Datalek nieuws en overzicht week 03-2022

Gepubliceerd op 23 januari 2022 om 11:27
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Datalek bij Roelof van Echten in Hoogeveen: 'Ontzettend vervelend'

De persoonsgegevens van ongeveer 75 derdejaars vmbo-leerlingen van het Roelof van Echten College (Eduwiek) in Hoogeveen liggen sinds maandag op straat. Bestuurder Albert Weishaupt laat weten dat de informatie is gelekt via het systeem SOM. "Daarin kan een docent de gegevens zien van een leerling. Dat is volledig afgeschermd en kan niemand anders bekijken. Maar, vervolgens hebben mensen een kopie gemaakt van de gegevens en deze rondgestuurd via de mail. Dat had niet gemogen." Leerlingen hebben een kopie van de gegevens voorbij zien komen. De ouders hebben vervolgens contact opgenomen met de school. "Ze hebben volkomen gelijk als ze boos zijn", vervolgt Weishaupt. "De situatie is serieus en wij nemen onze verantwoordelijkheid. Het is totaal fout. Hartstikke fout." De school is inmiddels aan het uitzoeken wat de vervolgstappen zijn. "De gegevens van de kinderen horen niet op straat te liggen", vindt de bestuurder. "Dus we zoeken uit hoe we hiermee om moeten gaan. We willen de garantie geven dat zoiets in de toekomst niet weer gebeurt." Inmiddels hebben alle ouders van de school een mail ontvangen met uitleg. De school gaat een melding doen bij de Autoriteit Persoonsgegevens. Dat is volgens de wet verplicht. De komende tijd wordt meer aandacht besteed aan het zorgvuldig omgaan met persoonsgegeven. "We zitten er bovenop", vertelt Weishaupt. "Alle docenten die nieuw zijn bij onze school krijgen uitleg over SOM. Dat blijkt niet voldoende. We moeten meer gaan inzetten op wat wel en wat niet mag." De school doet een oproep om de gegevens niet verder te delen. "Dat is het enige wat we op dit moment kunnen doen. De data liggen buiten en daar kun je niks meer aan veranderen. Het is een hele vervelende situatie", aldus Weishaupt.


Gemeente Raalte blundert: geheime informatie in beladen dossier sociaal werkbedrijf openbaar gemaakt

De gemeente Raalte maakt een pijnlijke fout in het dossier over de perikelen tussen de gemeente en sociaal werkbedrijf De Productie. Met een paar simpele klikken op de knop zijn gegevens uit vergaderverslagen, die geheim moesten blijven, openbaar gemaakt. Diverse fractievoorzitters lachen als boeren met kiespijn. ,,Het is een blunder van de bovenste plank’’, zegt Ben Nijboer (BB).


Data van 'zeer kwetsbare personen' is gestolen bij aanval op Rode Kruis

Het Internationale Rode Kruis is getroffen door een cyberaanval. Details over die aanval zijn onbekend, maar de organisatie maakt zich 'ernstig zorgen' dat er mogelijk gevoelige data over kwetsbare personen uitlekt. De aanval vond plaats op een Zwitsers bedrijf dat data hostte voor het International Committee of the Red Cross. Om welk bedrijf het gaat is niet bekend, maar het lijkt niet direct aan het Rode Kruis gelieerd. Het is ook niet precies bekend om wat voor soort aanval het gaat of wie die heeft uitgevoerd. Het Rode Kruis schrijft dat het vooralsnog geen indicatie heeft dat er data online is gedeeld, maar de organisatie heeft veel zorgen dat dat mogelijk wel gaat gebeuren. De gegevens die zijn gestolen gaan over zeker 515.000 personen. Het gaat onder andere om mensen die bij oorlogen of migraties familie zijn kwijtgeraakt. Het Rode Kruis gebruikt een database om die mensen aan elkaar te koppelen. De instantie waarschuwt dan ook dat het gaat om gegevens van ernstig kwetsbare personen. Volgens de organisatie komen de gegevens van zeker zestig internationale afdelingen van het Rode Kruis en de Rode Halve Maan. De Nederlandse afdeling zegt nog te onderzoeken of er ook data uit dit land is buitgemaakt bij de aanval.


Privédata 6,7 miljoen gebruikers OpenSubtitles gestolen via zwak wachtwoord

Vorig jaar zijn de privégegevens van ruim 6,7 miljoen gebruikers van de website OpenSubtitles.org gestolen via een zwak beheerderswachtwoord. Het gaat om e-mailadressen, ip-adressen, gebruikersnamen, geografische locaties en met het MD5-algoritme gehashte wachtwoorden. MD5 is een zwak algoritme voor het hashen van wachtwoorden, waardoor dergelijke wachtwoordhashes eenvoudig zijn te kraken. Volgens de website, waar ondertitels voor films en series zijn te vinden, wist de aanvaller via het 'low security' wachtwoord van een 'SuperAdmin' binnen te komen. Vervolgens wist hij toegang te krijgen tot een onbeveiligd script dat alleen voor SuperAdmins beschikbaar was. Met dit script kon hij gebruikersgegevens uit de database stelen. De aanvaller eiste losgeld, anders zou hij de data openbaar maken, wat inmiddels ook is gebeurd. Open Subtitles stelt dat de website in 2006 is opgericht, met weinig kennis van security, waardoor wachtwoorden alleen als MD5-hash werden opgeslagen. De website stelt dat de hashes van lange wachtwoorden lastig zijn te kraken, maar dat de meeste gebruikers zwakke wachtwoorden gebruikten. Gebruikers wordt dan ook aangeraden hun wachtwoord te wijzigen. De e-mailadressen zijn nu aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 6,7 miljoen toegevoegde e-mailadressen was 75 procent al via een ander datalek bij Have I Been Pwned bekend.


Hoe ernstig is het datalek bij Game Mania?

Winkelketen Game Mania is vorige week getroffen door een ransomware-aanval. De ruim half miljoen klanten die het bedrijf telt, zijn via een e-mail verwittigd. Game Mania is een Belgische winkelketen die zich specialiseert in de verkoop van computerspellen en spelcomputers. De keten is actief in België en Nederland. De grote bestanden met veel klantendata zouden evenwel geëncrypteerd zijn. Maar andere en kleinere klantenbestanden (naam, adres, e-mailadres en telefoonnummer) van bijvoorbeeld lokale marketingcampagnes waren niet versleuteld, vertelt ceo Kris Lenaerts aan HLN. Zekerheidshalve en uit transparantie-overwegingen zijn alle klanten aangeschreven en geïnformeerd. Volgens Lenaerts gaat het om een ransomware-aanval op een server van het hoofdkantoor. De getroffen computersystemen werden offline gezet en er is melding gemaakt bij de privacy-instanties in zowel België als Nederland. Game Mania geeft aan dat het niet de bedoeling is te onderhandelen met de cybercriminelen, indien dat aan de orde zou zijn. Naar eigen zeggen beschikt het over een backup van alle data. Er werden evenwel geen wachtwoorden en betalingsgegevens gestolen, noch kritieke bedrijfsinformatie. Natuurlijk is het mogelijk dat de gestolen persoonsgegevens worden doorverkocht om klanten te benaderen voor phishing-doeleinden. Een externe veiligheidsexpert onderzoekt de situatie, alsook de infrastructuur en bestaande veiligheidsprocedures van Game Mania. Klanten kunnen terecht op een speciale pagina met meer informatie over het voorval.


Toezichthouders legden bijna 1,1 miljard euro aan AVG-boetes op in 2021

De nationale toezichthouders uit de verschillende EU-lidstaten hebben afgelopen jaar bijna 1,1 miljard euro aan boetes opgelegd aan bedrijven en organisaties die de Europese privacywetgeving overtraden. Dat is bijna zeven keer zoveel als je dat vergelijkt met de boetes in 2020. Dat het boetebedrag vorig jaar zo hoog uitviel, komt door een tweetal boetes. Dat blijkt uit onderzoek van advocatenkantoor DLA Piper.

Data Breach Report 2022
PDF – 6,0 MB 263 downloads

Bron: diverse en anonieme tips


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes. Lees hier de slachtoffers van deze week »


Meer weekoverzichten