Datalek nieuws en overzicht week 48-2021

Gepubliceerd op 5 december 2021 om 12:03

Datalekken weekoverzicht

Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.

Heb je een vermoeden van een datalek en is het nog niet gemeld of weet je niet als het gemeld is aan de 'Autoriteit persoons gegevens (AP)'  laat het ons dan weten, want bij een datalek moet er snel gehandeld worden om mogelijke catastrofale gevolgen te voorkomen.


Datalek nieuws


Panasonic maakt melding van datalek na hack op intern netwerk

Het Japanse bedrijf Panasonic heeft bevestigd dat het is betrokken bij een datalek. Volgens Panasonic heeft een 'derde partij' illegaal toegang verkregen tot het netwerk van het bedrijf, waarbij 'bepaalde gegevens' zijn ingezien. Panasonic schrijft in een persbericht dat hackers op 11 november 'illegaal toegang hebben verkregen' tot het netwerk van het bedrijf. Tegenover TechCrunch verduidelijkt een woordvoerder van Panasonic echter dat de ongeoorloofde toegang plaatsvond tussen 22 juni en 3 november, en dat dit op 11 november voor het eerst werd gedetecteerd. Na een intern onderzoek is volgens Panasonic gebleken dat deze derde partij toegang heeft verkregen tot 'sommige gegevens' op een server. Het bedrijf verduidelijkt niet om wat voor gegevens dat gaat. Panasonic heeft melding van de hack gemaakt bij de autoriteiten en 'beveiligingsmaatregelen' genomen, 'waaronder stappen om externe toegang tot het netwerk te voorkomen'. Het bedrijf werkt naar eigen zeggen ook samen met een bedrijf om de hack te onderzoeken, en om na te gaan of daarbij toegang is verkregen tot de persoonsgegevens van klanten of andere gevoelige data. Verder zijn er nog geen details bekend over de hack.


Uden lekt persoonlijke info in zaak grote grazers Maashorst: zo slecht doorgekrast dat het tóch te lezen is

Uden is opzichtig in de fout gegaan in een Wob-zaak, waarbij openbaarmaking van documenten over de Maashorst was gevraagd. Persoonsgegevens en opmerkingen die de gemeente had willen weglaten, werden doorgekrast met een slechte viltstift en bleven zo leesbaar. Uden spreekt zelf van een ‘datalek’ van privégegevens zoals namen en mailadressen, en heeft hiervan deze week melding gemaakt bij de Autoriteit Persoonsgegevens.  Het Wob-verzoek (Wet openbaarheid van bestuur) was ingediend door Stichting Annemieke, een organisatie die zeer kritisch kijkt naar de inzet van grote grazers in Nederlandse natuurgebieden. De stichting gaat zich ook in de Maashorst verdiepen. In juli vroeg ze ‘alle documentatie sinds 2015' op bij de betrokken gemeenten Bernheze, Landerd, Oss en Uden.


Gezin ontvangt doos vol gevoelige informatie door verkeerde verzending

Door een fout van PostNL heeft een jong gezin uit Veghel een pakket in handen gekregen met daarin een stapel ingevulde formulieren bestemd voor de Belastingdienst. Door een verkeerde adressering konden namen, adressen en BSN-nummers worden ingezien van 250 particulieren. Het pakket was afkomstig van Nationale Belasting Adviseurs uit Amersfoort. Lees verder


Dna-laboratorium DDC lekt persoonlijke informatie 2,1 miljoen mensen

Het Amerikaanse dna-laboratorium DNA Diagnostics Center (DDC), dat voor mensen wereldwijd dna-tests uitvoert waaronder in Nederland, heeft de persoonlijke informatie van 2,1 miljoen mensen gelekt. Op 6 augustus ontdekte DDC dat een aanvaller een gearchiveerde database had gestolen met de persoonlijke informatie van mensen die tussen 2004 en 2012 is verzameld. De gestolen database was onderdeel een systeem dat in 2012 door DDC werd overgenomen. DDC zegt nooit van het systeem gebruik te hebben gemaakt en het datalek heeft dan ook niet direct met het bedrijf te maken, aldus een verklaring. De actief gebruikte databases van DDC zijn niet gecompromitteerd, zo laat de verklaring verder weten. Volgens DDC heeft de aanvaller tussen 24 mei en 28 juli van dit jaar mogelijk bepaalde bestanden en mappen uit de database verwijderd. Na ontdekking van het datalek op 6 augustus werd op 29 oktober verder onderzoek uitgevoerd. Daaruit blijkt dat de aanvaller naam, socialsecurity-nummer en andere persoonlijke informatie heeft gestolen in combinatie met rekeningnummer of creditcardnummer en accountgegevens, waaronder mogelijk wachtwoorden, zo meldt het openbaar ministerie van de staat Maine.


4 miljoen betaalkaartgegevens te koop gevonden op het darkweb

“Sinds 2014 zien we een constante groei van fraude met betaalkaarten over de hele wereld. We besloten te onderzoeken hoeveel een betaalkaart op het darkweb kost en waarom er een bloeiende ondergrondse zwarte markt voor is,” zegt Marijus Briedis, CTO bij NordVPN. “En het antwoord is dat hackers er gemakkelijk veel geld mee kunnen verdienen. Zelfs als een kaart gemiddeld maar 10 dollar kost, kan een hacker 40 miljoen dollar verdienen met de verkoop van een enkele database, zoals de database die we hebben geanalyseerd.” Lees verder


Britse overheid krijgt boete van 590.000 euro voor datalek met csv-bestand

De Britse privacytoezichthouder ICO heeft de Britse overheid een boete van omgerekend 590.000 euro opgelegd wegens een datalek met een csv-bestand. Het Cabinet Office, dat de Britse premier en het kabinet ondersteunt, plaatste eind 2019 een csv-bestand op de website gov.uk met de adresgegevens van meer dan duizend mensen die waren genomineerd voor het ontvangen van een lintje van de koningin zouden ontvangen. Het datalek werd bij toeval ontdekt door een medewerker van het communicatieteam van de overheid. Uiteindelijk stond het bestand twee uur en 21 minuten online. In deze periode werd het csv-bestand bijna 3900 keer door 2800 verschillende ip-adressen benaderd. Van 207 mensen waren de adresgegevens voor het datalek niet openbaar. Voor het genereren van het overzicht werd een nieuw door het Cabinet Office ontwikkeld systeem gebruikt. De aanwezigheid van een kolom met adresgegevens werd niet tijdens het testproces opgemerkt. Eind december 2019 genereerde een medewerker, die meestal niet voor dit proces verantwoordelijk was, via het nieuwe systeem een csv-bestand dat zou worden gepubliceerd. Deze medewerker wist dat de adresgegevens niet in het overzicht mochten staan en besloot deze informatie te verbergen in plaats van te verwijderen. Daardoor was de data nog steeds in het csv-bestand aanwezig. Bij het uploaden van het bestand naar Gov.uk werd de verborgen data zichtbaar. Volgens de ICO had het Cabinet Office geen technische en organisatorische maatregelen genomen om een gepast beveiligingsniveau te bieden bij de verwerking van data voor de lijst met genomineerde lintjesontvangers en heeft het daarmee de AVG overtreden. "De vandaag opgelegde boete is een boodschap voor andere organisaties dat het beschermen van persoonsgegevens en het geregeld controleren of gepaste beveiligingsmaatregelen aanwezig zijn bovenaan de agenda moet staan", zegt Steve Eckersley van de ICO.


Clearview AI krijgt mogelijk boete van 20 miljoen euro voor overtreden privacywet

De Britse privacytoezichthouder ICO is voornemens om het gezichtsherkenningsbedrijf Clearview AI een boete van twintig miljoen euro op te leggen voor het overtreden van de Britse privacywetgeving. Clearview verzamelde foto's van Facebook, LinkedIn en andere websites voor het trainen van een gezichtsherkenningssysteem. Dit systeem bevat volgens de ICO een database van tien miljard verzamelde afbeeldingen. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt. De Britse privacytoezichthouder stelt dat de afbeeldingen in de database van Clearview mogelijk zonder medeweten van mensen via publiek beschikbare bronnen zoals social media zijn verzameld. Daarbij heeft Clearview de Britse privacywetgeving mogelijk op verschillende punten overtreden. Zo is informatie van Britse burgers niet op een redelijke wijze verwerkt, is informatie oneindig bewaard, is er geen rechtmatige reden voor het verzamelen van de informatie, is er niet voldaan aan de databeveiligingsstandaarden voor biometrische data zoals onder de AVG en Britse privacywetgeving gelden, zijn mensen niet geïnformeerd over wat er met hun data gebeurt en vraagt Clearview om aanvullende persoonlijke informatie, waaronder foto's, wat mensen die hun data willen verwijderen hiervan kan weerhouden. Clearview krijgt nu de mogelijkheid om op het voornemen van de ICO te reageren, waarna de toezichthouder met een definitieve beslissing zal komen. Potentiële boetes van de ICO kunnen in de praktijk veel lager uitvallen. Zo was de toezichthouder voornemens om hotelketen Marriott wegens een datalek een boete van 110 miljoen euro op te leggen, maar die kwam uiteindelijk uit op 20 miljoen euro. In het geval van een datalek bij British Airways werd er een bedrag van 200 miljoen euro genoemd, maar kwam de definitieve boete op 22 miljoen euro uit.


Datalek bij Ubiquiti door ex-werknemer veroorzaakt stelt Amerikaanse Justitie

Het Amerikaanse Departement van Justitie denkt dat voormalig werknemer van Ubiquiti N. Sharp, klantengegevens heeft gestolen eerder dit jaar. Op die manier kon de ex-werknemer druk uitoefenen op Ubiquiti. N. Sharp werd gearresteerd eerder deze week, nadat hij beschuldigt werd van het stelen van klantengegevens van zijn voormalig werkgever Ubiquiti. Volgens het Departement van Justitie in de VS misbruikte hij zijn inloggegevens om confidentiële gegevens te downloaden. Lees verder


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes. Lees hier de slachtoffers van deze week »



Bron: diverse en anonieme tips

Meer weekoverzichten

Meer info over datalekken


«   »