Datalek nieuws en overzicht week 36-2021

Gepubliceerd op 12 september 2021 om 17:37
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Datalek bij Orde Midden-Nederland: e-mailadressen honderden kantoren in cc gezet

Een flater van de Orde van Advocaten Midden-Nederland: in een e-mail van maandag met een rappel aan advocatenkantoren om hun financiële kengetallen aan te leveren, waren de mailadressen van bijna 300 advocatenkantoren voor alle ontvangers te zien. Volgens de AVG kan dit gelden als een datalek. De mail betreft een herinneringsbrief, verzonden door een van de stafjuristen van de Midden-Nederlandse orde. Hierin wordt namens de deken verzocht om alsnog binnen veertien dagen alle benodigde financiële kengetallen over de jaren 2020 en 2019 in te vullen. Het aanleveren van deze gegevens is sinds kort verplicht voor alle advocatenkantoren; de gegevens hadden op 31 augustus ingevuld moeten zijn. Voor alle geadresseerden was echter te zien welke andere honderden kantoren de herinnering hadden gekregen: circa 275 mailadressen waren niet in bcc, maar per ongeluk in cc gezet. Twee advocaten die de mail doorstuurden aan de Advocatie-redactie, zijn hier bepaald niet blij mee. “Orde schrijft iedereen aan, maar ook zo dat iedereen het kan zien. Schande,” schrijft iemand. In zijn doorgestuurde mail is de geagiteerde reactie van een Utrechtse strafrechtadvocaat zichtbaar: “Mij dunkt dat het nogal onzorgvuldig is dat u dit bericht naar 275 andere kantoren stuurt. Temeer daar mijn kantoor aan haar verplichtingen heeft voldaan. Ik heb zo’n vermoeden dat dit voor meer uit deze lijst heeft te gelden.” Het tonen van honderden e-mailadressen in cc komt neer op het – zonder toestemming – delen van persoonsgegevens, en kan daarmee volgens de AVG-regels kwalificeren als een datalek, aldus algemene informatie op de website van de Autoriteit Persoonsgegevens (AP). De toezichthouder doet geen uitspraken over individuele meldingen. De AP is bevoegd om sancties op te leggen, afhankelijk van de zwaarte van de overtredingen, van waarschuwingen tot hoge boetes. Vorig jaar ondernam de toezichthouder in ruim 1.700 gevallen actie.


57 datalekken in 2020 bij Noordwest Ziekenhuis

Bij Noordwest Ziekenhuisgroep Alkmaar en Den Helder zijn vorig jaar in totaal 57 datalekken ontdekt. In negentien gevallen is melding gemaakt bij de Autoriteit Persoonsgegevens. Dat valt te lezen in het jaarverslag 2020 van Noordwest Ziekenhuisgroep. Van een datalek is sprake wanneer patiëntinformatie per vergissing in verkeerde handen valt, openbaar is in te zien of is kwijtgeraakt. Van de 57 gevallen waren 19 datalekken ernstig genoeg om bij de Autoriteit Persoonsgegevens te melden. 17 keer moest ook de betrokkene worden ingelicht. In 2020 zijn verdere maatregelen getroffen rond het beschermen van gegevens, vooral van patiënten. Die kunnen in bezit komen van onbevoegden door onzorgvuldig om te gaan met de toegangsbeveiliging van digitale gegevens, fouten bij het omgaan met deze informatie of omdat onbevoegden binnendringen in ziekenhuisinformatiesystemen.


Franse overheid meldt datalek na aanval op platform voor visumaanvragen

De Franse overheid waarschuwt voor een datalek nadat er vorige maand een aanval op een platform voor visumaanvragen plaatsvond. Volgens het Franse ministerie van Binnenlandse Zaken werd de aanval snel opgemerkt en gestopt, maar kan het zijn dat er gegevens zijn gestolen van mensen die een visumaanvraag hebben ingediend. Het gaat dan om gegevens die bij een visumaanvraag zijn opgegeven, zoals naam, paspoortnummer of identiteitskaart, geboortedatum, nationaliteit en e-mailadres. Alle gedupeerden zijn volgens het ministerie ingelicht en hebben het advies gekregen om alert te zijn en voorzorgsmaatregelen te nemen. Exacte details over de aanval zijn niet gegeven. Wel stelt het ministerie dat er maatregelen zijn genomen om het platform france-visas.gouv.fr te beveiligen en herhaling in de toekomst te voorkomen. Tevens is er een juridisch onderzoek naar de aanval gestart en is de Franse privacytoezichthouder ingelicht. Het ministerie meldt in de aankondiging niet hoeveel gedupeerden er zijn, maar tegenover The Connexion laat een woordvoerder weten dat het om 8700 mensen gaat.


Hacker lekt gegevens van twee miljoen Marokkanen

Een hacker heeft de persoonlijke gegevens van meer dan twee miljoen Marokkanen online gezet. De gegevens bevatten ook informatie over de Mohammed V-universiteit in Rabat. Identiteit, beroep, e-mail adres, enz. Een hacker heeft de persoonlijke gegevens van meer dan 2 miljoen Marokkanen vrijgegeven. "In de nacht van vrijdag 3 september 2021 heeft een zwarte hoed (een kwaadwillende hacker) die trots de naam draagt van de stichter van het nazisme, Adolf Hitler, 2.064.201 accounts van mannen en vrouwen uit Marokko geüpload naar drie gratis cloudruimtes die beschikbaar zijn op het web", schrijft cyberbeveiligingspecialist Damien Bancal. Bancal, de auteur van het artikel, is tevens de oprichter van Zataz, een Franse website die gespecialiseerd is in informatie met betrekking tot computercriminaliteit "De hacker haalde de informatie uit het LinkedIn-datalek dat enkele weken geleden op de zwarte markt werd vrijgegeven," schrijft hij. De hacker heeft ook gegevens over de Mohammed V Universiteit in Rabat geüpload. Volgens Bancal gaat het om 2181 curricula vitae uit de periode 2013-2020. "De prestigieuze instelling die in de stad Rabat is gevestigd werd het slachtoffer van de kwaadaardige verdeling van 2181 cv’s," zegt hij.


Hacker stal data Hogeschool Arnhem en Nijmegen via één server

De gelekte data van de Hogeschool Arnhem en Nijmegen (HAN) werd buitgemaakt via één server. Dat maakt de onderwijsinstelling bekend op zijn website. De HAN maakte vrijdag 6 september bekend dat persoonsgegevens in handen van derden zijn gekomen. Destijds was echter nog niet duidelijk wat er precies gebeurd was. De HAN ontdekte op 1 september dat er persoonsgegevens waren gelekt. Daarop startte de onderwijsinstelling direct een onderzoek met onafhankelijke experts. Uit dat onderzoek blijkt inmiddels dat een externe aanvaller via één van de servers data heeft buitgemaakt. Hoe de aanvaller daar precies is binnengekomen, meldt de HAN niet.


Medewerkers provincie Gelderland krijgen kosteloos nieuw paspoort

Medewerkers van de provincie Gelderland kunnen kosteloos een nieuw paspoort aanvraag. Aanleiding hiervoor is het recente datalek bij de provincie, waarbij gegevens van 1.400 van de 1.600 medewerkers uitlekte. De Gelderlander meldt dat alle medewerkers de mogelijkheid krijgen tot het kosteloos vervangen van hun paspoort. De provincie neemt hierbij de kosten op zich. Medewerkers kiezen zelf of zij dit willen. Het vervangen van het paspoort zou fraude moeilijker maken. "Als je met alleen een burgerservicenummer een auto probeert te huren roept dat vragen op”, zegt een woordvoerder van de provincie Gelderland tegen De Gelderlander. "Als je daar komt met een paspoort is bijvoorbeeld een autoverhuurder sneller genegen zaken met je te doen.” Bij het aanvragen van een nieuw paspoort moeten medewerkers aangeven dat zij dit doen in verband met het datalek. Het oude document wordt dan geregistreerd als gestolen.


Ruim vierduizend mensen ontvangen waarschuwing na datalek bij hogeschool

De Hogeschool van Arnhem en Nijmegen (HAN) heeft 4.300 mensen per e-mail gewaarschuwd dat mogelijk een oud wachtwoord van ze in handen van hackers is gevallen. HAN University of Applied Sciences, zoals de organisatie officieel heet, werd op 1 september het slachtoffer van een hack via een externe server. Bij de aanval is een onbekende hoeveelheid data buitgemaakt. Volgens de HAN beweert de aanvaller onder meer wachtwoorden te hebben gevonden. Voor zover bekend gaat het om verouderde wachtwoorden. Na onderzoek is de HAN erachter van wie de wachtwoorden zijn uitgelekt. Die 4.300 mensen zijn inmiddels gewaarschuwd. "Tot onze spijt is uit analyse gebleken dat bij het datalek mogelijk ook een of meerdere van jouw wachtwoorden zijn gestolen", schrijft de opleidingsorganisatie. "Het gaat hier om wachtwoorden die jij in de periode vóór 2018 gebruikte voor een van onze online omgevingen." De HAN adviseert gedupeerden om hun wachtwoorden te wijzigen omdat ze hetzelfde wachtwoord mogelijk ook voor andere doeleinden gebruiken. Ook heeft de aanvaller losgeld geëist, maar de HAN gaat naar eigen zeggen niet in op deze afperspogingen.


Klokkenluider seksueel misbruik in latin dance dient klacht in tegen expertisecentrum Fier uit Leeuwarden vanwege datalek

Kim Koumans dient bij de Autoriteit Persoonsgegevens een klacht in tegen het in Leeuwarden gevestigde expertisecentrum voor slachtoffergeweld in afhankelijksheidsrelaties Fier. Volgens Koumans heeft Fier veel te veel medewerkers inzage in haar dossier gegeven.
Dat meldt het Noordhollands Dagblad . Koumans onthulde in juli in de krant dat in de top van de latin dance, waar dansen zoals tango en salsa onder vallen, verschillende dansleraren grensoverschrijdend gedrag vertonen. Het ging onder meer om onnodige betastingen bij het uitleggen van bepaalde bewegingen maar ook om fysieke en mentale vernederingen van (jonge) leerlingen. Haar verhaal werd landelijk opgepikt, ook omdat het veel gelijkenissen vertoonde met de eerder aan het licht gekomen excessen in het turnen. Koumans sprak met Fier over wat haar als sporter was overkomen. Daarbij had ze een behandelrelatie met drie personen maar haar dossier werd door 23 mensen ingezien, waarvan het grootste deel geen enkele bemoeienis met haar had. Zij konden zeer persoonlijke informatie lezen. Het gaf Koumans een groot gevoel van onveiligheid. Privacyjurist Koen van Nol staat Koumans bij. Volgens hem liet de monitoring van wie wel en niet toegang tot het dossier mocht hebben te over. ,,Daarmee beschadig je iemand die al beschadigd is.’’ Fier wil vanwege privacyredenen niet inhoudelijk reageren op de zaak, schrijft het expertisecentrum op de eigen website. Wel schrijft men in het geval van deze klacht zorgvuldig te hebben gehandeld en met vertrouwen een eventueel onderzoek van de Autoriteit Persoonsgegevens tegemoet te zien.



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken