PGZ Geruchten /// Datalekken december 2023

Een snelle greep uit de data- en beveiligingslekken, hacks en andere cyberincidenten die in de loop van december 2023 bekend geraakten of waarover meer nieuws verscheen.

België

We openen met geen datalek. Voorlopig? Volgens de eerste resultaten van het onderzoek naar de hacking bij afvalintercommunale Limburg.net zijn de hackers er niet in geslaagd om de klantengegevens of andere data buit te maken. Hackers waren er wel in geslaagd om binnen te dringen in het systeem van Limburg.net. Waarna Limburg.Net de noodprocedure opstartte en alle systemen offline haalde.

Pijnlijk, maar ook goed nieuws. Bij Midgård, een van ’s werelds grootste webshops voor fascistische en neonazistische spullen, werden duizenden namen, adressen en telefoonnummers ontvreemd na een actie van de zogenaamde Antifa-beweging. De volledige klantendatabank werd meteen online gepubliceerd, waaruit bleek dat ook tientallen Belgen klant zijn bij de shop voor neonazi’s.

Consumentenbond waarschuwt

Uit onderzoek van de Nederlandse Consumentenbond blijkt dat twintig van de honderd grootste webwinkels verplichten dat elke klant een account aanmaakt. Nochtans is daar geen goede reden voor, is het slecht voor de privacy en is er een groter risico  om in een datalek voor te komen. Volgens de bond is het onverstandig als mensen overal een account aanmaken. Daarnaast moeten klanten voor een account vaak ook teveel informatie invullen. Het gaat dan bijvoorbeeld om geboortedatum of geslacht, wat interessant is voor de marketingafdeling maar niets te maken heeft met het opsturen van bestelde spullen. Verder blijkt dat bij de helft van de bedrijven die een account afdwingen het lastig is om het account te verwijderen. Zo moet er worden gemaild, een formulier ingevuld of contact opgenomen met de klantenservice.

Opmerkelijk

Dit moet een van de meest opmerkelijke datalekken van dit jaar zijn. Bij de commerciële DNA-databank 23andMe werden de persoonlijke gegevens van 6,9 miljoen gebruikers gestolen. Dat is zowat de helft van alle gebruikers van het platform. De website werd al in oktober gehackt, maar het bedrijf sprak toen van ‘slechts’ 14.000 getroffen gebruikers. Het datalek blijkt nu honderden keren groter. Bij 23andMe kan je tegen betaling je DNA laten analyseren. De gestolen gegevens bevatten onder meer persoonsnamen, geboortejaar- en plaats, locatiegegevens, profielfoto’s en hoeveel DNA je deelt met anderen. De DNA-gegevens zelf zouden niet zijn gestolen. De gegevens van zeker 4 miljoen gebruikers zijn al gedeeld op het internet.

Meer buitenland

In Noord-Ierland wilden verschillende politieagenten hun naam wijzigen wegens een gevoelig datalek. Daarnaast hebben meer dan vijftig agenten zich wegens het datalek ziek gemeld en heeft één agent ontslag genomen. Het datalek ontstond begin augustus door een fout bij het verwerken van een Freedom of Information Request. Daarbij werd een spreadsheet met de initialen en achternamen van alle huidige medewerkers openbaar gemaakt, alsmede de locatie en afdeling waarvoor ze werken. Van bijna tienduizend politieagenten en -medewerkers werden zo de gegevens gelekt.

Privacytoezichthouder ICO heeft het Britse ministerie van Defensie een boete van ruim 400.000 euro opgelegd wegens een datalek dat ontstond bij het versturen van e-mail. Bij een bulkmail werden de e-mailadressen van honderden Afghanen die naar het VK wilden komen nadat de Taliban de controle over Afghanistan had gekregen, in het To-veld geplaatst. Volgens de ICO had de data, als die in handen van de Taliban was gekomen, voor levensbedreigende situaties kunnen zorgen.

In de Verenigde Staten heeft zorgverlener Lafourche Medical Group een schikking van 480.000 dollar getroffen met het Amerikaanse ministerie van Volksgezondheid na een datalek door een phishingaanval. Begin 2021 wist een aanvaller toegang te krijgen tot een e-mailaccount met de gegevens van 35.000 patiënten. Uit onderzoek bleek dat de zorgverlener geen risicoanalyse had uitgevoerd om potentiële dreigingen en kwetsbaarheden voor beschermde gezondheidsgegevens te vinden, zoals wettelijk in de VS verplicht is.

Klanten van parkeerbetaaldienst EasyPark zijn getroffen door een datalek ten gevolge van een cyberaanval. Daarbij werden onder meer namen, telefoonnummers, adressen, e-mailadressen en ‘enkele cijfers van IBAN- of creditcardnummers’ ingezien. Volgens het bedrijf is dit ‘niet gevoelige data’ en is het met de uitgelekte informatie niet mogelijk om frauduleuze betalingen te doen. Het waarschuwt wel voor eventuele phishingpogingen op basis van de informatie. Het is niet duidelijk hoeveel gebruikers getroffen zijn, noch of het incident in België of Nederland plaatsvond.

VF Corporation, het moederbedrijf achter kleding- en schoenenmerken zoals Vans, The North Face, Eastpack, Kipling en Timberland, kreeg af te rekenen met een cyberaanval. Hackers zouden IT-systemen versleuteld hebben, maar ook bedrijfsgegevens en persoonlijke gegevens gestolen hebben. Het is niet duidelijk om hoeveel en welke data het precies gaat.

De Amerikaanse internetprovider Xfinity heeft door een kwetsbaarheid in NetScaler de gegevens van 36 miljoen klanten gelekt. De gestolen gegevens bestaan uit gebruikersnaam en gehashte wachtwoorden. Voor een onbekend aantal klanten gaat het ook om namen, contactgegevens, de laatste vier cijfers van social-securitynummers, geboortedatum en antwoorden op geheime vragen.