Een snelle greep uit de data- en beveiligingslekken, hacks en andere cyberincidenten die in de loop van april 2023 bekend geraakten of waarover meer nieuws verscheen.
Maar eerst dit …
“Hoe minder gegevens organisaties van u hebben, hoe minder risico u loopt.”
De Nederlandse Autoriteit Persoonsgegevens (AP) ontving in 2022 exact 21.151 meldingen van een datalek. Voor de afgelopen 5 jaar (vanaf het in voege treden van de GDPR) gaat het om meer dan 114.000 meldingen. Dat blijkt uit de recent gepubliceerde datalekrapportage 2022 (pdf). De AP geeft daarbij als boodschap mee dat je er mag vanuit gaan dat je persoonlijke gegevens al eens gelekt zijn of dat dit nog gaat gebeuren. Je kan daarom best maatregelen nemen om schade te voorkomen of te verkleinen. Maak voor elk account gebruik van een uniek wachtwoord en gebruik de KopieID-app waarmee je gegevens die organisaties niet nodig hebben, kan doorstrepen. Blijf ook baas over je eigen gegevens door een bedrijf geen gegevens te bezorgen die het helemaal niet nodig heeft om een dienst te verlenen. Maak tot slot gebruik van je privacyrechten door bedrijven en organisaties te vragen om bepaalde gegevens te verwijderen.
België
Door een lek op RaidForums, een marktplatform waar hackers gestolen data uitwisselen, zijn de bedrijfswachtwoorden van meer dan 500.000 Belgen openbaar gemaakt. Op de lijst staan de mail adressen en wachtwoorden van medewerkers van verschillende bekende bedrijven en instellingen waaronder de UGent, KU Leuven en de VRT. De kans is groot dat de gegevens uit een oude, collectieve hack van een populaire website komen. Mogelijk gaat het om een site zoals Dropbox waar medewerkers vaak met hun bedrijfsaccount inloggen. RaiderForums werd immers vorig jaar al offline gehaald.
Buitenland
De criminelen achter de Clop-ransomware hebben op hun eigen website de gegevens van duizenden gasten van Landal Greenparks gepubliceerd. Het gaat onder andere om namen, adresgegevens, geboortedata, e-mailadressen en reserveringsinformatie van voornamelijk Belgische, Duitse en Nederlandse klanten. Begin juni had het vakantiepark twaalfduizend gasten gewaarschuwd voor een mogelijk datalek nadat criminelen toegang wisten te krijgen tot het MOVEit Transfer-systeem dat wordt gebruikt voor het uitwisselen van bestanden.
De aanvallen zijn het werk van de Clop-ransomwaregroep. Inmiddels zouden meer dan honderdvijftig organisaties slachtoffer van de Clop-ransomwaregroep zijn geworden en gegevens van 16,3 miljoen personen zijn gestolen, aldus beveiligingsonderzoeker Brett Callow.
Bij een ransomware-aanval op de Universiteit van Manchester is ook een dataset met de informatie van 1,1 miljoen patiënten van tweehonderd ziekenhuizen buitgemaakt. Het zou gaan om informatie van traumapatiënten en mensen behandeld na terreuraanvallen, data die door de universiteit voor onderzoeksdoeleinden werden verzameld. De universiteit werd eerder deze maand het slachtoffer van een “cyberincident” waarbij 250 gigabyte aan data zijn buitgemaakt, waaronder gegevens van studenten en afgestuurde studenten.
Bij een malware-aanval op Pepsi Bottling Ventures eind vorig jaar zijn de persoonsgegevens van 28.000 medewerkers gestolen. Het gaat om naam, adresgegevens, e-mailadres, rekeninggegevens (waaronder een beperkt aantal wachtwoorden, pincodes of andere toegangsgegevens), identificatienummers zoals die van rijbewijs en identiteitskaart, social-securitynummers, paspoortinformatie, digitale handtekening en informatie die betrekking heeft op het dienstverband, zoals beperkte medische geschiedenis en gezondheidsclaims.
Spywareleverancier LetMeSpy heeft de gegevens van klanten en slachtoffers gelekt. Aanvallers zouden toegang hebben gekregen tot de gespreksgeschiedenis, de inhoud van onderschepte berichten, de locatiegegevens en ip-adressen van slachtoffers en de betaalgegevens, gebruikers-ID’s en wachtwoordhashes van klanten. LetMeSpy kan de inhoud van sms-berichten onderscheppen en verzamelt de gespreksgeschiedenis van slachtoffers. Gebruikers weten zo met wie het slachtoffer op welke datum heeft gebeld. De spyware zou op zo’n tienduizend telefoons zijn geïnstalleerd.
Tal van tankstations van Petro-Canada kunnen als gevolg van een cyberaanval alleen contant geld accepteren. Ook het inloggen voor klanten via de website en app is niet mogelijk.
BM2, een app voor het monitoren van autoaccu’s, verstuurde stiekem locatie-, zendmast- en wifi-gegevens naar servers in China en Hong Kong, terwijl de makers claimden dat de app geen persoonlijke data verzamelde of deelde. Daarnaast vereist de Android-app locatietoegang om de hardware te kunnen gebruiken, waardoor gebruikers eigenlijk worden gedwongen om hun locatiegegevens naar derde partijen te sturen om het product te kunnen gebruiken.
Bij een ransomware-aanval op de Amerikaanse fruitgigant Dole eerder dit jaar zijn de gegevens van 3900 medewerkers gestolen. Het gaat om naam, adres, telefoonnummer, kopie van rijbewijs, social-securitynummer, paspoortnummer, geboortedatum en andere werkgerelateerde informatie.
Een Europees ziekenhuis is besmet geraakt met malware, via een ziekenhuismedewerker die op een conferentie in Azië zijn eigen presentatie met andere bezoekers had gedeeld via een usb-stick. De computer van een van zijn collega’s op de conferentie was echter besmet, waardoor ook zijn usb-stick geïnfecteerde raakte. De ziekenhuismedewerker nam de usb-stick vervolgens mee naar het ziekenhuis, waardoor de malware zich verder kon verspreiden.
UPS Canada heeft klanten gewaarschuwd voor een datalek nadat criminelen gestolen klantgegevens voor sms-phishing gebruikten. Volgens UPS is er misbruik gemaakt van de online tool waarmee klanten informatie over hun pakketten kunnen opzoeken. Het bleek echter ook mogelijk om informatie over de bezorging van pakketten van andere personen op te vragen en zo hun telefoonnummer te achterhalen. Die informatie zou vervolgens voor “smishing-aanvallen” zijn gebruikt.
Het Amerikaanse ministerie van Volksgezondheid waarschuwt zorginstellingen, nadat een kankercentrum in de VS deze maand het slachtoffer van een ransomware-aanval werd, wat gevolgen voor de behandeling van patiënten had. De behandeling van patiënten werd ernstig beperkt, digitale diensten waren niet beschikbaar en persoonlijke gezondheidsgegevens en persoonsgegevens waren gestolen.
Gen Digital, het moederbedrijf van Norton, Avast, LifeLock, Avira, AVG, ReputationDefender en CCleaner, is getroffen door een datalek nadat criminelen achter de Clop-ransomware de gegevens van medewerkers wisten te stelen. Hiervoor werd gebruikgemaakt van een zerodaylek in MOVEit Transfer, een applicatie voor het uitwisselen van bestanden. Bij de aanval werd persoonlijke informatie van het personeel gestolen, onder andere naam, zakelijk e-mailadres, personeelsnummer en in een aantal gevallen ook adresgegevens en geboortedatum.
Criminelen hebben door middel van malware de inloggegevens van ruim 100.000 ChatGTP-accounts weten te stelen. Het gaat onder andere om inloggegevens van meer dan negenhonderd besmette Nederlandse computers. Aangezien ChatGPT de opdrachten en antwoorden van gebruikers bewaart, kan dit tot het lekken van gevoelige data leiden.
Bij een ransomware-aanval op het Australische advocatenkantoor HWL Ebsworth zijn ook gegevens van de Australische privacytoezichthouder OAIC en andere overheidsinstanties buitgemaakt. Details over het incident zijn niet door HWL Ebsworth vrijgegeven.
Een eenvoudige kwetsbaarheid in een cloudgebaseerd systeem maakte het mogelijk om toegang tot duizenden “smart” alarmsystemen te krijgen. Het gaat om het SecureConnect-systeem van leverancier Eaton. Door middel van een mobiele app is het mogelijk om met de Eaton-cloud verbonden alarmsystemen op afstand te benaderen, te beheren en in en uit te schakelen.
Het Amerikaanse dna-testbedrijf 1Health.io heeft gevoelige gegevens van klanten gelekt en stiekem het privacybeleid met terugwerkende kracht aangepast, zodat gegevens van klanten konden worden gedeeld met supermarktketens, apotheken, voedingsmiddelen- en supplementfabrikanten en andere aanbieders en retailers. Dit gebeurde zonder dat klanten die eerder data met het bedrijf hadden gedeeld, hierover werden ingelicht of hun toestemming hiervoor werd verkregen.
1Health.io, dat eerder onder de naam Vitagene opereerde, verkoopt dna-tests en gebruikt informatie die klanten verstrekken om hen rapporten over hun gezondheid, welzijn en afkomst te geven. De rapporten bevatten persoonlijke informatie over de gezondheid en genetica van klanten, zoals het risico om op basis van hun dna bepaalde ziektes te ontwikkelen. Het bedrijf claimde “rock-solid security” te bieden en stelde dat het dna-resultaten niet met de naam van de klant of andere identificerende gegevens opsloeg, dat klanten hun persoonlijke informatie op elk moment van alle servers van het bedrijf konden laten verwijderen en al het ontvangen dna-materiaal kort na het onderzoek werd vernietigd.
Amerikaanse bedrijven en organisaties die slachtoffer werden van de LockBit-ransomware betaalden volgens de FBI samen zo’n 91 miljoen dollar aan losgeld. LockBit maakte sinds 2000 zo’n 1700 slachtoffers in de Verenigde Staten.
Een kwetsbaarheid in WooCommerce Stripe Payment Gateway, een veelgebruikte betaalplug-in, maakt het mogelijk om bij meer dan honderdduizend webwinkels de bestelgegevens van klanten op te vragen, waaronder hun e-mailadres, naam en adresgegevens.
Het St. Margaret’s Health, een ziekenhuis in Spring Valley in de Amerikaanse staat Illinois, heeft onder meer door de gevolgen van een ransomware-aanval besloten om de deuren permanent te sluiten. Het ziekenhuis werd in 2021 getroffen door een ransomware-aanval, waardoor het maandenlang geen claims bij zorgverzekeraars kon indienen, wat voor een financiële neerwaartse spiraal zorgde.
De Zwitserse overheid is slachtoffer geworden van een ransomware-aanval op Xplain, leverancier van overheidssoftware. Daarbij zijn gegevens gestolen en op internet gepubliceerd. De aanval is opgeëist door de criminelen achter de Play-ransomware, die claimen negenhonderd gigabyte aan data te hebben buitgemaakt. Ook de Zwitserse spoorwegen en het kanton Aargau zijn slachtoffer van dezelfde criminelen.
Onderzoeksbureau Zacks heeft van bijna 9 miljoen klanten de gegevens gelekt. Eind vorig jaar waarschuwde Zacks al voor het lek, maar toen was nog sprake van 820.000 getroffenen. Van de klanten werden naam, adresgegevens, telefoonnummer, e-mailadres en niet gesalte SHA-256 wachtwoordhashes voor Zacks.com buitgemaakt. De aanvallers hebben ook toegang tot “versleutelde wachtwoorden” van klanten gekregen. Zacks voert analyses van aandelen en aandelenbeurzen uit voor financieel adviseurs, beleggers en andere financiële professionals.
Shell Recharge heeft via een onbeveiligde database de gegevens van elektrische rijders gelekt. De bijna één terabyte grote database bevatte namen, e-mailadressen en telefoonnummers van leaserijders die van de laadpalen van Shell Recharge gebruikmaken, alsmede de namen van wagenparkbeheerders. Het gaat onder andere om politiekorpsen. De database bevatte ook de locatie van Recharge-laadpalen, waaronder de laadpunten van woningen. Zo werden de adresgegevens gevonden van de ceo van laadpalennetwerk Greenlots, het bedrijf dat eerder door Shell werd overgenomen. De database werd gehost in de Amazon-cloud en bevatte miljoenen logs met gegevens van klanten die de laadpalen gebruiken. De database was niet met een wachtwoord beveiligd en voor iedereen via een browser toegankelijk.
British Airways, BBC, de Britse apothekersketen Boots, de Ierse luchtvaartmaatschappij Aer Lingus en de Canadese provincie Nova Scotia hebben allemaal te maken gekregen met een datalek als gevolg van de zeroday-aanval op MOVEit Transfer. Volgens beveiligingsonderzoeker Kevin Beaumont zijn meer dan honderd grote en bekende organisaties door de aanval getroffen. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De aanval is volgens Microsoft het werk van de criminelen achter de Clop-ransomware. In het geval van de BBC zouden identiteitsnummers, geboortedata, adresgegevens en verzekeringsgegevens zijn gestolen. British Airways waarschuwde personeel dat via salarisverwerker Zellis hun bankgegevens mogelijk zijn buitgemaakt.
todo vanaf 6/6