Op 26 september werd bekend dat er een datalek heeft plaatsgevonden bij de politie, waarbij de gegevens van alle 63.000 Nederlandse politiefunctionarissen zijn gestolen. Deze informatie kwam naar buiten nadat een politieaccount was gehackt. In dit artikel bespreken we de gevolgen van het datalek en de maatregelen die zijn genomen.
Wat is er gebeurd?
Volgens een rapport van Tweakers en NOS is er een politieaccount gehackt, waardoor werkgerelateerde contactgegevens van alle politiemedewerkers zijn buitgemaakt. Hoewel de namen van de medewerkers zijn gestolen, zijn er geen privégegevens of onderzoeksgegevens gecompromitteerd.
“Op 26 september ben ik door de Korpschef geïnformeerd dat een politieaccount is gehackt. Hierdoor zijn werkgerelateerde contactgegevens van alle politiemedewerkers buitgemaakt.”
— Minister van Justitie en Veiligheid, D.M. van Weel
De politie is direct begonnen met een onderzoek naar zowel de oorzaak als de impact van dit incident. Daarnaast heeft de politie een melding gedaan van het lek bij de Autoriteit Persoonsgegevens.
Reactie van de Politie en de Tweede Kamer
De politie heeft alle medewerkers geïnformeerd over het datalek en hen geadviseerd om contact op te nemen met hun leidinggevende bij vragen over het incident. De politie heeft aangegeven voortdurend alert te zijn op mogelijke aanvallen en systemen nauwlettend te monitoren om snel en adequaat te kunnen handelen. Indien uit het onderzoek blijkt dat aanvullende maatregelen nodig zijn, zal de politie deze treffen.
De Minister van Justitie en Veiligheid heeft de Tweede Kamer op de hoogte gesteld van het datalek en benadrukt dat de Kamer op de hoogte zal worden gehouden van verdere ontwikkelingen. Zie voor de officiële brief van de Minister aan de Tweede Kamer hier.
Mogelijke Gevolgen en Vervolgstappen
Hoewel de aard van de gestolen gegevens voornamelijk betrekking heeft op werkgerelateerde contactinformatie, kan het lek nog steeds tot serieuze veiligheidsrisico’s leiden. De politie onderzoekt momenteel de volledige omvang en impact van het incident om te bepalen welke verdere stappen nodig zijn.
Conclusie
Het datalek bij de Nederlandse politie benadrukt de kwetsbaarheid van digitale systemen, zelfs bij organisaties met een hoog beveiligingsniveau. Dit incident toont aan dat voortdurende waakzaamheid en tijdige communicatie essentieel zijn om mogelijke schade te beperken. Zodra er meer informatie bekend is, zal de Kamer hier verder over worden geïnformeerd.
De Ierse toezichthouder, Data Protection Commission (DPC), heeft Meta (voorheen bekend als Facebook) een boete van 91 miljoen euro opgelegd. Het socialemediabedrijf had tussen 2012 en 2019 de wachtwoorden van naar schatting 200 miljoen tot 600 miljoen gebruikers van Facebook en Instagram in platte tekst opgeslagen op interne systemen, zonder enige vorm van versleuteling. Dit grootschalige datalek brengt ernstige beveiligingsrisico’s met zich mee en is in strijd met de Europese privacywetgeving (AVG).
De Bevindingen van de DPC
De DPC werd in 2019 op de hoogte gebracht van het probleem met de wachtwoorden en heeft sindsdien een uitgebreid onderzoek uitgevoerd. Volgens de DPC heeft Meta jarenlang de wachtwoorden van honderden miljoenen gebruikers van Facebook, Facebook Lite en Instagram onversleuteld opgeslagen. Dit betekent dat de wachtwoorden in leesbare vorm stonden opgeslagen, waardoor duizenden medewerkers toegang hadden tot deze gevoelige gegevens.
In een persverklaring laat de toezichthouder weten dat dit een grove schending is van de AVG-wetgeving, die vereist dat bedrijven passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen. De officiële verklaring van de DPC is hier te lezen.
“De Ierse toezichthouder neemt het Meta niet alleen kwalijk dat de wachtwoorden in de eerste plaats niet goed beschermd waren, maar ook dat het bedrijf de DPC niet tijdig van het beveiligingslek op de hoogte heeft gesteld.” — DPC
De Vertraging in de Melding van Meta
Een ander aspect dat heeft bijgedragen aan de hoogte van de boete is het feit dat Meta de DPC niet tijdig op de hoogte heeft gesteld van de beveiligingsfout. Meta ontdekte het probleem al in januari 2019, maar bracht de toezichthouder pas enkele maanden later op de hoogte. De AVG-wetgeving stelt dat datalekken binnen 72 uur gemeld moeten worden, iets waar Meta niet aan heeft voldaan.
De fout lag bij applicaties voor het loggen van gegevens, waardoor wachtwoorden onbedoeld in platte tekst werden opgeslagen. Meta heeft in datzelfde jaar ook openbaar gemaakt dat deze fout jarenlang onopgemerkt bleef en het probleem potentieel tot miljoenen gebruikers treft.
Beveiligingsrisico’s en Reactie van Meta
Het opslaan van wachtwoorden in platte tekst vormt een groot beveiligingsrisico. Hoewel er geen bewijs is dat de wachtwoorden in deze periode zijn misbruikt, wijst dit incident op ernstige beveiligingsfouten bij Meta. In een reactie aan Reuters benadrukt Meta dat er geen aanwijzingen zijn dat de wachtwoorden ooit daadwerkelijk zijn misbruikt door medewerkers of derden.
Conclusie
De boete van 91 miljoen euro benadrukt het belang van het naleven van de AVG-richtlijnen, vooral als het gaat om de bescherming van gevoelige persoonsgegevens zoals wachtwoorden. Het incident bij Meta illustreert hoe een gebrek aan goede beveiligingsmaatregelen tot hoge sancties kan leiden. Hoewel er geen bewijs is van misbruik van de wachtwoorden, is de verplichting voor bedrijven om data adequaat te beschermen en tijdig te melden van groot belang.
De Stichting Internet Domeinregistratie Nederland (SIDN) heeft op maandagochtend 9 september per ongeluk de gegevens van particuliere domeinnaamhouders inzichtelijk gemaakt via de Whois-zoekmachine op sidn.nl. De fout ontstond tijdens onderhoudswerkzaamheden en leidde ertoe dat namen, adressen, e-mailadressen en telefoonnummers van domeinnaamhouders en hun contactpersonen tijdelijk zichtbaar waren. Inmiddels zijn de gegevens niet langer toegankelijk en is de fout hersteld.
Wat is er gebeurd?
SIDN meldt dat de fout ontstond tijdens onderhoud aan de website. Hierbij zijn webservers vervangen, waarbij een foutieve nieuwe verbinding werd gelegd. De nieuwe servers kregen daardoor onbedoeld toegang tot meer gegevens dan toegestaan, waardoor in de Whois meer registratiegegevens van betrokken domeinnaamhouders zichtbaar werden dan normaal.
“Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar,” aldus SIDN.
Normaal gesproken zijn de gegevens van particuliere domeinnaamhouders alleen zichtbaar voor de beherende registrar en SIDN zelf. De gegevens van zakelijke domeinnaamhouders zijn openbaar, maar die van particuliere domeinhouders mogen dat niet zijn.
Gevolgen van het datalek
De fout leidde ertoe dat bij het opzoeken van een domeinnaam via de Whois-functie op sidn.nl de persoonsgegevens van domeinnaamhouders zichtbaar waren. Deze gegevens omvatten onder andere:
- Naam
- Adresgegevens
- E-mailadres
- Telefoonnummer
Dit betrof zowel de houder van de domeinnaam als de administratieve en technische contactpersonen. Overige informatiesystemen, zoals Whois/IS via command line en RDAP, functioneerden zoals gebruikelijk en hadden geen last van deze fout.
Zorgvuldige Stappen en Melding Autoriteit Persoonsgegevens
SIDN heeft snel actie ondernomen om het datalek te verhelpen. Het incident is gemeld bij de Autoriteit Persoonsgegevens, en SIDN onderzoekt de exacte impact om passende maatregelen te treffen en toekomstige fouten te voorkomen.
“Om dit incident correct af te handelen en te melden bij de Autoriteit Persoonsgegevens doorlopen we zorgvuldig alle stappen. We zijn bezig met een onderzoek naar de exacte impact en treffen maatregelen om dit in de toekomst te voorkomen.” — SIDN
Op 11 september heeft SIDN alle contactpersonen van de 1.918 betrokken domeinnamen in kaart gebracht. Deze personen zijn per e-mail op de hoogte gesteld van het datalek en geïnformeerd over de stappen die zijn ondernomen om de fout te herstellen.
Hulp en Vragen
SIDN heeft aangegeven beschikbaar te zijn voor verdere vragen van betrokkenen. Zij kunnen op werkdagen contact opnemen met SIDN via telefoon (+31 (26) 352 55 55) of e-mail (support@sidn.nl).
Conclusie
Het datalek bij SIDN toont aan hoe onderhoudswerkzaamheden aan digitale infrastructuur per ongeluk kunnen leiden tot onvoorziene fouten en de openbaarmaking van gevoelige gegevens. Hoewel de gegevens slechts tijdelijk zichtbaar waren, is het incident aanleiding voor een grondig onderzoek en een oproep tot verdere beveiligingsmaatregelen om de privacy van domeinnaamhouders te waarborgen.
De hackersgroep ShinyHunters beweert de persoonlijke gegevens van maar liefst 560 miljoen klanten van Ticketmaster te hebben gestolen. De groep eist een aanzienlijk losgeldbedrag om te voorkomen dat de gegevens openbaar worden gemaakt. Ticketmaster heeft zelf de diefstal nog niet bevestigd, en er is nog veel onduidelijk over de omvang en authenticiteit van het incident.
De Claims van ShinyHunters
ShinyHunters, een bekende hackersgroep, heeft op het dark web aangekondigd dat ze de gegevens van Ticketmaster-klanten in handen hebben. Ze bieden de dataset aan voor een eenmalige verkoop van 500.000 dollar (ongeveer 463.000 euro), zo meldt The Guardian. Volgens de claims bevat de gestolen dataset persoonlijke informatie zoals:
- Namen
- Adressen
- E-mailadressen
- Telefoonnummers
- De laatste vier cijfers van creditcards
- Verloopdatums van creditcards
ShinyHunters heeft eerder soortgelijke aanvallen uitgevoerd, waaronder een datalek van 73 miljoen huidige en voormalige klanten van AT&T.
“De groep claimt dat de dataset namen, adressen, e-mailadressen, telefoonnummers, en de laatste vier nummers en de verloopdatum van creditcards bevat,” — The Guardian
Bevestiging en Onderzoek
Hoewel de claims van ShinyHunters veel aandacht krijgen, is de authenticiteit van hun beweringen nog niet bevestigd. Ticketmaster heeft nog geen officiële verklaring afgelegd en reageert niet op vragen van de media. Bovendien is de gestolen data nog niet ergens gedeeld, wat verificatie van de claims lastig maakt. Het is dan ook nog onbekend uit welke landen de mogelijke slachtoffers afkomstig zijn.
De Australische overheid, waar Ticketmaster een grote klantenbasis heeft, heeft aangegeven op de hoogte te zijn van een mogelijk incident en voert momenteel een onderzoek uit. Ook de Amerikaanse FBI biedt haar hulp aan bij het onderzoek naar de datadiefstal.
Hackeractiviteiten en BreachForums
De claims van ShinyHunters zijn gepost op het forum BreachForums. Volgens Brett Callow, een analist bij cybersecuritybedrijf Emsisoft, probeert de hackersgroep hiermee mogelijk aandacht te krijgen en het forum nieuw leven in te blazen. BreachForums werd eerder deze maand echter in beslag genomen door de FBI en internationale handhavingsinstanties.
De Impact voor Ticketmaster-klanten
Hoewel de gestolen gegevens nog niet openbaar zijn gemaakt, kunnen dergelijke data-aanvallen ernstige gevolgen hebben voor de betrokken klanten. Persoonlijke gegevens zoals namen, adressen, e-mailadressen en creditcardinformatie kunnen worden misbruikt voor identiteitsdiefstal, fraude en andere criminele activiteiten.
Conclusie
Het vermeende datalek van Ticketmaster-klanten onderstreept de aanhoudende dreiging van cyberaanvallen op grote bedrijven en de gevoelige gegevens van hun klanten. Hoewel de claims van ShinyHunters nog niet zijn bevestigd, en de gestolen data vooralsnog niet is vrijgegeven, is het belangrijk dat zowel Ticketmaster als autoriteiten de situatie nauwlettend blijven volgen. Het incident benadrukt de noodzaak van strenge beveiligingsmaatregelen en snelle reactie op mogelijke datalekken.
Cyberaanval treft Nederlandse keten Ranzijn Dierenarts
De Nederlandse keten Ranzijn Dierenarts heeft recentelijk een datalek gemeld nadat het slachtoffer werd van een cyberaanval. Hierbij zijn zowel persoonsgegevens als gegevens van huisdieren buitgemaakt. De getroffen klanten zijn op de hoogte gebracht via een e-mail, die ook door Tweakers is ingezien.
Details van het Datalek
Informatie uit de E-mail
Meerdere gebruikers van Tweakers meldden dat zij een e-mail hebben ontvangen van Ranzijn Dierenarts. In deze e-mail werden details verstrekt over het datalek. Volgens de e-mail is het bedrijf doelwit geworden van een cyberaanval door een ‘criminele groep’. Deze groep wist toegang te verkrijgen tot een intern systeem, waarbij namen, adresgegevens, e-mailadressen, correspondentie en informatie over huisdieren konden worden buitgemaakt.
Wat is er niet gelekt?
Het bedrijf benadrukt dat er geen betaalgegevens of andere financiële informatie is gelekt. Dit is een belangrijke geruststelling voor klanten die bang waren voor mogelijke financiële schade.
Melding en Maatregelen
Ranzijn Dierenarts heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Bovendien hebben ze externe experts ingeschakeld om de situatie te onderzoeken en verdere schade te beperken.
Over Ranzijn tuin & dier
Ranzijn tuin & dier is een keten van tuinwinkels en dierenspeciaalzaken. In veel van deze winkels is ook een dierenartspraktijk, trimsalon en hondenwasstraat aanwezig. Voor zover bekend, zijn alleen de klanten van de dierenartspraktijk getroffen door dit datalek.
Wat Betekent Dit Voor Klanten?
Mogelijke Gevolgen
Klanten moeten zich bewust zijn van mogelijke phishing-aanvallen en andere vormen van fraude, aangezien hun persoonlijke gegevens nu mogelijk in verkeerde handen zijn gevallen. Het is raadzaam om alert te zijn op verdachte e-mails en berichten.
Bescherming en Advies
Ranzijn Dierenarts heeft in hun e-mail aangegeven dat klanten stappen kunnen ondernemen om hun gegevens te beschermen. Dit omvat het wijzigen van wachtwoorden en het monitoren van hun accounts op ongebruikelijke activiteiten.
Conclusie
Het datalek bij Ranzijn Dierenarts toont aan hoe belangrijk het is voor bedrijven om sterke beveiligingsmaatregelen te hebben. Klanten moeten waakzaam blijven en passende maatregelen nemen om hun persoonlijke gegevens te beschermen. Ranzijn Dierenarts werkt samen met experts om de schade te beperken en herhaling te voorkomen.
Op Gegevenslek.nl onderzochten we de diepgaande Naz.API lijst, een significant voorbeeld van credential stuffing. Terwijl de wereld van digitale beveiliging wordt overspoeld met lijsten van inloggegevens, staat de Naz.API lijst op zichzelf door zijn omvang en impact.
De Aanleiding
Een toonaangevend technologiebedrijf ontdekte de lijst na een bug bounty melding. Ondanks dat het bericht al enkele maanden oud was, was de inhoud ervan zorgwekkend genoeg om direct actie te ondernemen.
Wat er is gevonden: 70 miljoen E-mailaddressen
- 319 Bestanden: De totale grootte bedroeg maar liefst 104GB.
- 70.840.771 Unieke E-mailadressen: Een enorme hoeveelheid getroffen gebruikers.
- Impact op HIBP-abonnees: 427.308 individuen die geregistreerd staan, waren getroffen.
- Nieuwe Ontdekkingen: 65,03% van de adressen was al bekend, wat betekent dat een derde van de lijst uit nieuwe data bestond.
De Bron van de Data
De gegevens waren afkomstig uit ‘stealer logs’, verzameld door malware van gecompromitteerde machines. Deze logs waren afkomstig van de nu opgeheven website illicit.services, die zoekresultaten aanbood voor andermans gegevens op een nooit eerder geziene manier.
De Echtheid van de Data
Om de legitimiteit van de verzamelde gegevens te bevestigen, namen we verschillende stappen:
- Validatie: Er zijn verschillende technieken gebruikt om te verifiëren of de accounts daadwerkelijk bestonden.
- Feedback van Abonnees: Door direct contact op te nemen met getroffen HIBP-abonnees konden we de nauwkeurigheid van de gegevens bevestigen.
- Persoonlijke Bevinding: Zelfs mijn eigen gegevens waren aanwezig in de dataset, wat de impact van de lijst verder benadrukte.
Conclusie
De Naz.API-gegevens benadrukken het aanhoudende probleem van wachtwoordhergebruik en de noodzaak van sterke beveiligingsmaatregelen. Het volgen van best practices zoals het gebruik van een wachtwoordmanager en het inschakelen van tweefactorauthenticatie kan deze risico’s aanzienlijk verminderen. Als je in deze data voorkomt en nog geen gebruik maakt van deze maatregelen, laat dit dan een dringende oproep tot actie zijn.
Bron: https://www.troyhunt.com/inside-the-massive-naz-api-credential-stuffing-list/