Datalek nieuws en overzicht week 42-2021

Gepubliceerd op 24 oktober 2021 om 11:29
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Vpn-provider Quickfox lekt persoonlijke gegevens van 1 miljoen gebruikers

Vpn-provider Quickfox heeft door een fout de persoonlijke gegevens van 1 miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, telefoonnummers, namen, apparaatgegevens zoals geïnstalleerde software en met het MD5-algoritme gehashte wachtwoorden. MD5 is een zwak algoritme voor het hashen van wachtwoorden, waardoor dergelijke wachtwoordhashes eenvoudig zijn te kraken. De gegevens waren voor iedereen op internet zonder inloggegevens beschikbaar, aldus WizCase. Volgens het bedrijf werd het datalek door een onvolledige beveiliging van de ELK-stack veroorzaakt. ELK staat voor Elasticsearch, Logstash en Kibana. De software wordt gebruikt voor het doorzoeken van grote bestanden. Quickfox gebruikte de informatie voor het doorzoeken van logbestanden. Quickfox had de Kibana-installatie beveiligd, maar dit nagelaten voor de Elasticsearch-server. Iedereen kon zo de logbestanden van de vpn-provider met daarin allerlei gebruikersgegevens downloaden. Het ging in totaal om meer dan honderd gigabyte aan data en zo'n vijfhonderd miljoen records. Gebaseerd op de ip-adressen zou het datalek met name gebruikers in de Verenigde Staten, Japan, Indonesië en Kazachstan raken. Quickfox is een gratis vpn-provider die zich richt op Chinese gebruikers buiten China. Via de vpn-dienst is het mogelijk om Chinese websites te bezoeken die alleen binnen China toegankelijk zijn. De gebruikersgegevens zijn inmiddels beveiligd.


Gemeente in de fout: mogelijk duizenden brieven verkeerd geadresseerd

De gemeente Almere is vorige week in de fout gegaan met mogelijk duizenden verkeerd geadresseerde brieven tot gevolg. Volgens een woordvoerder komt dat door een fout in het adressenbestand. De gemeente beschouwt het probleem als een datalek en heeft hiervan melding gemaakt bij de Autoriteit Persoonsgegevens. In de brief werden ouders van kinderen in de leeftijd van twaalf tot achttien jaar uitgenodigd voor een informatieavond over onder meer drugsgebruik onder tieners. In de aanhef van de brief was de volledige naam van een kind te lezen, maar op de adressen waar de brief op de mat viel woonde in veel gevallen het genoemde kind niet. Volgens een woordvoerder was dit in een aanzienlijk deel van de 12.000 verstuurde brieven het geval. Hoeveel brieven precies verkeerd geadresseerd waren is niet bekend. Volgens de gemeente ontstond het probleem bij het 'ontdubbelen' van adressen: "Door het ontdubbelen' van adressen in het bestand – om te voorkomen dat ouders met meerdere kinderen in de genoemde leeftijdscategorie meerdere brieven zouden krijgen – is er een fout gemaakt." De gemeente betreurt de gemaakte fout en gaat nieuwe brieven versturen.


Accenture bevestigt datalek na ransomware-aanval in augustus

In augustus van dit jaar werd consultancybedrijf Accenture het slachtoffer van een aanval door de LockBit-ransomware waarbij ook gegevens zijn buitgemaakt, zo laat de onderneming in een document aan de Amerikaanse beurswaakhond SEC weten. De aanvallers maakten een deel van deze data ook openbaar.


Naar verluidt 3.1 miljoen e-mailadressen gelekt na hack CoinMarketCap

De populaire cryptocurrency website CoinMarketCap, voor het bijhouden van crypto-prijzen, is slachtoffer geworden van een hack. Zo zouden er circa 3.1 miljoen (3.117.548) e-mailadressen van gebruikers gelekt zijn. Dit werd onthuld door de website ‘Have I Been Pwned’. Dit is een website die hacks en gecompromitteerde online accounts volgt. De e-mailadressen zouden inmiddels op diverse hackforums verhandeld worden. CoinMarketCap, dat tevens een dochteronderneming is van de cryptocurrency exchange Binance, heeft inmiddels bevestigd dat de lijst met gelekte gebruikersaccounts overeenkwam met hun gebruikersbestand. Hier zeggen ze het volgende over: “CoinMarketCap is zich ervan bewust geworden dat er online batches met gegevens zijn verschenen die beweren een lijst met gebruikersaccounts te zijn. Alhoewel de gegevenslijsten die we hebben gezien alleen e-mailadressen zijn, hebben we een verband gevonden met ons abonneebestand.”


