Datalek nieuws en overzicht week 46-2021

Gepubliceerd op 21 november 2021 om 12:25
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Klantengegevens Aruba gestolen tijdens datalek bij HPE

Tijdens een datalek bij HPE heeft een hacker klantengegevens weten buit te maken. HPE bevestigt het voorval en meldt dat slechts een ‘kleine subgroep’ van gegevens bij Aruba gelekt is. In een aankondiging laat HPE weten dat een ongeautoriseerd persoon een toegangssleutel heeft misbruikt om klantengegevens in te kijken. De toegangssleutel werd specifiek gebruikt om in gegevens te kunnen neuzen die worden bewaard op de cloud van Aruba Central. Hoe de hacker de toegangssleutel heeft weten te bemachtigen, laat HPE niet weten. Wel is het duidelijk dat een kleine subgroep van gegevens werd buitgemaakt. Verder laat HPE weten dat de hacker kon meegluren in cloudservers van verschillende regio’s.  De gegevens in kwestie zijn allemaal afkomstig uit dochteronderneming Aruba, een ontwikkelaar van netwerkapparatuur. In het gamma van Aruba zijn draadloze toegangspunten en netwerkbeveiliging voor bedrijven te vinden. Wifi-netwerken zijn één van de netwerken die bedrijven kunnen beveiligen met Aruba. In de gegevens die op die manier verzameld werden, is nu ingebroken. Volgens HPE heeft de hacker twee datasets ingekeken: één voor netwerkanalyse met informatie over apparaten die toegang hebben tot het wifi-netwerk en een tweede dataset met locatiegegevens over apparaten op het netwerk.  Hoewel de datasets versleuteld zijn, heeft de hacker toch de volledige gegevens kunnen inkijken. Dit komt doordat de toegangssleutel ook toegang verleende tot de decryptiesleutel. Het is volgens HPE niet duidelijk of die laatste sleutel werkelijk gebruikt werd. HPE brengt klanten zelf op de hoogte van het voorval. Het bedrijf kan alleen niet zeggen welke gebruikers precies getroffen zijn door het lek.


Ministerie van Justitie meldde 455 datalekken in afgelopen vijf jaar

Het ministerie van Justitie en Veiligheid heeft van 2016 tot 2020 in totaal 455 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Dat schrijft het ministerie in een verslag dat is aangeboden aan de Tweede Kamer. Het aantal gemelde datalekken is de afgelopen jaren toegenomen. In 2016 werden er in totaal 36 meldingen gedaan, terwijl dat er vorig jaar 139 waren. Het gaat niet alleen om het ministerie, maar ook om instanties die daaronder vallen, zoals overheidsdienst Justis, de Nationaal Coördinator Terrorismebestrijding (NCTV) en het Nederlands Forensisch Instituut (NFI). Demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) beschrijft dat de rode lijn in de datalekken "fouten zijn van medewerkers in individuele zaken". Hij noemt daarbij het verkeerd adresseren van fysieke of digitale post en het onvolledig anonimiseren van documenten als voorbeelden. Een bedrijf of organisatie is verplicht een datalek te melden bij de AP. Grapperhaus gaf antwoord op vragen van de vaste commissie voor Justitie en Veiligheid. Die wilde weten hoeveel datalekken er de afgelopen jaren zijn geweest en of er een lijn in te vinden was. Grapperhaus schrijft dat het ministerie begin vorig jaar is begonnen met het project Weerbaar JenV. Daarmee krijgen medewerkers een verplichte cursus over veilig omgaan met informatie.

Aantal door het ministerie van Justitie gemelde datalekken: 2016: 36 | 2017: 41 | 2018: 96 | 2019: 143 | 2020: 139

Aanbiedingsbrief
PDF – 106,7 KB 245 downloads
G Van De Begrotingsstaten Van Het Ministerie Van Justitie En Veiligheid VI Voor Het Jaar 2022
PDF – 1,6 MB 246 downloads
Bijlagen Horend Bij De Beantwoording
PDF – 1,4 MB 256 downloads

SP wil opheldering over datalek bij Booking.com en Amerikaanse spionage

De SP wil opheldering van demissionair minister Ollongren van Binnenlandse Zaken over een datalek bij Booking.com en mogelijke spionage door de Amerikaanse autoriteiten bij Nederlandse bedrijven. Onlangs berichtte NRC over een datalek bij Booking.com dat zich in 2016 voordeed en niet door de hotelreserveringssite aan getroffen klanten werd gemeld. De aanvaller, volgens de krant een Amerikaanse spion, bleek vanaf een server van Booking.com door middel van pincodes, unieke codes die bij specifieke reserveringen horen, informatie over duizenden hotelboekingen op te vragen. Het ging daarbij om hotels in landen in het Midden-Oosten, waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten. Booking.com besloot het datalek niet te melden. "De toenmalige leiding werkte volgens de principes van de AVG, die bedrijven ertoe aanzette om alleen verdere stappen te ondernemen op het gebied van melding als er daadwerkelijke negatieve effecten waren op het privéleven van individuen, waarvoor geen bewijs werd gevonden", aldus een woordvoerder. SP-Kamerlid Leijten wil nu opheldering van minister Ollongren over deze gang van zaken. "Klopt het dat gedupeerde klanten van Booking.com, wiens gegevens zijn gestolen, op de hoogte gebracht hadden moeten worden van dit datalek?", vraagt ze aan de minister. Die moet ook laten weten waarom de AIVD, die volgens NRC van de datadiefstal zou hebben geweten, de Autoriteit Persoonsgegevens niet informeerde. Ollongren moet daarnaast duidelijk maken hoe vaak de Amerikaanse autoriteiten hebben geprobeerd om bij in Nederland gevestigde bedrijven in te breken en in hoeverre de AIVD is toegerust om dit soort spionage tegen te gaan. Als laatste wil Leijten weten of Booking.com onder verscherpt toezicht staat omdat het vaker een datalek niet heeft gemeld. Begin dit jaar kreeg de hotelreserveringssite nog een boete van 475.000 euro van de Autoriteit Persoonsgegevens voor het te laat melden van een datalek in 2019. De minister moet binnen drie weken met een reactie komen.

Dat Een Amerikaanse Spion Booking Com Heeft Gehackt En Dit Niet Is Gemeld
PDF – 36,1 KB 230 downloads

Kamer van Koophandel neemt verdere maatregelen na datalek bij Handelsregister

De Kamer van Koophandel (KvK) neemt verdere maatregelen na het datalek bij het Handelsregister waarbij de beschermde privéadressen van zo'n achttienhonderd mensen door een oud-advocaat werden opgevraagd. Het datalek kon ontstaan doordat het autorisatiebeheer bij de KvK niet op orde was, zo liet voormalig demissionair staatssecretaris Keijzer van Economische Zaken eerder weten. Een beperkt aantal bevoegde instanties en beroepsgroepen, waaronder de advocatuur, kunnen dergelijke adressen door middel van een bepaalde autorisatie inzien. De oud-advocaat had van januari tot juni dit jaar bijna zeshonderd keer gegevens via het KvK-systeem opgevraagd. Het ging om bijna achttienhonderd privéadressen. Naar aanleiding van het datalek is er een onderzoek gestart naar de autorisaties van advocaten, notarissen en gerechtsdeurwaarders. Op basis van dit onderzoek werden de autorisaties van 164 voormalige advocaten, 70 voormalige notarissen en 15 voormalige gerechtsdeurwaarders ingetrokken die nog steeds in staat waren om beschermde privéadressen op te vragen. In veel gevallen bleek dat het account met de betreffende autorisatie was overgedragen aan een opvolger van de inmiddels vertrokken advocaat, notaris of gerechtsdeurwaarder. Van acht voormalige advocaten werd geen of geen sluitende verklaring ontvangen. De verklaringen worden op het moment verder onderzocht. Naast advocaten, notarissen en gerechtsdeurwaarders mogen ook hun medewerkers in opdracht beschermde privéadressen opvragen. Deze medewerkers zijn niet in de registers van de beroepskoepels opgenomen en zijn in de eerste controle op de drie beroepsgroepen buiten beschouwing gelaten. De KvK heeft de afgelopen weken met enkele grote advocaten- en notarissenkantoren overlegd om na te denken over hoe om te gaan met de autorisaties van medewerkers. Op basis hiervan worden verschillende maatregelen genomen. Zo moeten alle verstrekte autorisaties worden herbevestigd, anders worden ze ingetrokken. Verder worden risico's als gevolg van eventuele onbevoegde bevragingen van medewerkers in kaart gebracht, wordt een jaarlijkse controle op de actualiteit van primaire en gedelegeerde autorisaties uitgevoerd en wordt onderzocht of er een real-time koppeling kan plaatsvinden met de bestanden van de beroepsorganisaties voor advocaten, notarissen en gerechtsdeurwaarders. Begin volgend jaar komt er een update over het onderzoek naar de autorisaties van medewerkers, zo schrijft demissionair minister Blok van Economische Zaken in een brief aan de Tweede Kamer.

Update Datalek Bij De Kamer Van Koophandel
PDF – 217,9 KB 239 downloads

Datalek Homerun: bedrijven bewaarden jarenlang persoonsgegevens sollicitanten

Klanten van sollicitatieplatform Homerun hebben persoonsgegevens van sollicitanten veel langer bewaard dan is toegestaan. Bekende namen zoals Tony’s Chocolonely, De Correspondent, Blendle en Amac hadden data van sollicitanten vaak jaren opgeslagen. Dat blijkt uit onderzoek van VPNGids.nl. De Autoriteit Persoonsgegevens (AP) stelt dat gebruikelijk is dat een organisatie de gegevens van een sollicitant tot maximaal vier weken na het sluiten van de sollicitatieprocedure opslaat. Dit kan opgerekt worden tot één jaar, maar dan moet de sollicitant daar expliciet toestemming voor geven. Bij alle bedrijven waar VPNGids.nl contact mee heeft gehad, werden deze termijnen ruimschoots overschreden. In sommige gevallen gaat het om sollicitaties van vier tot vijf jaar geleden. Zij erkennen dat dit nooit had mogen gebeuren en bieden excuses aan. Deze fout is inmiddels hersteld, waardoor gegevens van sollicitanten voortaan tijdig worden verwijderd. Lees verder


Vaccinatiestatus Brusselaars eenvoudig voor burgers en werkgevers in te zien

De vaccinatiestatus van mensen in Brussel is via een online inschrijvingsplatform voor vaccinaties eenvoudig voor burgers en werkgevers in te zien. Privacyorganisatie Charta21 spreekt van een flagrante privacyschending en noemt het een datalek van medische gegevens, zo meldt de Belgische krant De Tijd. Het Bruvax-platform werd afgelopen maart gelanceerd. Alleen met een rijksregisternummer en postcode is het mogelijk om een afspraak te maken. De Brusselse Gemeenschappelijke Gemeenschapscommissie (GGC) wil op deze manier de procedure voor een vaccinatieafspraak vereenvoudigen, maar het maakt het ook mogelijk voor derden, zoals werkgevers, banken en verzekeraars, om de vaccinatiestatus van inwoners te achterhalen. Alleen niet-gevaccineerden kunnen namelijk via de website een afspraak maken. "Veel organisaties hebben het rijksregisternummer van hun klanten of werknemers", zegt Hubert Petre van Carta21. "Het gaat om werkgevers, bankiers, verzekeraars en gemeentepersoneel. Met het rijksregisternummer bij de hand is het ongelofelijk simpel om te zien of iemand gevaccineerd is of niet. Een flagrante schending van de privacy en een datalek van medische gegevens." Ook burgers kunnen op deze manier kijken of iemand gevaccineerd is of niet. De privacyorganisatie heeft de GGC gevraagd om een einde aan 'het datalek' te maken. De Tijd vroeg de Gemeenschapscommissie om opheldering, maar die kon vanwege verlof wegens Koningsdag nog niet reageren.


Onbewust kwaadwillenden toegang geven tot je privégegevens ‘Assisted selfie fraude’

Er zijn inmiddels tientallen vormen van cybercrime, zoals phishingspoofingcatfishingsim-swappingdoxingsextortionsocial engineering en ransomware. Consumenten geven soms onbewust kwaadwillenden toegang tot hun privégegevens. Met zogeheten ‘assisted selfie-fraude’ is dat niet anders. We leggen uit hoe dit werk en hoe je jezelf kunt beschermen. Lees verder


De Standaard in Belgie gaat aan de slag met het grootste datalek ooit uit Afrika

Het internationale onderzoek Congo Hold-up onthult hoe de bank BGFI werd gebruikt om de natuurlijke rijkdommen en staatskassen van de Democratische Republiek Congo te plunderen. Met de opbrengsten van die plundertocht financierde de entourage van voormalig president Joseph Kabila haar binnen- en buitenlandse weelde. Maar daar hield het niet op. De BGFI-bank was de draaischijf van een corrupt systeem, dat de clan van Joseph Kabila overeind hield. De bankengroep had al een troebele geschiedenis als de spil in corrupte deals van Afrikaanse autocraten en Europese ondernemingen. Maar Congo Hold-up bewijst dat het ook een doorgeefluik was voor wie invloed wilde uitoefenen op Kabila: van internationale zakenlui tot Chinese staatsbedrijven verwikkeld in enorme mijnbouwondernemingen. De bank bood ook onderdak aan Belgen die de voormalige president hielpen geld te versluizen, bedrijven die worden verdacht van de financiering van Hezbollah en een Belg die zich in alle stilte verrijkte op de kap van Congolese landbouwontwikkeling. In een onuitgegeven onderzoeksalliantie hebben het medianetwerk European Investigative Collaborations (EIC) en zijn mediapartners een team gevormd met een groep non-profit onderzoeksgroepen onder leiding van het Plateforme pour la protection des lanceurs d’alerte en Afrique (PPLAAF). Samen hebben ze de documenten van Congo Hold-Up meer dan zes maanden onderzocht. Het datalek, dat in handen kwam van PPLAAF en de Franse onderzoekssite Mediapart, bestaat uit meer dan 3,5 miljoen interne documenten van de BGFI, samen met miljoenen transacties over een periode van ongeveer tien jaar. De komende weken leggen De Standaard en zijn partners de netwerken bloot die geld verduisterden en versluisden via de bank. We laten zien bij wie het geld terechtkwam, waar het aan besteed werd en hoe internationale banken faalden in het stoppen van die dubieuze geldstromen.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes. Lees hier de slachtoffers van deze week »



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken