Datalek nieuws en overzicht week 01-2022

Gepubliceerd op 9 januari 2022 om 10:46
Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Mixtape-website DatPiff lekt gegevens 7,5 miljoen gebruikers

DatPiff, een online distributieplatform voor mixtapes, heeft de gegevens van 7,5 miljoen gebruikers gelekt, die nu op internet te koop worden aangeboden. Naast e-mailadressen bevat de aangeboden data ook gekraakte wachtwoordhashes, gebruikersnamen en securityvragen en antwoorden. De wachtwoorden waren voorzien van een statische salt en gehasht via het zwakke MD5-algoritme en zijn na de diefstal gekraakt. De e-mailadressen zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 7,5 miljoen toegevoegde e-mailadressen was 81 procent al via een ander datalek bij Have I Been Pwned bekend.


FlexBooker lekt privégegevens van ruim 3,7 miljoen gebruikers

FlexBooker, een online oplossing voor het beheer van afspraken, heeft de privégegevens van ruim 3,7 miljoen gebruikers gelekt, die nu op internet worden aangeboden. Via FlexBooker kunnen bedrijven en organisaties afspraken met klanten, gebruikers en medewerkers inplannen. Vorige maand kreeg de website met een datalek te maken waarbij data van meer dan 3,75 miljoen gebruikers werd buitgemaakt. Het gaat onder andere om e-mailadressen, namen, telefoonnummers en voor een klein aantal accounts ook wachtwoordhashes en gedeeltelijke creditcarddata. De gegevens konden door een gecompromitteerd AWS-account worden gestolen en worden nu op internet verhandeld. De gestolen e-mailadressen zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de meer dan 3,75 miljoen toegevoegde e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend.


Datalek bij Amerikaans ziekenhuis, gegevens 1,3 miljoen patiënten op straat

Broward Health, een grote zorgorganisatie in de Verenigde Staten, is getroffen door een gigantisch datalek waarbij de persoonsgegevens van 1,3 miljoen patiënten op straat zijn komen te liggen. Deze week bracht Broward Health naar buiten dat ze slachtoffer zijn geworden van een hack. De zorgorganisatie uit Florida heeft meer dan 30 zorginstellingen onder zijn hoede. De cyberaanval zou plaats hebben gevonden op 15 oktober 2021. Een hacker heeft die dag toegang weten te krijgen tot het netwerk van het ziekenhuis. Daardoor kon de indringer bij de persoonlijke gegevens van meer dan 1,3 miljoen patiënten. Vier dagen later, op 19 oktober 2021, werd het lek ontdekt en deed de organisatie aangifte. Werknemers werden geadviseerd om hun wachtwoord te veranderen en het ziekenhuis nam cybersecurity experts in de arm. Het bleek dat de hacker binnen had weten te komen via een andere medische partij die toegang had tot de systemen.


Ollongren kan niets zeggen over datalek bij Booking en Amerikaanse spionage

Demissionair minister Ollongren kan niets zeggen over een datalek bij Booking.com en mogelijke spionage door de Amerikaanse autoriteiten bij Nederlandse bedrijven. Afgelopen november berichtte NRC over een datalek bij Booking.com dat zich in 2016 voordeed en niet door de hotelreserveringssite aan getroffen klanten werd gemeld.  De aanvaller, volgens de krant een Amerikaanse spion, bleek vanaf een server van Booking.com door middel van codes die bij specifieke reserveringen horen, informatie over duizenden hotelboekingen te hebben opgevraagd. Het ging daarbij om hotels in landen in het Midden-Oosten, waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten. Booking.com besloot het datalek niet te melden. SP-Kamerlid Leijten vroeg minister Ollongren om opheldering over deze gang van zaken en wilde onder andere weten of het bedrijf klanten had moeten informeren. De minister merkt op dat in 2016 de Wet bescherming persoonsgegevens van kracht was en het onder deze wet verplicht was om datalekken te melden die ongunstige gevolgen zouden hebben voor de privacy van betrokkenen. Verdere details kan Ollongren niet geven. "De Autoriteit Persoonsgegevens (AP) heeft laten weten over dit specifieke geval geen verdere informatie te kunnen geven. Het is niet aan mij om over het in de vraag genoemde mogelijke datalek een oordeel te geven, nu dit bij uitstek toekomt aan de toezichthouder." Leijten wilde ook van de minister weten hoe vaak de Amerikaanse autoriteiten hebben geprobeerd om op de systemen van in Nederland gevestigde bedrijven in te breken. Daarop stelt Ollongren dat de AIVD en de MIVD onderzoek verrichten wanneer er aanwijzingen zijn dat Nederlandse of in Nederland gevestigde bedrijven door statelijke actoren zijn getroffen. "Over het actuele kennisniveau van de inlichtingen- en veiligheidsdiensten kunnen in het openbaar geen mededelingen worden gedaan", voegt de minister toe. Het SP-Kamerlid vroeg ook of de AIVD voldoende is toegerust om dit soort spionage tegen te gaan. "De genoemde berichtgeving geeft onvoldoende duidelijkheid of in deze casus sprake is geweest van spionage. In het algemeen geldt dat de AIVD Nederland beschermt door (ongeziene) dreigingen tegen de nationale veiligheid te onderzoeken. Dat geldt onder meer voor digitale spionage", antwoordt Ollongren.


Datalek Máxima Medisch Centrum ontstaan door rondslingerend briefje

Het datalek bij het Máxima Medisch Centrum (MMC) in Eindhoven blijkt te zijn ontstaan door een papiertje dat eind vorig jaar op straat rondslingerde, zo meldt het ziekenhuis in een update. Het MMC maakte op 31 december bekend dat er mogelijk vertrouwelijke gegevens van patiënten in verkeerde handen terecht zijn gekomen. Uit nader onderzoek blijkt dat het om de gegevens van dertien patiënten gaat. Het bewuste document is volgens het ziekenhuis een zogenoemd loopbriefje van één pagina. Daarop stonden de naam, de geboortedatum, het patiëntnummer en enkele medische gegevens. Het briefje bevatte geen burgerservicenummers of adresgegevens. Het document met de persoonlijke gegevens werd op straat gevonden door een voorbijganger. De betreffende persoon waarschuwde het MMC vervolgens. Het briefje is inmiddels vernietigd, maar het is onduidelijk hoe het document daar terecht is gekomen. Het Máxima Medisch Centrum deed eerder al melding van het datalek bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. De betrokken patiënten zijn vorige week geïnformeerd. Het ziekenhuis zegt "er alles aan te doen om herhaling te voorkomen".


Morgan Stanley schikt rechtszaak over datalek voor 60 miljoen dollar

De Amerikaanse investeringsbank Morgan Stanley heeft een rechtszaak die klanten over een datalek hadden aangespannen geschikt voor 60 miljoen dollar. Volgens de klanten heeft de bank hun gegevens niet goed beschermd, waardoor die in handen van derde partijen kwamen. In 2016 nam Morgan Stanley afscheid van twee datacenters en verkocht daarbij de nog aanwezige apparatuur aan derde partijen. De verkochte systemen bleken onversleutelde klantgegevens te bevatten. In 2019 was het volgens de klanten opnieuw raak, toen Morgan Stanley oudere servers naar een externe leverancier verscheepte die toen vermist raakten. De servers werden laten wel door de bank teruggevonden, zo blijkt uit gerechtelijke documenten. Gedupeerde klanten ontvangen tenminste twee jaar verzekering tegen fraude en kunnen een vergoeding tot 10.000 dollar aanvragen, zo meldt persbureau Reuters. Als onderdeel van de schikking ontkent de bank dat het fouten heeft gemaakt en stelt verder dat het sindsdien substantiële upgrades aan de beveiligingsprocedures heeft doorgevoerd


Bron: diverse en anonieme tips


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes. Lees hier de slachtoffers van deze week »


Meer weekoverzichten

Datalek overzicht week 44-2019

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Datalek overzicht week 43-2019

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Datalek overzicht week 42-2019

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Datalek overzicht week 41-2019

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Datalek overzicht week 40-2019

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Datalek overzicht week 39-2019

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »