PGZ Geruchten /// Datalekken mei 2023

Een snelle greep uit de datalekken, hacks en andere cyberincidenten die in de loop van april 2023 bekend geraakten of waarover meer nieuws verscheen.

België

Honderdduizend Belgen hebben door ‘een technische fout’ bij de drukker het voorstel voor vereenvoudigde belastingaangifte van een ander persoon gekregen. In de brief staat onder meer het inkomen, de naam en het rijksregisternummer van iemand. Details over de fout worden verder niet gegeven. De FOD heeft het incident aangegeven bij de Gegevensbeschermingsautoriteit en zegt getroffenen een brief met verontschuldigingen en de juiste VVA te sturen.

Buitenland

De Duitse autoriteiten voeren een onderzoek naar de Amerikaanse fabrikant van elektrische wagens Tesla, na een mogelijk omvangrijk lek van persoonlijke gegevens van medewerkers. De mogelijkheid bestaat dat de data breed toegankelijk waren binnen het Amerikaanse bedrijf, aldus een woordvoerder voor de databeschermingsautoriteit in de Duitse deelstaat Brandenburg, waar Tesla een grote fabriek heeft. De Duitse zakenkrant Handelsblatt berichtte dat ze naar schatting 100 gigabyte aan data van Tesla doorgespeeld kreeg via informanten. Die gegevens zouden betrekking hebben op klanten, medewerkers en projecten van het bedrijf.

In Nederland zijn 16 rijksoverheidsorganisaties getroffen door een datalek bij softwarebedrijf Nebu. Nebu levert software waar bedrijven voor het uitvoeren van marktonderzoek gebruik van maken. Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij ook gegevens van klanten van marktonderzoekers zijn buitgemaakt.

Autofabrikant Toyota heeft door een verkeerd geconfigureerde cloudomgeving de gegevens van klanten gelekt. Het gaat om informatie over het navigatiesysteem van zo’n 260.000 Japanse klanten. Daarnaast zijn ook gegevens van klanten in verschillende landen in Azië en Oceanië gelekt, waaronder naam, adresgegevens, telefoonnummer, e-mailadres, klant-id, voertuigregistratienummer en voertuigidentificatienummer. Deze data was vanaf oktober 2016 publiek toegankelijk.

In Nederland heeft VodafoneZiggo tientallen klanten gewaarschuwd voor een datalek nadat een oud-medewerker van een callcenter hun gegevens in een Telegram-groep deelde.

Een datalek bij de Amerikaanse saas-aanbieder Brightly Software raakt drie miljoen gebruikers. Brightly Software biedt onder meer een online cloudplatform voor onderwijsinstellingen, genaamd SchoolDude. Een aanvaller wist toegang tot de gegevens van in totaal drie miljoen SchoolDude-gebruikers te krijgen. Het gaat om naam, e-mailadres, accountwachtwoord, telefoonnummer en naam van schooldistrict.

Chatplatform Discord heeft een onbekend aantal gebruikers gewaarschuwd voor een datalek nadat een aanvaller toegang kreeg tot de supporttickets van een helpdeskmedewerker van een extern bedrijf. Daarbij kunnen e-mailadres, inhoud van het supportticket en eventueel uitgewisselde bijlagen zijn gelekt.

De persoonlijke gegevens van 273.000 huidige en voormalige werknemers van de Amerikaanse overheid zijn blootgesteld aan een datalek bij overheidsinstelling US Transportation Department (USDOT). Er werd ingebroken in systemen voor het verwerken van vergoedingen die overheidsmedewerkers krijgen voor bepaalde woon-werkverkeerskosten.

Twee beveiligingsincidenten bij de grote Britse dienstverlener Capita hebben in het Verenigd Koninkrijk tot een groot aantal datalekken geleid. Capita is één van de grootste outsourcers en dienstverleners van de Britse overheid en levert onder andere diensten aan de gezondheidszorg en de krijgsmacht. Eind maart werd het bedrijf slachtoffer van een ransomware-aanval, waarbij ook gegevens van klanten werden gestolen. Capita verwacht dat de aanval een kostenplaatje tot 23 miljoen euro met zich meebrengt.

Daarnaast werd begin mei bekend dat Capita een S3-bucket van Amazons cloudopslagdienst, met drieduizend bestanden, sinds 2016 niet had beveiligd. Daardoor kon iedereen toegang tot de 655 gigabyte aan opgeslagen data krijgen. Naar aanleiding van de twee incidenten heeft de Britse privacytoezichthouder ICO een groot aantal meldingen van datalekken ontvangen en heeft het een onderzoek ingesteld.

De Amerikaanse satelliet-tv-aanbieder Dish Network heeft driehonderdduizend huidige en voormalige medewerkers gewaarschuwd dat hun gegevens bij een ransomware-aanval zijn gestolen. Het gaat onder andere om naam en “personal identifier”, zoals identiteits- of rijbewijsnummer.

Luxottica, de grootste brillenfabrikant ter wereld, heeft de privégegevens van meer dan 77 miljoen klanten gelekt. Het gaat om geboortedata, e-mailadres, geslacht, naam, telefoonnummers en adresgegevens die begin 2021 via een partner in handen van aanvallers kwamen en vervolgens op internet te koop werden aangeboden.

Bij een ransomware-aanval op het Amerikaanse apotheekbedrijf PharMerica zijn de gegevens van 5,8 miljoen patiënten gestolen. Het gaat om naam, adresgegevens, geboortedatum, social-securitynummer, medicatie en zorgverzekeringsgegevens.

NextGen Healthcare, een Amerikaanse leverancier van elektronische patiëntendossiers en software voor huisartspraktijken, heeft de gegevens van meer dan een miljoen patiënten gelekt. Het gaat om naam, geboortedatum, adresgegevens en social-securitynummers van 1.049.375 personen die via gestolen inloggegevens konden worden buitgemaakt.

De Nederlandse woningcorporatie Woonkracht10 waarschuwde huurders, medewerkers en andere betrokkenen voor een datalek nadat criminelen toegang tot het “computersysteem” van de organisatie wisten te krijgen en dreigden de buitgemaakte data te zullen publiceren. De criminelen achter de Play-ransomware laten op hun eigen website weten dat zij voor de aanval verantwoordelijk zijn. Eerder claimde de Play-groep ook een aanval op maritiem dienstverlener Royal Dirkzwager, gemeente Antwerpen en hotelketen H-Hotels.

Harde schijffabrikant Western Digital heeft klanten via e-mail gewaarschuwd dat hun persoonlijke gegevens zijn gestolen nadat aanvallers toegang wisten te krijgen tot systemen van het bedrijf. Het gaat om gegevens van klanten van de webshop van Western Digital. De gestolen informatie bestaat uit namen, factuur- en leveradresgegevens, e-mailadres, telefoonnummer, gehashte wachtwoorden en gedeeltelijke creditcardnummers.

Het Canadese Queensway Carleton ziekenhuis heeft patiënten gewaarschuwd voor een datalek nadat er ongeautoriseerde toegang had plaatsgevonden tot een testomgeving waar persoonlijke gezondheidsgegevens waren opgeslagen. De gelekte gegevens bestaan onder andere uit naam, geslacht, geboortedatum, medisch verleden, informatie over behandelingen, adresgegevens, telefoonnummer, e-mailadres, verzekeringsgegevens.

Bronnen: security.nl, tweakers.net, nieuwsblad.be, hln.be, …

‘;–have i been pwned?