PGZ Geruchten /// Datalekken april 2023

Een snelle greep uit de datalekken, hacks en andere cyberincidenten die in de loop van april 2023 bekend geraakten of waarover meer nieuws verscheen.

Eén op drie bedrijven kreeg in 2022 te maken met cybersecurity-incident

België

De gemeente Herselt is slachtoffer geworden van een cyberaanval. De impact voor gevoelige gegevens lijkt beperkt, maar in samenspraak met de leverancier van de firewall die de gemeentelijke server moet beschermen, werd de verbinding met internet  doorgeknipt. Een aantal gemeentelijke diensten moesten de deuren sluiten. De burgemeester weet nog niet in welke mate er iets is gelekt of waarnaartoe. Wie er achter de feiten zit, is dus ook nog niet duidelijk. Wel duidelijk is dat de aanval op de gemeentelijke server gebeurde via een externe softwareleverancier waar mogelijk een veiligheidsprobleem zat.

Buitenland

Capita, één van de grootste dienstverleners van de Britse overheid die onder andere diensten levert voor de gezondheidszorg en de krijgsmacht, heeft gewaarschuwd voor een datalek nadat het eind maart slachtoffer van een ransomware-aanval werd. Daardoor kon het personeel niet meer op systemen inloggen. Bij de aanval zouden ook gegevens van klanten, leveranciers en personeel gestolen zijn. De aanval werd opgeëist door de criminelen achter de Black Basta-ransomware, die eind vorig jaar ook het moederbedrijf van Makro viseerden.

Zo’n 7000 gebruikers van cryptowallet MetaMask zijn het slachtoffer van een datalek geworden, nadat een aanvaller toegang tot de helpdesk kreeg. Het kan per gebruiker verschillen wat voor soort informatie er is gelekt. Het gaat in ieder geval om e-mailadressen, aangevuld met gegevens die gebruikers zelf via een tekstveld deelden.

De Kodi Foundation, ontwikkelaar van de gelijknamige mediaspeler, heeft na een datalek waarbij de gegevens van 400.000 forumgebruikers werden gestolen, de e-mailadressen van slachtoffers met Have I Been Pwned gedeeld. Het komt zelden voor dat een website na een datalek e-mailadressen van slachtoffers met de zoekmachine deelt. Bij het datalek werden de gegevens van de forumgebruikers op internet te koop aangeboden. Het gaat om browser user-agent, geboortedatum, e-mailadres, ip-adres, wachtwoordhashes (MyBB salted hashes), privéberichten en gebruikersnamen. Het datalek vond plaats via het account van een inactieve forumbeheerder.

Yum! Brands, het bedrijf achter KFC, Pizza Hut en Taco Bell, heeft een onbekend aantal mensen gewaarschuwd voor een datalek nadat het bedrijf slachtoffer van een ransomware-aanval werd. Halverwege januari moest Yum! bijna 300 Britse restaurants van KFC en Pizza Hut een dag sluiten wegens de ransomware-aanval. Volgens de verklaring had de aanval gevolgen voor “bepaalde” systemen. Op 9 maart ontdekte Yum! dat er ook persoonsgegevens waren gestolen. Het gaat onder andere om namen en nummer van rijbewijs of ander identiteitsdocument van Amerikaanse medewerkers of klanten.

Ondertussen hebben 139 organisaties bij de Autoriteit Persoonsgegevens melding gedaan vanwege het datalek bij softwareleverancier Nebu. Het gaat hierbij om voorlopige meldingen, omdat nog altijd niet duidelijk is of er gegevens van deze organisaties bij Nebu zijn gestolen. Ook is nog altijd onduidelijk hoe de aanvallers toegang tot de systemen van Nebu konden krijgen.

De Nederlandse gemeente Woerden heeft ook ruim 5000 inwoners die meededen aan een onderzoek van marktonderzoeksbureau Dimensus gewaarschuwd voor het datalek bij Nebu, waarbij mogelijk ook hun adresgegevens, geslacht, naam en telefoonnummer zijn gelekt.
Idem voor de Hogeschool van Amsterdam (HvA) die studenten en personeel die aan een online onderzoek deelnamen heeft gewaarschuwd. Voor het onderzoek maakte de HvA gebruik van marktonderzoeksbureau Etil die op haar beurt gebruik maakte van de software van Nebu. Het gaat om naam, e-mailadres, het wachtwoord van de online tool en antwoorden op de vragenlijsten (nationaliteit, nationaliteit van ouders en internationale en interculturele competenties) van 167 personen.

Milieuactiegroep Mobilisation for the Environment (MOB), die meerdere stikstofzaken tegen de Nederlandse overheid voerde, heeft een datalek gemeld nadat een lijst met de gegevens van bijna 2400 donateurs op internet verscheen. Het gaat om namen, bedragen en rekeningnummers van mensen die tussen april 2020 en december 2022 een donatie deden.

TikTok krijgt een boete van 12,7 miljoen pond (zo’n 14,5 miljoen euro of ongeveer de helft van de oorspronkelijke vraag) van de Britse privacywaakhond ICO omdat het de persoonsgegevens van kinderen onvoldoende heeft beschermd. Naar schatting van het ICO hebben zo’n 1,4 miljoen Britse kinderen onder de dertien een TikTok-profiel, hoewel de minimumleeftijd hen dat in principe verbiedt. Door enkele datalekken tussen mei 2018 en juli 2020 zouden hun gegevens publiek zijn geworden, zonder ouderlijke toestemming. Het ICO oordeelde dat de beheerders van de video-app zich onvoldoende hadden ingezet om de leeftijd van de gebruikers na te gaan en de profielen van minderjarigen te verwijderen.

De Nederlandse internetprovider SKP zegt geen aanwijzingen te hebben dat er bij een ransomware-aanval klantgegevens zijn gestolen, maar kan dit ook niet uitsluiten. De aanval op SKP veroorzaakte storingen bij onder andere de glasvezel-, coax- en telefonie- en e-maildiensten.

Terravision, een bedrijf dat busvervoer van en naar Europese luchthavens regelt, heeft de gegevens van meer dan twee miljoen klanten gelekt. Het gaat om namen, telefoonnummers, e-mailadressen, gesalte wachtwoordhashes en in sommige gevallen geboortedata en land van herkomst. Volgens beveiligingsonderzoeker Troy Hunt van Have I Been Pwned is Terravision door meerdere personen over een periode van meerdere maanden over het datalek benaderd, maar heeft het geen reactie gegeven.

Een medewerker van de Amerikaanse toezichthouder CFPB heeft privégegevens (oa namen en rekeningnummers) van 256.000 mensen en vertrouwelijke informatie over het toezicht op zo’n vijftig banken naar zijn privémail gemaild. Het datalek heeft voor grote ophef onder financiële dienstverleners en politici gezorgd. De medewerker in kwestie is na ontdekking van het datalek ontslagen. Er zouden geen aanwijzingen zijn dat de gegevens buiten de privémail zijn gedeeld. De toezichthouder heeft de voormalige medewerker gevraagd om de gegevens te verwijderen en hier bewijs van te geven, maar daar is geen reactie op gekomen, aldus The Wall Street Journal.

Volgens energieleverancier Vattenfall heeft een inhuurkracht toegang tot de persoonlijke gegevens van dertigduizend klanten gekregen en deze mogelijk aan fraudeurs doorgespeeld. Het gaat om naam, geboortedatum, e-mailadres, adresgegevens, telefoonnummer en in verschillende gevallen deels afgeschermde bankrekeningnummers. Eind 2022 waarschuwde Vattenfall klanten al voor een datalek nadat een medewerker hun gegevens fotografeerde en deelde met oplichters.

De Australische kredietverstrekker Latitude werd afgeperst met gestolen data van 14 miljoen klanten. Het gaat om één van de grootste datalekken in de geschiedenis van Australië en Nieuw-Zeeland. Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de “records” gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Vervolgens liet Latitude weten dat de aanvallers losgeld eisten.

Volgens de Nieuw-Zeelandse privacytoezichthouder laat ook dit incident, net als verschillende andere datalekken, het probleem van dataretentie zien, waarbij bedrijven gegevens langer dan noodzakelijk bewaren. “Sommige van de veertien miljoen gestolen Nieuw-Zeelandse en Australische records zijn achttien jaar oud, wat niet oké is.”
Daarbij ziet de toezichthouder ook een rol voor individuen weggelegd. Die zouden, wanneer hun id als verificatie wordt gebruikt, ook moeten vragen hoelang het wordt opgeslagen en waarom. “Hoe meer mensen vragen stellen des te groter is de kans dat organisaties hun gedrag veranderen. Privacy moet een primair bedrijfsvraagstuk worden, dat net zo belangrijk als gezondheid en veiligheid is.”

De Omgevingsdienst Noordzeekanaalgebied, een meldpunt waar mensen overlast van stank, stof of geluid door Tata Steel kunnen melden, heeft de gegevens van klagers gelekt. Het gaat om voor- en achternaam, woonadres, telefoonnummer, e-mailadres en de coördinaten van de melding van gebruikers. Een beveiligingsonderzoeker had ontdekt dat hij de gegevens kon inzien van personen die een overlastmelding hebben gedaan via de meldingentool en het Meldpunt overlast Tata Steel van de omgevingsdienst.

Bronnen: security.nl, tweakers.net, nieuwsblad.be, hln.be, belga, …

‘;–have i been pwned?