Datalek nieuws en overzicht week 52-2021

Gepubliceerd op 2 januari 2022 om 10:32
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Máxima Medisch Centrum meldt datalek patiëntengegevens

Het Máxima Medisch Centrum in Eindhoven en Veldhoven meldt dat mogelijk vertrouwelijke gegevens van patiënten in verkeerde handen terecht zijn gekomen. De betrokken patiënten zijn meteen persoonlijk ingelicht, meldt het ziekenhuis op zijn website. Daarnaast is het mogelijke datalek gemeld aan de Autoriteit Persoonsgegevens en aan de Inspectie Gezondheidszorg en Jeugd. Het Máxima MC zegt dat een anonieme melder de gegevens van een kleine groep patiënten in handen heeft gekregen. "Deze melder geeft aan dat hij/zij een overzicht heeft gevonden waarop vertrouwelijke gegevens staan van patiënten die gedurende een dienst op een afdeling in MMC lagen. Het is op dit moment nog niet duidelijk wie achter deze anonieme melding zit en hoe dit document in handen van de anonieme melder terecht is gekomen", aldus de verklaring op de website. Het zegt zegt dat de bescherming van de privacy van zijn patiënten de hoogste prioriteit heeft en stelt een onderzoek in.


Nederlandse gemeenten melden datalek in Slim Melden-app

Vijftien Nederlandse gemeenten hebben bij de Autoriteit Persoonsgegevens een datalek met de Slim Melden-app gemeld. Via de app kunnen inwoners schades, voorvallen en meldingen over de openbare ruimte bij de gemeente rapporteren. Onder andere Deventer, Gouda, Enschede, Groningen en Utrecht maken gebruik van de app. Door een beveiligingslek was het mogelijk voor derden om de gegevens van melders te zien. Wanneer een inwoner via de app een melding deed konden anderen zich bij die melding aansluiten en gegevens van de originele melder achterhalen. Volgens de app-ontwikkelaar zou het bij misbruik van de kwetsbaarheid een groot aantal meldingen hebben ontvangen en heeft dat niet plaatsgevonden. Het bedrijf informeerde de Autoriteit Persoonsgegevens over het datalek en waarschuwde de gemeentes die het als klant heeft, die daarop ook melding bij de AP deden. "Naar aanleiding van deze melding heeft de gemeente een melding gedaan bij de Autoriteit Persoonsgegevens en is zij een eigen onderzoek gestart. Dit onderzoek is nog niet afgerond, maar er zijn tot op heden nog geen alarmerende signalen bekend", zo laat een woordvoerder van de gemeente Enschede tegenover Tubantia weten.


Inbrekers stelen in Brussel computer met data van gevaccineerden

Inbrekers hebben begin vorige week meerdere computers gestolen in een vaccinatiecentrum in Brussel. Op deze computers staan gegevens van Brusselaars die gevaccineerd zijn. De gezondheidsinspectie noemt het risico op een datalek beperkt. De Gemeenschappelijke Gemeenschapscommissie zegt dat de inbraak in de nacht van 20 op 21 december plaatsvond in vaccinatiecentrum Pacheco in Brussel en dat hierbij meerdere computers meegenomen zijn. De commissie zegt samen te hebben gewerkt met de politie, haar IT-team en haar team data protection om te voorkomen dat iemand gebruik zou kunnen maken van de gegevens. Hoe ze dit hebben gedaan, is niet duidelijk. Het is eveneens niet duidelijk wat voor data er op de computers staat, of van hoeveel mensen hier gegevens op staan. Tegen onder meer het Nieuwsblad zegt de Brusselse gezondheidsinspectie dat de gegevens op een van de computers stonden, en dat deze computer uitstond. De gegevens zijn volgens de gezondheidsinspectie niet zomaar af te lezen, daarvoor zouden de computers eerst gehackt moeten worden. "Het risico dat er gegevens naar buiten lekken, is beperkt'', zegt het hoofd van de inspectie. De politie is op zoek naar de daders.


Datalek bij SEGA Europe

Gevoelige data van gameuitgever SEGA Europe zijn aangetroffen in een publiek toegankelijke AWS S3 bucket. De gegevens waren hierdoor voor onbevoegden toegankelijk. Onder meer data van zo'n 250.000 leden van het Football Manager-forum zijn uitgelekt.  Het lek is ontdekt door onderzoeker Aaron Philips van VPNGids.nl. Onder meer IP-adressen en e-mailadressen van forumgebruikers waren toegankelijk voor onbevoegden. Ook konden onderzoekers e-mails versturen vanuit het officiële mailaccount van Football Manager. Voor aanvallers onder meer interessant met het oog op phishing. Ook andere websites bleken toegankelijk voor de onderzoekers, waaronder die van andere games. Ook konden zij bestanden uploaden naar en aanpassingen maken op de website van SEGA. VPNGids.nl meldt geen aanwijzigingen te hebben dat het lek door kwaadwillenden is misbruikt. Het is niet duidelijk van hoeveel Nederlanders gegevens toegankelijk waren.


Data van ongeveer een kwart van de Albanese bevolking gestolen

De persoonlijke en salarisgegevens van 637.000 Albanezen, zo'n kwart van de bevolking, zijn gestolen en gelekt op internet. Het gaat om namen, identiteitskaart- en paspoortnummers, telefoonnummers, salaris, functie en werkgever die in twee Excel-documenten staan die via WhatsApp worden gedeeld, aldus het Albanese Exit News. De Albanese premier Edi Rama heeft excuses voor het datalek gemaakt. Hij stelt dat uit voorlopig onderzoek blijkt dat de gegevens waarschijnlijk door een insider zijn gelekt en niet via een externe cyberaanval zijn buitgemaakt, laat persbureau AP weten. Er wordt gedacht dat de gegevens afkomstig zijn van de belastingdienst of de sociale verzekeringsbank in het land, meldt de Tirana Times.


Microsoft-cloud lekte broncode van klanten

Cloud- en softwareleverancier Microsoft heeft sommige klanten een lek bezorgd waarbij broncode van zelf ontwikkelde applicaties zijn uitgelekt. De Azure App Service for Linux blijkt standaard bij gebruik van 'Local Git' broncode van apps in een publiek toegankelijke map te hebben geplaatst. Kwaadwillenden hebben hier al misbruik van gemaakt, stelt de ontdekker. Dit datalek van broncode en mogelijk ook gevoelige informatie zoals inloggegevens, is begin oktober verantwoord gemeld bij Microsoft. Die leverancier heeft het onderzocht en uiteindelijk gefixt, om het afgelopen week wereldkundig te maken. De onthulling van de zogeheten NotLegit-kwetsbaarheid is vlak voor kerst gedaan, waarbij cloudsecuritybedrijf Wiz in zijn blogpost uitleg geeft over zijn ontdekking.


Tien grootste datalekken van 2021

2021 gaat de geschiedenisboeken in als een van de meest roerige jaren ooit op het gebied van cybersecurity en informatiebeveiliging. Het ene datalek was nog maar net achter de rug of het volgende lek diende zich alweer aan. Afgelopen jaar werden tal van bedrijven hiermee geconfronteerd. In dit artikel staan we stil bij de 10 grootste datalekken van 2021. Daarbij beperken we ons tot de gevallen waarbij persoonsgegevens van Nederlanders zijn buitgemaakt. Een datalek zoals bij T-Mobile, waarbij gegevens van meer dan 54 miljoen Amerikaanse klanten werden gestolen, laten we voor onze lijst buiten beschouwing. Lees verder


Amerikaanse bank Capital One treft schikking in rechtszaak rondom datalek

De Amerikaanse bank Capital One schikt voor 190 miljoen dollar, omgerekend bijna 168 miljoen euro, in een rechtszaak rondom een datalek uit 2019. Bij dit datalek werden gegevens van zo'n 100 miljoen Amerikanen en 6 miljoen Canadezen buitgemaakt. Bij het datalek zijn onder meer bankrekeningnummers van klanten gestolen. Creditcardgegevens zouden niet zijn buitgemaakt. Voor het lek is eerder een vrouw gearresteerd die in het verleden werkzaam was voor Amazon Web Services, de cloudprovider van Capital One. Met de schikking erkend Capital One geen schuld in de zaak en koopt het verdere vervolging af. Ook AWS bedrijf erkent geen schuld in de zaak.


Journalist die datalek via html-broncode ontdekte waarschijnlijk vervolgd

Een Amerikaanse journalist die door het bekijken van html-broncode een datalek in een overheidssite ontdekte zal waarschijnlijk worden vervolgd, zo denkt gouverneur Mike Parson van de Amerikaanse staat Missouri. Door het datalek waren social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk. Via de website van het ministerie van Onderwijs van Missouri is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens van meer dan honderdduizend leraren waren niet op de betreffende pagina's direct zichtbaar, maar wel via de html-broncode te achterhalen. Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast. Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek. Parson was zeer ontstemd over de werkwijze van de journalist en publicatie en dreigde met juridische stappen. Afgelopen woensdag werd Parson gevraagd wat hij zou doen als de openbaar aanklager de journalist niet zou vervolgen. "Ik denk niet dat dat het geval zal zijn", aldus de gouverneur. Daarbij stelde hij dat het niet is toegestaan om zonder toestemming data aan te passen, te vernietigen of te stelen. "Wanneer iemand het slot van je voordeur opent, voor welke reden dan ook, ook al is het geen goed slot, of is het een goedkoop slot of welk probleem je dan ook hebt, hebben ze niet het recht om je huis te betreden en je bezit mee te nemen", merkte Parson op. De gouverneur liet eerder nog weten dat het datalek de staat mogelijk 50 miljoen dollar zou kosten. Oorspronkelijk was de staat van plan om de journalist voor zijn melding te bedanken, maar daar werd in de uiteindelijke verklaring van afgezien, zo meldt de St. Louis Post-Dispatch.

Bron: diverse en anonieme tips


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes. Lees hier de slachtoffers van deze week »


Meer weekoverzichten