Datalek nieuws en overzicht week 37-2021

Gepubliceerd op 19 september 2021 om 15:36
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Kortingsapp Scoupy waarschuwt 2 miljoen gebruikers voor datalek na aanval

Scoupy is woensdagavond slachtoffer geworden van een aanval waarbij klantgegevens zijn gestolen. Het gaat onder andere om persoonlijke gegevens en wachtwoorden, maar vooralsnog heeft Scoupy de wachtwoorden geen reset gegeven. Gebruikers van Scoupy hebben donderdagavond een e-mail gekregen met de melding dat het bedrijf woensdagavond doelwit was van een aanval. Daarbij wisten de daders toegang te krijgen tot de persoonsgegevens van gebruikers van de kortingsapp. Scoupy heeft een faq over het datalek online gezet, waarin overigens dezelfde informatie als in de mail staat. Het bedrijf heeft naar eigen zeggen meer dan 2,2 miljoen gebruikers. De gestolen gegevens betreffen de naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum en kassabonnen. Ook de wachtwoorden en bankrekeningnummers zijn in handen van de criminelen. Deze zijn versleuteld maar Scoupy meldt geen details over de gebruikte versleuteling. "Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen", meldt het bedrijf wel. Ook adviseert Scoupy gebruikers hun wachtwoord regelmatig te wijzigen. Het bedrijf heeft niet uit voorzorg de wachtwoorden zelf een reset gegeven en als gebruikers dit zelf wilden doen, lukte dat niet altijd omdat Scoupy's platform verminderd bereikbaar was. Op Gathering of Tweakers klagen sommige gebruikers ook dat het hen niet lukte hun account te verwijderen. Scoupy meldt verder een beveiligingsbedrijf ingehuurd te hebben en het incident gemeld te hebben bij de Autoriteit Persoonsgegevens. Ook is aangifte gedaan bij de politie. Het lek is gevonden en gedicht. Het bedrijf waarschuwt klanten alert te zijn op phishingpogingen.


ING schakelde creditcardoverzicht tijdelijk uit vanwege datalek

Klanten van ING konden vrijdag aan het einde van de middag tijdelijk hun creditcardoverzicht niet inzien via de app van de bank of tijdens het internetbankieren. Het financiële concern besloot dit overzicht van creditcardtransacties tijdelijk uit te schakelen omdat de creditcardgegevens van ten minste twee klanten van ING zichtbaar waren geworden voor diverse andere gebruikers. Begin van de avond werd het euvel opgelost door een update van de systemen. Het ging om de voorletters en achternaam van de twee klanten plus de eerste en laatste vier cijfers van hun creditcard. Een klein deel van de in totaal miljoenen klanten van de bank kon die gegevens opeens zien. Hoe dit precies kon gebeuren, heeft de bank niet naar buiten gebracht. ING biedt zijn excuses aan en benadrukt dat andere mensen niets met deze gegevens of creditcard kunnen doen. Door de update hebben alle klanten weer inzicht in hun creditcardoverzicht en zijn er geen gegevens van anderen meer zichtbaar. "Uiteraard blijven we het monitoren", laat een woordvoerster weten. De bank heeft al een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens (AP). Bedrijven en overheden moeten direct een melding doen van een datalek bij de AP. Het kan dan gaan om vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is.


Datalek bij Zorggroep Oude en Nieuwe Land

Bij Zorggroep Oude en Nieuwe Land is een datalek geconstateerd. De zorgaanbieder in Noordoostpolder, Urk en Steenwijkerland heeft het voorval zelf gemeld bij de Autoriteit Persoonsgegevens. In een technische ruimte van één van de zorggebouwen in Steenwijk, is door een leidinggevende twee kasten met oude personeelsdossiers gevonden. Deze kasten waren niet afgesloten met een slot, wel verzegeld door tape. In de kasten waren circa 400 personeelsdossiers gearchiveerd van oud-medewerkers, die tussen 2001 en 2008 uit dienst zijn gegaan van de organisatie. De dossiers bevatten onder meer Burgerservicenummers (BSN), kopieën van identiteitsbewijzen en werk gerelateerde persoonsgegevens over de gezondheid van (voormalige) medewerkers. Het gaat niet over actuele gegevens en de leeftijd van betreffende oud-medewerkers ligt hoog (75+). De kans is zeer reëel dat de bereikbaarheidsgegevens niet meer kloppen.


De Jonge: ‘Datalek GGD niet groter dan gemeld’

Voor zover bekend zijn 1.250 mensen de dupe geworden van de datadiefstal bij de GGD. Uit het onderzoek dat momenteel wordt uitgevoerd, is tot op heden niet gebleken dat het datalek aanzienlijk groter is dan gemeld. Omdat RTL Nieuws op journalistieke gronden weigert om bestanden met GGD GHOR te delen, kan niet worden nagegaan of het aantal slachtoffers hoger ligt dan wordt aangenomen. Dat schrijft demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge in antwoord op schriftelijke vragen van SP-Kamerlid Maarten Hijink.

De Datadiefstal Bij De GGD Veel Groter Is Dan Gemeld En Dat Gedupeerden Niet Zijn Geinformeerd
PDF – 115,5 KB 249 downloads

Rechter deelt cel- en taakstraf uit voor datadiefstal GGD

De rechtbank Midden-Nederland heeft twee mannen veroordeeld voor hun aandeel in de datadiefstal bij de GGD begin dit jaar. De een heeft een gevangenisstraf van tien maanden opgelegd gekregen, waarvan vijf maanden voorwaardelijk. De ander kreeg een celstraf van zestig dagen tegen zich te horen, waarvan vierendertig dagen voorwaardelijk. Ook moet hij een taakstraf van honderdtachtig uur vervullen. Dat heeft de rechtbank in Utrecht vandaag bepaald.

ECLI NL RBMNE 2021 4419
PDF – 164,3 KB 243 downloads
ECLI NL RBMNE 2021 4434
PDF – 155,8 KB 241 downloads

Criminelen hebben covid-19-testdata van 1,4 miljoen Parijzenaars gestolen

Bij een aanval op een niet nader aangeduide 'dienst voor het delen van bestanden' hebben criminelen de covid-19-testgegevens van Parijse ziekenhuizen in handen gekregen. Het gaat om testdata van 1,4 miljoen personen. De gestolen gegevens betreffen de identiteit, het burgerservicenummer en de contactgegevens van de geteste personen, evenals de identiteit en contactgegevens van de gezondheidsmedewerkers die de test uitvoerden en de kenmerken en het resultaat van de uitgevoerde test. Het zou verder gaan om tests die medio 2020 zijn uitgevoerd in ziekenhuizen in Parijs. Het gaat niet om andere medische gegevens dan de gegevens die verband houden met de uitvoering van de test, benadrukt de Assistance publique-Hôpitaux de Paris, een overkoepelende organisatie van ziekenhuizen in de regio van Parijs. De organisatie meldt verder dat het landelijke screeningsinformatiesysteem SI-DEP niet getroffen is door de aanval. De inbraak vond plaats bij een dienst voor het delen van bestanden die wordt gehost en gebruikt door Assistance publique-Hôpitaux de Paris. De organisatie meldt in september 2020 'zeer incidenteel' gebruikgemaakt te hebben van deze dienst. De diefstal werd op 12 september ontdekt, na een recente inbreuk op de beveiliging van de tool voor het delen van de bestanden. De toegang tot de dienst is daarna afgesloten en de organisatie heeft het datalek gemeld bij de vereiste instanties, zoals de Franse privacyautoriteit Nationale Commissie voor Informatica en Vrijheden.


Datalek Onafhankelijk Ziekenfonds door menselijke fout bij migratie

Een datalek bij het Belgische Onafhankelijk Ziekenfonds is veroorzaakt door een menselijke fout bij een systeemmigratie. Eén van de poorten bleef na de migratie open voor het internet staan, waardoor een aanvaller toegang tot het systeem kon krijgen en data van maximaal 190.000 mensen bemachtigde. Dat laat het Ziekenfonds tegenover DataNews weten. Het gaat om naam, adresgegevens, contactgegevens, bankrekeningnummers, verzekering- en betaalinformatie, familiegegevens, volmachten, medische akkoorden, terugbetalingen, uitkeringen en ziekteperiodes. De aanvaller waarschuwde het Ziekenfonds en stelde de buitgemaakte gegevens te hebben verwijderd. Om openbaarmaking van het datalek te voorkomen vroeg hij wel losgeld. Het Ziekenfonds gaf daar geen gehoor aan en maakte het datalek zelf bekend. Volgens de organisatie ontstond de inbraak op een technisch logsysteem waar acties op 'Mijn OZ' worden bijgehouden. Door een menselijke fout bleef na een migratie van het systeem één van de poorten openstaan, waardoor de aanvaller handelingen op het platform enige tijd kon inzien.



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken