'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Van A tot Z » Datalek nieuws en overzicht week 44/45-2021

Datalek nieuws en overzicht week 44/45-2021

Gepubliceerd op 14 november 2021 om 12:05

Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Week 45


Datalek bij beleggingsapp Robinhood treft miljoenen gebruikers

Robinhood heeft op 9 november via een officieel statement meer details vrijgegeven over de cyberaanval die op 3 november plaatsvond. De hackers zouden voornamelijk mailadressen hebben buitgemaakt, al gaat het hier wel over minstens vijf miljoen mailadressen. Bij twee miljoen mailadressen kunnen de hackers het mailadres ook aan een naam linken. Volgens Robinhood zou bij een beperkt aantal accounts, ongeveer 310, de hackers ook nog persoonlijke informatie zoals geboortedatum en postcode bekomen hebben. Het beleggingsplatform is er wel zeker van dat er geen informatie over bankrekeningen of kredietkaarten van gebruikers is blootgelegd bij de cyberaanval. De hackers kregen via een telefoongesprek met de klantenservice een voetje binnen bij Robinhood. Ze deden zich voor als consumenten die in aandelen wilden beleggen. Via die medewerker verleenden ze zich uiteindelijk toegang tot de gebruikersdatabase van de beleggingsapp, die in september 2021 ongeveer 22,5 miljoen profielen rijk was (bron: Statista). De hackers vroegen nadien nog een dwangsom aan Robinhood om de gegevens niet uit te lekken, maar daar ging Robinhood niet op in. De aanval is ondertussen volledig onder controle en een extern onderzoek wordt zo snel mogelijk opgestart. Getroffen gebruikers zijn de komende tijd wel best extra waakzaam voor phishingmails.Het is de grootste cyberaanval waar Robinhood al mee te maken heeft gekregen, maar het is niet de eerste. Vorig jaar wisten hackers al eens binnen te dringen bij de beleggingsapp. Toen was de schade met ‘slechts’ 2000 gebruikers nog vrij beperkt. Robinhood is zo de volgende in het rijtje van grootschalige datalekken in 2021. Facebook en LinkedIn spannen dit jaar de kroon met hun datalekken waar 500 miljoen gebruikers door getroffen worden.


HPE meldt datalek met persoonlijke klantdata in cloudomgeving Aruba Central

HPE heeft klanten gewaarschuwd voor een datalek waarbij hun gegevens in de cloudomgeving van Aruba Central mogelijk zijn gestolen.Aruba Central is een cloudgebaseerde netwerkoplossing voor het beheer van draadloze, bedrade en WAN-infrastructuur op allerlei locaties. Via een dashboard kunnen beheerders zaken als netwerkprestaties monitoren en problemen verhelpen. Begin oktober wist een aanvaller door middel van een access key toegang tot informatie in de Aruba Central-omgeving te krijgen. Volgens HPE gaat het om gegevens die als "persoonlijke klantgegevens" moeten worden geclassificeerd, waaronder telemetriegegevens van netwerken en "contact tracing" data. De gecompromitteerde data bestaat onder andere uit informatie over de apparaten van medewerkers van bedrijven en organisaties die via wifi met het bedrijfsnetwerk verbinding maken, maar ook locatie-gebaseerde data in het kader van coronamaatregelen. Via Aruba-accesspoints kunnen bedrijven via wifi en bluetooth informatie verzamelen over waar hun personeel precies ten opzichte van elkaar is. Dit moet bijvoorbeeld "riskante verkeerspatronen" inzichtelijk maken en ervoor zorgen dat medewerkers voldoende afstand houden. Concreet gaat het om mac-adressen, ip-adressen, gebruikt besturingssysteem en hostnaam. Voor wifi-netwerken waarbij gebruikers moeten inloggen gaat het ook om gebruikersnaam. Verder bevatten de gecompromitteerde repositories informatie over datum, tijd en het wifi-accesspoint waarmee het apparaat van medewerkers verbinding maakt, waarmee de locatie van een gebruiker is te bepalen. HPE kan niet per klant zeggen of er specifieke data is gestolen. Onder de AVG zijn Aruba en HPE verplicht om klanten te waarschuwen, zo laten de bedrijven weten. Doordat Aruba Central uit verschillende clusters bestaat zijn niet alle klanten van deze oplossing getroffen. Het misbruik van de access key werd via monitoringtools ontdekt. Vervolgens stelde HPE een onderzoek in, waarna het misbruik op 2 november kon worden vastgesteld. Access keys voor Aruba Central worden automatisch na een bepaalde tijd geroteerd. De key in kwestie was vanaf 27 oktober niet meer geldig. Verder wordt data in de repositories automatisch na dertig dagen verwijderd. De gecompromitteerde data gaat dan ook maximaal terug tot 10 september van dit jaar. Hoe de aanvaller toegang tot de access key kon krijgen laat HPE niet weten.


Transavia krijgt boete van vier ton voor datalek

Een hacker omzeilde de beveiliging van Transavia en downloadde de privégegevens van 83.000 passagiers. Met een simpel wachtwoord kon hij de systemen van de luchtvaartmaatschappij binnendringen. Luchtvaartmaatschappij Transavia heeft een boete van 400.000 euro opgelegd gekregen, omdat een hacker in 2019 de persoonsgegevens van 25 miljoen passagiers kon inzien. De Autoriteit Persoonsgegevens (AP) meldt vrijdag dat dat kon gebeuren doordat Transavia de gegevens onvoldoende had beveiligd. De hacker heeft de privégegevens van zo’n 83.000 mensen gedownload. De hacker kreeg toegang tot de data door twee accounts van de IT-afdeling van Transavia te gebruiken. Volgens de AP deugde de beveiliging van de Transaviasystemen op meerdere punten niet. Ten eerste was de toegang die de twee accounts genoten niet beperkt tot alleen de noodzakelijke systemen. Ten tweede, het wachtwoord was makkelijk te raden. Volgens AP-bestuurslid Katja Mur ging het om een wachtwoord in de trant van ’123456’, ‘Welkom’, en ‘wachtwoord’. Tevens bleek alleen dat wachtwoord al te volstaan om toegang te verkrijgen: een zogeheten meerfactorauthenticatie ontbrak. Nadat de hacker de systemen was binnengedrongen, kon hij de naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens van passagiers inzien. Onder de gegevens die hij heeft gedownload, was een lijst met passagiersgegevens uit 2015, met daarin namen, geboortedata, vluchtinformatie en van een deel van de passagiers ook medische gegevens. Transavia ontdekte het datalek zelf en heeft dit vervolgens gemeld aan AP. Ook heeft de vliegtuigmaatschappij het lek snel gedicht. „Maar het is zeer ernstig dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord”, zegt Mur. „Als jij een vlucht boekt, vertrouw jij de luchtvaartmaatschappij persoonsgegevens toe. Die heeft die gegevens nodig om jouw vlucht te regelen. Maar jouw gegevens zijn ook heel handig voor oplichters, die de gegevens kunnen gebruiken voor identiteitsdiefstal. Of om jou geld afhandig te maken via bijvoorbeeld WhatsApp-fraude.” De hacker heeft zichzelf ook toegang verschaft tot systemen van Transavia France S.A.S. Deze Franse zustermaatschappij van Transavia heeft dat gemeld aan de Franse privacytoezichthouder. Transavia is onderdeel van luchtvaartmaatschappij Air France-KLM. Inbraken in computersystemen van het Nederlandse KLM of holdingmaatschappij Air France-KLM werden niet aangetroffen, meldt een woordvoerder van de AP.


'Hacker brak in bij Booking, hotelwebsite meldde datalek niet bij autoriteiten'

Een Amerikaanse hacker heeft begin 2016 ingebroken in de systemen van hotelwebsite Booking.com en maakte daarbij details van duizenden hotelreserveringen in het Midden-Oosten buit. Gedupeerde klanten werden niet op de hoogte gesteld, schrijft NRC. Volgens de krant had de hacker nauwe banden met de Amerikaanse inlichtingendiensten. De Amsterdamse hotelwebsite zou de Nederlandse inlichtingendienst AIVD om hulp hebben gevraagd bij het onderzoek naar de datadiefstal. Maar getroffen klanten en de Autoriteit Persoonsgegevens (AP) werden niet op de hoogte gesteld, schrijft de krant. In een reactie zegt Booking.com dat het niet verplicht was om het datalek bij de toezichthouder te melden. Maar de privacywet die destijds gold schreef voor dat betrokkenen op de hoogte van een datalek moesten worden gesteld, als dit "waarschijnlijk ongunstige gevolgen" voor hen had. Experts zeggen tegen de krant dat de hotelwebsite er niet zomaar vanuit had mogen gaan dat het lek geen nadelige gevolgen had voor klanten. Uiteindelijk wist Booking.com de identiteit van de hacker te achterhalen. Hij zou hebben gewerkt voor een bedrijf dat opdrachten uitvoerde voor een Amerikaanse inlichtingendienst. Om welke dienst het ging, is niet duidelijk.Eerder dit jaar kreeg het bedrijf nog een boete omdat het een datalek uit 2019 niet op tijd meldde bij de AP. Bij dat lek gingen criminelen aan de haal met persoonsgegevens van ruim 4000 klanten. Ook werden de creditcardgegevens van bijna 300 mensen buitgemaakt.


MediaMarkt: geen klantgegevens gestolen bij aanval, ruilen weer mogelijk

Bij de aanval op elektronicaketen MediaMarkt zijn geen klantgegevens gestolen, zo heeft het bedrijf vandaag bekendgemaakt. Daarnaast is het weer mogelijk voor klanten om producten te ruilen en ter reparatie aan te bieden. Het afhalen van bestellingen is sinds de cyberaanval van afgelopen maandagochtend nog altijd niet mogelijk. Alle Europese vestigingen van het bedrijf werden door de aanval geraakt. "Het allerbelangrijkste zijn onze klanten en na uitgebreid onderzoek kunnen we zeggen dat er geen klantgegevens zijn gestolen’’, laat een woordvoerder van de MediaMarkt tegenover het AD weten. "De klantdata is volledig veilig en klanten hoeven zich dus geen zorgen te maken." Volgens verschillende media is de onderneming getroffen door een aanval met de Hive-ransomware en zouden de aanvallers miljoenen euro's losgeld eisen, maar dat wil de woordvoerder niet bevestigen. "We reageren niet op speculaties. We zijn met professionele partijen in Duitsland bezig om alles te onderzoeken. Wat de volgende stap is, is nu nog niet bekend. Voor ons waren de klantgegevens het allerbelangrijkste en we zijn blij dat die volledig veilig zijn."


Week 44


De Restzetel jubileert en ontdekt datalek bij de gemeente Dongen

Ruim een jaar na de opstart is de wekelijkse podcast van De Restzetel al niet meer weg te denken uit het Dongense politieke landschap. Deze week wordt de 50e aflevering uitgezonden en werd de 10.000ste luisteraar geregistreerd. Tijdens deze jubileumuitzending komen de makers van de podcast met een opmerkelijke zaak. Zij ontdekten namelijk een datalek bij de gemeente Dongen. Omdat de drie bij de vorige verkiezingen actief waren als stembureaulid ontvingen zij deze week een brief van de gemeente Dongen met de vraag of zij zich weer beschikbaar stellen als stembureaulid bij de gemeenteraadsverkiezingen van maart 2022. Bij de brief was hiervoor als bijlage een aanmeldformulier gevoegd. Bij een aantal van de 202 door de gemeente Dongen verstuurde brieven blijkt echter dat de voorgedrukte gegevens op deze aanmeldformulieren niet overeenkomen met de gegevens van de geadresseerde. Er staan persoonlijke gegevens op van andere stembureauleden. De Restzetel deed navraag bij de gemeente, die het boetekleed aantrok en in een tweede brief excuses aanbood en aangaf dat het hier om een menselijke fout ging. Het voorval wordt gemeld bij de Autoriteit Persoonsgegevens. Natuurlijk houden de heren van De Restzetel ook in deze zaak de vinger aan de pols.


Britse Labour Party meldt datalek na ransomware-aanval op derde partij

De Britse Labour Party heeft leden, donateurs en andere personen die met de politieke partij data hebben gedeeld gewaarschuwd voor een datalek. In de waarschuwing meldt Labour dat het op 29 oktober werd ingelicht over een ransomware-aanval op een derde partij, waarbij een "grote hoeveelheid" partijdata op de systemen van deze derde partij ontoegankelijk werd gemaakt. Om welke derde partij het precies gaat laat Labour niet weten. De eigen systemen van Labour zouden niet zijn gecompromitteerd. Na te zijn ingelicht over het incident schakelde de politieke partij het Britse National Crime Agency (NCA) en het National Cyber Security Centre (NCSC) in en deed het melding bij de Britse privacytoezichthouder ICO. Op dit moment vindt er onderzoek naar de volledige omvang van het incident plaats. Voor zover nu bekend gaat het om gegevens die leden, geregistreerde en gelieerde supporters en andere personen met Labour deelden. Deze personen worden gewaarschuwd om alert te zijn op verdachte activiteit.


Medische dossiers 290.000 Israëlische patiënten en data LGBTQ-datingsite gelekt

Israël heeft in korte tijd te maken gekregen met twee zeer gevoelige datalekken die het werk van dezelfde groep aanvallers zijn. Vorige week publiceerde een groep die zichzelf Black Shadow noemt al vertrouwelijke informatie van een klein deel van de gebruikers van LGBTQ-datingsite Atraf. De groep eiste vervolgens 1 miljoen dollar, anders zou het de volledige database publiceren. Dat is inmiddels gebeurd. Het gaat om namen van gebruikers en woonplaats, alsmede hiv-status en seksuele geaardheid. Atraf is eigendom van CyberServe, een Israëlisch webontwikkel- en hostingbedrijf waar de aanvallers wisten in te breken. De datingsite heeft naar eigen zeggen vijf miljoen views per dag en de app telt 250.000 actieve gebruikers. De website is sinds het datalek offline. Na dit gevoelige datalek publiceerden de aanvallers afgelopen dinsdag de medische dossiers van 290.000 patiënten van het Machon Mor-ziekenhuis. De dossiers bevatten informatie over bloedtesten, behandelingen, afspraken voor gynaecologen, CT-scans, afbeeldingen van darmonderzoeken, vaccinaties voor vluchten naar het buitenland, maar ook contactgegevens en andere zaken, zo meldt The Jerusalem Post. Hoe de aanvallers toegang tot de data konden krijgen is onbekend. De website van CyberServe was op het moment van schrijven onbereikbaar. De 1,1 miljoen bij CyberServe gestolen en gelekte e-mailadressen zijn inmiddels aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gelekte e-mailadressen was 47 procent al via een ander datalek bij de zoekmachine bekend.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes. Lees hier de slachtoffers van deze week »



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken


«   »