Datalek bij Albert Heijn door programmeerfout in inloggedeelte website

Albert Heijn heeft een datalek gemeld bij de Autoriteit Persoonsgegevens (AP). De supermarktketen heeft inloggegevens van ongeveer tienduizend klanten op ah.nl Per ongeluk gedeeld met enkele online service providers.

Het datalek werd veroorzaakt door een programmeerfout in het inloggedeelte van de website ah.nl. Hierdoor werden de inlognamen en het wachtwoord kort zichtbaar in de adresbalk van de webbrowser.

Albert Heijn heeft de wachtwoorden van de betrokken klanten uit voorzorg geblokkeerd.

De klanten zijn per email op de hoogte gebracht van het datalek. Ze worden verzocht het wachtwoord opnieuw in te stellen.

De partijen die de gegevens mogelijk hebben gezien werken samen met AH aan het verbeteren van de websites.

Verder heeft Albert Heijn de betrokken service providers opdracht gegeven de informatie te verwijderen.

Er is geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts.

Nederlandse Vakbond Journalisten meldt datalek. Per ongeluk adresgegevens 700 leden verstuurd

De meeste datalekken ontstaan door menselijke fouten. Dat bewijst een datalek bij de Nederlandse Vereniging van Journalisten (NVJ). Een medewerker heeft per ongeluk de namen en adressen van zevenhonderd leden verstuurd naar een persoon buiten de organisatie.

De NVJ heeft het datalek gemeld bij de Autoriteit Persoonsgegevens (AP).

De persoonlijke informatie werd op 29 oktober door een menselijke fout naar slechts één persoon verstuurd, meldt de NVJ donderdag op haar website. Alle leden zijn ook per e-mail geïnformeerd.

De ontvanger van de gegevens heeft volgens de journalistenvakbond aangegeven de informatie te hebben verwijderd. Daarmee lijken de vakbond en de aangesloten journalisten met de schrik vrij te komen. Onder de leden bevinden zich naar alle waarschijnlijkheid ook adressen van journalisten die levensgroot risico lopen als hun gegevens in verkeerde handen vallen.

Misdaadjournalist Paul Vugts van Het Parool moest al eens onderduiken. Journalisten Mick van Wely en John van den Heuvel werden bedreigd na een publicatie over motorclub No Surrender. Op het hoofd van Van den Heuvel zou zelfs een”aanzienlijk” geldbedrag zijn gezet.

Datalek bij VieCuri Medisch Centrum in Limburg veroorzaakt door verpleegkundige die patiëntenlijst verloor

Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.

Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.

Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.

Persbericht VieCuri Medisch Centrum

Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.

„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.

Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd

“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“

Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“

Slordige communicatie

Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“

Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.

Alle patiënten en ouders/verzorgers worden geinformeerd

“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“

Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar

Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.

De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.

Nieuw wachtwoord voor personeel

Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.

Britse toezichthouder ICO ontvangt recordaantal meldingen datalekken. Met name medische sector

De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.

Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.

Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.

In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).

De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.

Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.

Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.

Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.

Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.

Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.

Je kunt het ICO-jaarverslag hier downloaden.

92 miljoen stamboomonderzoekers getroffen door datalek bij MyHeritage

Stamboomonderzoek is een populaire hobby. Veel stamboomonderzoekers maken gebruik van de dienst MyHeritage. Dit bedrijf blijkt getroffen door een groot datalek.

Bij een hack zijn e-mailadressen en versleutelde wachtwoorden buitgemaakt, meldt MyHeritage op zijn blog. In totaal zijn er 92.283.889 accounts getroffen.

Bij MyHeritage kunnen gebruikers een DNA-test laten doen.

Door een DNA-proef op te sturen, kan het bedrijf een stamboom opstellen en families in kaart brengen.

 

Bij de hack gaat het om informatie van gebruikers die voor 26 oktober 2017 een account aanmaakten. Op die dag werd de hack uitgevoerd.

Een beveiligingsonderzoeker vond de data buiten de dienst op een particuliere server.

Websites 375.000 Nederlandse mkb-bedrijven kunnen eenvoudig gehackt worden

Volgens de Volkskrant lopen 375.000 mkb-bedrijven in Nederland grote risico’s met hun websites. De websites blijken ronduit slecht beveiligd en kunnen relatief eenvoudig gehackt worden.

De websites van naar schatting 375.000 bedrijven in het midden- en kleinbedrijf (mkb) zijn slecht beveiligd, waardoor kwaadwillenden relatief eenvoudig gevoelige persoonsgegevens kunnen inzien.

Het gaat om drie kwart van de websites binnen het mkb die privacygevoelige informatie verwerken, schrijft de Volkskrant vrijdag. Van de slecht beveiligde websites bestaat bij een kwart zelfs het risico dat kwaadwillenden rechtstreeks toegang kunnen krijgen tot een database met gegevens.
– via NU

Groot datalek bij 170 Duitse online apotheken ontdekt. Bijzondere persoonsgegevens miljoenen klanten waren zichtbaar

Meer dan 170 Duitse online apotheken, waaronder Apotal en Sanicare, hebben volgens de Duitse omroepen NDR en WDR sinds februari te maken gehad met een ernstig beveiligingsprobleem. Gevoelige medische gegevens van miljoenen klanten waren eenvoudig toegankelijk.

IT-expert Dominik Herrmann van de Universiteit van Bamberg spreekt van een “beginnersfout” in de programmering van de software.

Alle getroffen Duitse apotheken maken gebruik van dezelfde webwinkelsoftware van Awinta, een bedrijf dat naar eigen zeggen marktleider is voor apotheeksoftware en reclame maakt met de slogan dat vertrouwen het beste medicijn is.

Op de website van Awinta poseert een medewerker op een foto met oorkondes die werden afgegeven vanwege de goede beveiliging van de websites. “Danke für ihr Vertrauen”, staat erbij. Bedankt voor uw vertrouwen.

Journalisten van NDR en WDR onderzochten in samenwerking met de universiteit in Bamberg hoe veilig online apotheken zijn. Ze ontdekten dat persoonlijke gegevens zoals het rekeningnummer, adres of een overzicht van de bestelde medicijnen heel eenvoudig toegankelijk waren.

Bij de online apotheken die gebruik maken van de Awinta software was het mogelijk om de zogenaamde serverstatus op te roepen. Daardoor worden alle lopende processen op de site zichtbaar.

In een volgende stap zou het mogelijk zijn geweest om tijdens het surfen in de winkel over de schouder van de klant te kijken, legt Dominik Herrmann van de Universiteit van Bamberg uit in een reportage op de Duitse tv.

“Zo’n aanval is relatief eenvoudig. Elke IT-student kan een programma maken dat automatisch de informatie van klanten leest”, zegt Herrmann.

De universiteit maakte bij het onderzoek gebruik van software van de website PrivacyScore.org. Deze site is door universiteiten ontwikkeld om websites te controleren op veelvoorkomende problemen op het gebied van gegevensbescherming en beveiliging. Er wordt onder meer een pentest – penetratietest – gedaan.

In februari werd een lijst met alle internetadressen van Duitse apotheken ingevoerd op PrivacyScore.org. Uit de technische analyse bleek dat een opvallend groot aantal websites hetzelfde beveiligingsprobleem had.

Herrmann zegt in het Duitse magazine Spiegel dat het lek voor de betrokken apotheken een “ramp” is.

“Medische gegevens en gegevens over medicatiebestellingen behoren tot de meest kritische gegevens die bedrijven kunnen verwerken. Zo adverteert de Sanicare-website onder het motto “Vertrouwen is het beste medicijn”.

Voormalig toezichthouder Peter Schaar van de Duitse Autoriteit Persoonsgegevens noemt de veiligheidskloof een ernstig incident. “Dit zijn zeer gevoelige gegevens die in bijzonder goed beschermd moeten worden op grond van de privacywetgeving.”

De apotheken en de leverancier van de software hebben nog geluk dat het lek ontdekt is voordat de nieuwe Europese privacywet GDPR van kracht is geworden. De nieuwe wet voorziet in boetes tot 4 procent van de wereldwijde jaaromzet van de apotheken.

Overigens zijn de boetes die in Duitsland worden ook onder oude privacywetgeving al torenhoog.

In een interview met Tagesschau.de heeft Awinta toegegeven dat er een probleem was: de oorzaak was achterhaald en de fout was hersteld, volgens een verklaring, en er is ook sprake van een “handmatige foutconfiguratie”.

‘Hoge boete voor overtreding privacywet AVG / GDPR uitkeren aan slachtoffers’

Bedrijven die de privacywet AVG / GDPR overtreden kunnen hoge boetes van 4 procent van de wereldwijde jaaromzet of maximaal 20 miljoen Euro opgelegd krijgen. Dat is heel veel geld.

Wat moet er eigenlijk met die forse boeteopbrengsten gedaan worden?

Chipkaarten producent Gemalto stelde die vraag aan 1050 Nederlanders.

Een overgrote meerderheid van 92 procent van de ondervraagden gaf aan dat een boete die een bedrijf betaalt bij gestolen persoonsgegevens niet terecht moet komen bij de overheid, maar bij de slachtoffers.

Wanneer er gevraagd wordt naar passende straffen dan scoort schadeherstel ook het hoogst: 37 procent.

De top drie wordt aangevuld met een celstraf en een boete, respectievelijk 33 procent en 24 procent.

Veel Nederlanders vinden dat wanneer de straf uit een boete bestaat, de verantwoordelijke hackers dit bedrag moeten voldoen (67 procent).

Ongeveer twee op de tien consumenten acht het gehackte bedrijf verantwoordelijk en vindt dat zij moeten opdraaien voor de boete.

Over de hoogte van het boetebedrag heerst er niet een eenduidige mening. Twee op de vijf Nederlanders vindt een bedrag tot 10.000 euro passend, 27 procent acht een bedrag tot 100.000 euro geschikt. De rest vindt dat de boete hoger moet zijn dan 100.000 euro, waar acht procent zelfs spreekt over een bedrag van meer dan 10 miljoen euro.

Datalek wordt bij 93 procent bedrijven veroorzaakt door phishing mail

93 procent van de datalekken wordt veroorzaakt door phishing. Dat blijkt uit het Data Breach Investigations Report (DBIR) van Verizon. Voor het rapport werden 53.000 incidenten en iets meer dan 2200 “breaches” in 65 landen onderzocht. 93 procent van de onderzochte datalekken had phishing als oorzaak.

Phishing is een vorm van oplichting waarbij de slachtoffers vaak via e-mail worden misleid. In de mail staat een link die het slachtoffer naar een valse website lokt. Zo’n e-mail lijkt te komen van een betrouwbare instantie, bijvoorbeeld een creditcardmaatschappij of een bank. Het verzoek van de oplichter is meestal om ‘de inloggegevens te controleren’.

Volgens Verizon klikt gemiddeld 4 procent van de personen die doelwit zijn van een phishingaanval op de link in de phishingmail. Verder blijkt dat veel phishingmails niet door medewerkers worden gemeld.

Slechts 17 procent van de phishingcampagnes werd doorgegeven. Uit testresultaten blijkt dat de eerste click bij de meeste phishingcampagnes na 16 minuten plaatsvindt.

De meeste mensen die op een phishinglink klikken doen dit in het eerste uur nadat het bericht is verstuurd. De eerste melding van de phishingmail, afkomstig van meer technische gebruikers, komt gemiddeld na zo’n 28 minuten, terwijl de helft van de meldingen na 33 minuten is gedaan.

Verder laat het rapport zien dat de meeste “breaches” door buitenstaanders worden veroorzaakt.

Dat geldt echter niet voor de gezondheidszorg. Daar zijn “insiders” voor de meeste datalekken en incidenten verantwoordelijk. Het gaat dan bijvoorbeeld om het verlies of diefstal van laptops, opslagmedia en papieren dossiers, alsmede misbruik van bevoegdheden.

Als voorbeeld geeft Verizon het bekijken van het medische dossier van een “date” of een bekendheid die in het ziekenhuis wordt opgenomen. Iets dat onlangs ook nog in Nederland speelde toen personeel van het HagaZiekenhuis in Den Haag het medisch dossier van Barbie had bekeken.

Wat gebeurt er als u op een link in een phishing e-mail klikt?

Wanneer u gebruik maakt van zo een link, komt u terecht op een echt lijkende website. Via de website laat de oplichter u inloggen met uw inlognaam en wachtwoord of creditcardnummer. Hierdoor krijgt de oplichter uw persoonsgegevens in handen. Met alle gevolgen van dien! Het doel van de oplichter is bijvoorbeeld om met uw gegevens spullen te kopen en geld van uw rekening te halen.

Hoe herkent u een phishing e-mail?

Het is vaak moeilijk een phishing e-mail te onderscheiden van een echte betrouwbare e-mail. Toch zijn er kenmerken te noemen waaraan u een phishing e-mail kunt herkennen:

  • Gerenommeerde banken, creditcardmaatschappijen en andere legitieme bedrijven vragen u nooit per e-mail om persoonlijke gegevens zoals creditcardnummer of wachtwoorden.
  • Phishing e-mails spelen vaak in op uw angst opgelicht te worden, uw account kwijt te raken of op een andere dringende redenen om zo snel mogelijk te reageren.
  • Een phishing e-mail is meestal onpersoonlijk: de aanhef luidt bijvoorbeeld ‘Beste klant’. Maar let op: ook gepersonaliseerde e-mail kan nog steeds nep zijn!

Kijk op de website veiliginternetten.nl voor meer achtergrondinformatie over phishing en tips om uw computer te beveiligen. De waarschuwingsdienst is een dienst van de Nederlandse overheid.