Twitch zegt dat gebruikerswachtwoorden niet buit zijn gemaakt tijdens enorm datalek

Eerder in oktober werd zo'n beetje heel Twitch gehackt en gelekt op het internet. Blijkbaar waren wachtwoorden daarbij gelukkig niet inbegrepen. Dat is in ieder geval wat Twitch zegt. De streamingsite heeft recent een update uitgebracht in de nasleep van de grote hack, waarin staat dat gebruikerswachtwoorden, creditcards en bankgegevens niet zijn ingezien door de hackers. Dat zijn eigenlijk de enige dingen die werden weggelaten, want alles van Twitch's volledige broncode tot uitbetalingsrapporten voor de top Twitch-makers van 2019 tot nu werd voor iedereen blootgelegd om te zien. Twitch heeft wel gezegd dat een "klein deel" van de gebruikers getroffen is door de gegevens die naar buiten zijn gekomen en het bedrijf zal direct contact opnemen met die mensen. 


Immateriële schadevergoeding bij datalek

In Bulgarije heeft de hoogste bestuursrechter het Hof van Justitie van de Europese Unie (HvJ-EU) een aantal prangende prejudiciële vragen gesteld. Aanleiding hiervoor was een eerdere hackaanval op de Bulgaarse Belastingdienst, wat een datalek van enorme omvang tot gevolg had. De bestuursrechter wil onder meer weten of enkel de zorgen, ongerustheid en angst over een mogelijk (!) misbruik van persoonsgegevens een vordering tot immateriële schadevergoeding rechtvaardigt. 


Datalek door privédata in html-broncode kost Missouri mogelijk 50 miljoen dollar

Een datalek in een overheidssite van de Amerikaanse staat Missouri waardoor social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk waren kost belastingbetalers mogelijk vijftig miljoen dollar, zo stelt gouverneur Mike Parson.


Criminelen gebruikten datalek bij callcenter om ouderen op te lichten

Een groep criminelen heeft tientallen ouderen opgelicht door middel van bankhelpdesk fraude. Ze maakten gebruik van telefoonnummers die ze hadden verkregen bij een datalek van onder meer een callcenter, meldt de politie vrijdag.


Minister maakt end-to-end encryptie niet verplicht voor versturen medische data

Het gebruik van end-to-end encryptie bij het uitwisselen van digitale gegevens in zorg wordt niet wettelijk verplicht, zo heeft demissionair minister De Jonge van Volksgezondheid laten weten. De minister reageerde op vragen over het wetsvoorstel voor de Wet elektronische gegevensuitwisseling in de zorg. Zorgverleners zullen straks medische gegevens verplicht elektronisch moeten uitwisselen. De Partij voor de Dieren (PvdD) wilde van De Jonge weten of de regering end-to-end encryptie gaat vastleggen in deze wet en verplicht stelt voor het versturen van medische gegevens. "Gezien de systematiek van dit wetsvoorstel wordt end-to-end encryptie niet in het wetsvoorstel zelf verplicht gesteld", reageert de minister. Hij merkt op dat een dergelijke verplichting in de NEN-norm voor gegevensuitwisseling kan worden opgenomen en uitgewerkt, zoals bijvoorbeeld welke algoritmen en sleutellengtes moeten worden gebruikt. De SP vroeg De Jonge hoe te garanderen is dat patiëntgegevens veilig elektronisch gedeeld kunnen worden, zonder dat er een risico is op datalekken. Volgens de minister zijn zorgaanbieders primair zelf verantwoordelijk voor de eigen informatiebeveiliging. Daarbij moeten zorgaanbieders aan de NEN 7510 en aanverwante normen voldoen, gaat De Jonge verder, die toevoegt dat datalekken nooit helemaal zijn te voorkomen. "Ik zet me in op het verkleinen van de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt." Het is nog onbekend wanneer de Tweede Kamer over het wetsvoorstel gaat stemmen.

Nota Naar Aanleiding Van Het Verslag
PDF – 895,3 KB 235 downloads

Over student J. zwerft nu álles rond op het darkweb door datalek school

Cybercriminelen braken in bij ROC Mondriaan in Den Haag, eisten 4 miljoen euro losgeld en dumpten allerlei persoonsgegevens van studenten en medewerkers op straat. Waarom trok de school pas na drie weken aan de bel? Een reconstructie. Het is zeer persoonlijke informatie die niemand zou mogen zien. Maar het staat al weken op internet. ‘E-mail van reclassering met mededeling dat J. verdachte is in een nieuwe zaak en voor minimaal veertien dagen in een huis van bewaring verblijft.’ De passage komt uit een van de twintig documenten vol gevoelige gegevens over J. (19). Hij heeft schulden, spijbelt, draagt een enkelband en maakte ruzie met een docent. ,,Ik voelde me bedreigd’’, zei die. Lees verder


Datalek toont aan: landen lobbyen om olie en steenkool te blijven gebruiken

Over ruim een week begint het Schotse Glasgow de grote internationale klimaattop COP26. Daar zullen regeringsleiders ongetwijfeld plechtig beloven er alles aan te doen om de opwarming van de aarde tegen te gaan. Voor de camera’s althans, want achter de schermen proberen verschillende landen er juist onderuit komen. Dat blijkt uit een groot datalek van documenten, die door de BBC zijn ingezien.



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken