Datalek nieuws en overzicht week 41-2021

Gepubliceerd op 17 oktober 2021 om 12:45
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Ministerie van Justitie neemt maatregelen naar aanleiding van datalek

Het ministerie van Justitie en Veiligheid gaat wegens een datalek dat 65.000 ambtenaren raakte verschillende maatregelen nemen, waaronder het aanscherpen van werkafspraken en procedures, een bewustwordingsprogramma en het invoeren van Data Leakage Protection, zo heeft demissionair minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten. Het datalek werd veroorzaakt door een voormalige externe medewerker bij het ministerie die tegen de regels in een analysetool kopieerde van de omgeving van Justitie en Veiligheid naar een eigen werkomgeving en vervolgens naar twee andere overheidsomgevingen. Deze medewerker voerde bij het ministerie kwaliteitscontroles uit op toegangsdiensten, zoals de Rijkspas. Bij het kopiëren van de tool zijn ook de daaraan gekoppelde data gekopieerd. Het gaat om persoonsgegevens van zo'n 65.000 ambtenaren, waarvan een klein deel niet bij Justitie en Veiligheid werkzaam is. Het datalek bevat persoonsgegevens zoals naam, organisatie, soort dienstverband, ID/paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats en –datum, geslacht en nationaliteit. Het datalek bevat geen privéadressen, telefoonnummers of wachtwoorden. Volgens Grapperhaus kende de externe medewerker de geldende gedragsregels en handelde daarmee in strijd. "Op een aantal punten hadden de werkafspraken over de voorwaarden waaronder hij de persoonsgegevens waar hij toegang toe had verder mocht verwerken met de externe medewerker scherper kunnen worden gemaakt en vastgelegd", voegt de minister toe. De medewerker was naar eigen zeggen zich er niet van bewust dat door het transporteren van de data een datalek ontstond. Vanwege het datalek werden drie onderzoeken uitgevoerd. Daaruit is naar voren gekomen dat er geen aanwijzingen zijn die erop duiden dat het bestand op andere locaties was of is opgeslagen en door onbevoegden is ingezien of gebruikt. "Hoewel dit door de beperkte beschikbaarheid van logbestanden niet met volledige zekerheid kan worden uitgesloten", stelt Grapperhaus. Daarnaast laten de onderzoeken zien dat de naleving van procedurele en administratieve waarborgen kan worden verbeterd. Verder blijkt dat aan het gebruik van de MS Access-tool risico’s zijn verbonden die in eerder uitgevoerde risicoanalyses niet waren onderkend. Aan de hand van de onderzoeken concludeert Grapperhaus dat het datalek het gevolg is van het individuele handelen van de externe medewerker en niet van ernstige tekortkomingen in de werkwijze bij de verwerking van de betrokken persoonsgegevens. Wel gaat het ministerie de werkafspraken en procedures bij inhuur van medewerkers en het databeheer binnen de betrokken afdeling aanscherpen. Verder gaat het ministerie scherper kijken naar dataminimalisatie en is er een project gestart om de betreffende analysetool te vervangen. Op termijn staat de invoering van Data Leakage Protection (DLP) gepland. Het bewustzijnsprogramma "Weerbaar JenV" moet ervoor zorgen dat bewustzijn van beveiligingsrisico’s en de kennis van veilig digitaal werken van medewerkers die vergaande toegang hebben tot gegevens worden vergroot. Afsluitend meldt Grapperhaus dat er vooralsnog geen aangifte tegen de externe medewerker wordt gedaan. Wel heeft de minister de externe medewerker, zijn werkgever en de mantelpartij via wie hij was ingehuurd aansprakelijk gesteld voor de door de Staat geleden of te lijden schade.

Afhandeling Informatiebeveiligingsincident
PDF – 137,7 KB 223 downloads

Liemerse burgemeesters zeggen ‘sorry’ voor datalek: brief aan gedupeerden

Burgemeesters Huub Hieltjes van Duiven en Arend van Hout van Westervoort hebben een excuusbrief gestuurd naar gedupeerden van het datalek, dat donderdag naar buiten is gekomen in hun gemeenten. Het zou gaan om een persoonlijke fout van een medewerker. Door de mailadressen van ruim 380 ontvangers niet in de BCC, maar in de CC te zetten heeft een medewerker van 1Stroom per ongeluk de e-mailgegevens van honderden mensen ‘gelekt’. Een medewerker van 1Stroom, de ambtelijke organisatie van de beide gemeenten, stuurde een enquête rond over de dienstverlening rondom omgevingsvergunningen. Volgens de burgemeesters gaat het om een persoonlijke fout. ‘En dit had niet mogen gebeuren. Hiervoor bieden we u onze welgemeende excuses aan’. Het datalek wordt gemeld bij de landelijke toezichthouder privacy, de Autoriteit Persoonsgegevens. Verder onderzoeken medewerkers van 1Stroom de technische mogelijkheden om dit soort fouten in de toekomst te voorkomen. ‘Wij adviseren u om de komende tijd extra alert te zijn op inkomende e-mailberichten van onbekende afzenders’, besluiten de burgemeesters.


Thingiverse-database met gegevens van 228.000 gebruikers circuleert op internet

Een database van 36GB met daarin gegevens van 228.000 accounts van Thingiverse blijkt al meer dan een jaar te circuleren op fora van kwaadaardige hackers. Naast e-mail- en IP-adressen gaat het om volledige namen die gebruikers ingevoerd kunnen hebben. Het back-upbestand van 36GB bevat 228.000 unieke e-mailadressen. Het bestand verscheen een jaar geleden op internet. De MySQL-database circuleert sindsdien op internet, meldt Troy Hunt van Have I Been Pwned aan DataBreach Today. Volgens hem is de oudste entry in de database van zeker tien jaar geleden en bevat de database ook volledige namen. De wachtwoorden zijn met bcrypt gehashed en dus niet in platte tekst beschikbaar. Onduidelijk is of ook PayPal-gebruikersnamen onderdeel zijn van het datalek. Het bestand werd vorige week naar verluidt ontdekt door Twitter-gebruiker Pompompurin. Die meldt aan DataBreach Today dat een vriend van hem Thingiverse en moederbedrijf MakerBot probeerde te waarschuwen, maar geen antwoord kreeg. Daarop zou die vriend een sample van het datalek op een forum gezet hebben waar vaak tegen betaling dit soort gestolen bestanden aangeboden worden. Vervolgens probeerde Troy Hunt contact te leggen met MakerBot en Thingiverse, maar slaagde daar aanvankelijk niet in. Na een oproep kreeg hij te horen dat MakerBot de zaak aan het bekijken was. Omdat een publieke melding van het bedrijf dat het met een datalek te maken had uitbleef, besloot Hunt deze via Have I Been Pwned bekend te maken. Thingiverse is een site waar gebruikers ontwerpen voor onder andere 3D-printers kunnen delen onder een GNU General Public License of Creative Commons-licentie.


Persoonlijke data van Belgische Lotto-spelers te koop op darkweb

Privégegevens van tienduizenden spelers van de Belgische Nationale Loterij circuleren op darkweb. De kansspelorganisator ontkent het bestaan van een datalek, maar wijzigde eerder wel al de policy voor het wijzigen van een bankrekening gekoppeld aan een spelersrekening. De dataset met persoonlijke gegevens van spelers van de Nationale Loterij staat al enkele weken te koop. Het gaat om namen, e-mailadressen en bankrekeningnummers van spelers die een account hebben op de site van de Nationale Loterij of E-Lotto.be. De Nationale Loterij bevestigt het bestaan van de dataset, waarover eerder ook al Het Nieuwsblad kort berichtte, maar heeft voorlopig geen aanwijzingen dat er op hun systemen werd ingebroken. ‘Er is geen enkele indicatie van een gegevensuitfiltratie van de systemen van de Nationale Loterij. In die zin kan dus ook niet gesproken worden van een ‘datalek’’, antwoordt Joke Vermoere, woordvoerster bij Nationale Loterij op vragen van Computable. De data beschikbaar op het darknet zijn, bevestigt Vermoere, van het type ‘assembled file’. ‘Op de 243.764 records in de ‘assembled file’ zijn er 22.704 records, met persoonlijke gegevens die herkend worden door de systemen van de Nationale Loterij, maar daarom niet afkomstig zijn van de Nationale Loterij. 'Het bestand bevat ook geen paswoordgegevens', stelt ze. Wat deed de Loterij? Zodra de Nationale Loterij geïnformeerd werd over het bestaan van de dataset, is een grondig onderzoek gestart met de hulp van externe specialisten. ‘De Gegevensbeschermingsautoriteit (GBA) werd proactief ingelicht en we hebben ook het Centrum voor Cybersecurity België ingelicht en om bijstand gevraagd.’ Vermoere benadrukt dat de Nationale Loterij de beveiliging van de it-systemen en applicaties op een continue basis evalueert. ‘En we voeren reeds jaren verschillende beveiligingstesten uit zoals pentesten, kwetsbaarheidstesten, security0assessments en bug bounty-programma’s. Dit gebeurt door gerenommeerde bedrijven in deze materie als IBM, Niviso, Davinsi Labs en Intigrity.’ De Nationale Loterij haalt, zo voegt ze er nog aan toe, ook jaar na jaar het ISO-27001-certificaat, alsook het specifieke WLA-certificaat inzake security. De Nationale Loterij paste naar eigen zeggen eerder al zijn policy aan. ‘We hebben er reeds voor geopteerd dat het wijzigen van de bankrekening die gekoppeld is aan een spelersrekening, enkel nog mogelijk is met de actieve tussenkomst van de klantservicedesk.’ Al benadrukt de woordvoerster dat ‘deze optimalisering van onze klantendienst reeds vorig jaar was doorgevoerd ter bescherming van onze online spelers.’ Intussen blijft de organisatie naar eigen zeggen de situatie wel opvolgen. ‘Het onderzoek is nog lopende en uiteraard zal geëvalueerd worden in functie van de resultaten ervan of er bijkomende maatregelen moeten genomen worden.’ Tegelijk benadrukt de organisatie dat informatieveiligheid een opdracht is voor iedereen, en dus ook voor de gebruikers van het platform; de spelers dus. ‘Het gebruiken van voldoende complexe wachtwoorden wordt steevast aangeraden. Ook het regelmatig wijzigen van een paswoord en niet steeds hetzelfde wachtwoord gebruiken is een good practice om zo goed mogelijk de veiligheid van iemands gegevens te garanderen.'. Al gaat het verder dan dat. ‘Naast het bewustmaken van haar spelers omtrent de mogelijke gevaren, raden we als Nationale Loterij onze spelers ook aan om een degelijk werkende antivirussoftware op hun toestellen te installeren.’


Twitch zegt dat er bij recent datalek geen wachtwoorden op straat zijn beland

Bij een datalek begin oktober op het streamingplatform Twitch zijn geen wachtwoorden van gebruikers gelekt. Dat schrijft het bedrijf vrijdag in een update op zijn website.


Amerikaanse staat dreigt met juridische stappen tegen journalist die datalek meldde

De Amerikaanse staat Missouri dreigt met juridische stappen tegen een journalist die een beveiligingslek in de website van het ministerie van Onderwijs ontdekte waardoor de social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk waren. Via de website is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens waren niet op de betreffende pagina's direct zichtbaar, maar stonden wel in de html-broncode. Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast. Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek. Gouverneur Mike Parson was echter niet over de werkwijze van de journalist te spreken en kondigde een onderzoek aan en dreigde met juridische stappen. "Dit is een ernstige zaak. De staat zal iedereen voor het gerecht brengen die ons systeem hackt", aldus Parson op Twitter. "Een hacker is iemand die ongeautoriseerde toegang tot informatie of content krijgt. Dit individu had geen toestemming om te doen wat hij deed. Hij had geen toestemming om de code te converteren en decoderen." Afsluitend meldt de Gouverneur dat de staat niet zal rusten totdat de intenties van de journalist duidelijk zijn en waarom hij het op leraren uit Missouri had voorzien. De advocaat van de Post-Dispatch stelt dat de overheid de eigen fouten probeert te verbloemen door van "hacking" te spreken. De overheid van Missouri laat in een verklaring weten dat het alle gedupeerde leraren over het datalek zal informeren.


Bijna alle bedrijven die de cloud gebruiken ervaren datalekken

Zowat alle bedrijven (98%) hebben de afgelopen 18 maanden een datalek gehad. Tweederde had zelfs drie of meer van deze incidenten. Dit blijkt uit een onderzoek van Ermetic, een cloud infrastructuur beveiligingsplatform. Afgelopen woensdag bracht het cloudbeveiligingsbedrijf een rapport uit over de stand van de cybersecurity in de Verenigde Staten. De bedrijven die zijn onderzocht vallen binnen de volgende branches. Lees verder



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken