging op orde hebben terwijl ze weten dat dit niet het geval is. Ook zullen bedrijven aansprakelijk worden gehouden die cybersecurity-incidenten en datalekken opzettelijk niet rapporteren. Volgens Monaco moet dit de weerbaarheid tegen aanvallen versterken, ervoor zorgen dat bedrijven overheidsinformatie en -infrastructuur beschermen, en gaan investeren in cybersecurity om zo aan de minimale eisen te voldoen. Tevens wordt het mogelijk om bedrijven die hun "cybersecurityverplichtingen" niet nakomen te laten betalen wanneer er schade ontstaat.


125 miljoen bij LinkedIn gescrapete e-mailadressen toegevoegd aan HIBP

Ruim 125 miljoen e-mailadressen die eerder dit jaar bij LinkedIn werden gescrapet zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. In april van dit jaar werd bekend dat de gegevens van 500 miljoen LinkedIn-gebruikers werden aangeboden op internet. Het ging om LinkedIn ID, naam, e-mailadres, telefoonnummer, geslacht, links naar socialmediaprofielen, functieomschrijving en andere werkgerelateerde informatie. In juni werd opnieuw een dataset op internet te koop aangeboden, alleen dan met de gegevens van naar verluidt 700 miljoen LinkedIn-gebruikers. LinkedIn stelde dat de aangeboden data afkomstig was van een aantal websites en bedrijven. Het bevatte daarnaast publiek toegankelijke profielgegevens van LinkedIn-gebruikers. Volgens het bedrijf waren de gegevens door middel van scraping verkregen. "Hoewel scraping geen datalek is en er geen persoonlijke data werd benaderd die niet publiek toegankelijk hoort te zijn, werd de data nog steeds verzilverd en circuleerde later rond in hackingkringen", aldus beveiligingsonderzoeker Troy Hunt, tevens oprichter van Have I Been Pwned. De gescrapete data bestond uit zo'n 400 miljoen records, waaronder 125,6 miljoen unieke e-mailadressen. Hunt ontving de dataset en heeft de e-mailadressen toegevoegd aan HIBP. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gelekte e-mailadressen was 98 procent al via een ander datalek bij Have I Been Pwned bekend.



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken