Datalek bij Quora. Gegevens van 100 miljoen gebruikers liggen op straat

Quora, een populaire site waar gebruikers vragen kunnen stellen en antwoorden kunnen geven, heeft een groot datalek gemeld. Cybercriminelen hebben gegevens van 100 miljoen Quora gebruikers buitgemaakt.

Quora meldt dat het datalek op 30 november 2018 is ontdekt. Quora heeft alle gebruikers uitgelogd en dwingt alle accounts om het wachtwoord te resetten.

Welke gegevens zijn er gelekt bij Quora?

  • Accountinformatie, zoals naam, e-mailadres, versleuteld (hashed) wachtwoord, gegevens geïmporteerd uit gekoppelde netwerken wanneer de gebruikers daarvoor toestemming hebben gegeven.
  • Publieke inhoud en acties, zoals vragen, antwoorden, commentaar, opmerkingen, upvotes
  • Niet-openbare inhoud en acties, zoals antwoordverzoeken, downvotes, directe berichten.
  • Vragen en antwoorden die anoniem zijn geschreven worden niet beïnvloed door deze schending, omdat Quora de identiteit van mensen die anonieme inhoud plaatsen niet opslaat.

De overgrote meerderheid van de geraadpleegde inhoud was al openbaar op Quora, maar het lekken van account- en andere privacygevoelige informatie is ernstig.

Datalek bij RTL. 32.000 accounts gehackt

De commerciele omroep RTL heeft bij de Autoriteit Persoonsgegevens (AP) melding gedaan van een omvangrijk datalek. Hackers hebben ingebroken bij 32.000 accounts van RTL-diensten als Videoland, Buienradar en RTL Nieuws.

De mailadressen en wachtwoorden die de cybercriminelen gebruikten zijn buitgemaakt bij hacks in het verleden, onder andere bij LinkedIn, Dropbox en eBay.

RTL heeft alle getroffen accounts geblokkeerd totdat gebruikers hun wachtwoord aanpassen. Er zijn volgens de omroep geen betalingsgegevens gestolen.

Alhoewel de inloggegevens eerder elders zijn buitgemaakt gaat RTL echter zelf niet vrijuit. RTL had onvoldoende beschermingsmaatregelen getroffen waardoor de hackers geautomatiseerd in bulk combinaties van wachtwoorden en mailadressen konden invoeren bij Videoland, Buienradar en RTL Nieuws.

Zo kregen de cybercriminelen toegang tot de volledige naam, het e-mailadres, woonadres en de woonplaats.

In het kader van de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties technische en organisatorische maatregelen treffen om diensten en sites te beveiligen tegen cybercrime. Als er geprobeerd wordt om in bulk in te loggen op een site is dat verdacht en moet zo’n site automatisch die inlogpogingen blokkeren. Dat is blijkbaar bij RTL niet gebeurd.

Veel mensen gebruiken voor verschillende diensten dezelfde inloggegevens. Als een zo’n dienst gekraakt wordt hebben cybercriminelen meteen toegang tot meerdere diensten en sites. Bij security awareness trainingen wordt iedereen daarom geadviseerd om zo snel mogelijk nieuwe alle wachtwoorden te wijzigen. Gebruik voor alle diensten en sites een seperaat wachtwoord.

Wachtwoord aanpassen
Op de website Have I Been Pwnd kun je controleren of wachtwoorden van je online accounts zijn uitgelekt. Is dat het geval? Dan is het belangrijk om dat wachtwoord overal aan te passen. Het is verstandig om voor verschillende online diensten andere wachtwoorden gebruiken.

21.000 klanten van VakantieVeilingen.nl geconfronteerd met een oud datalek uit 2014

21.000 mensen die tussen 2014 en 2015 een vakantie hebben gewonnen bij VakantieVeilingen.nl zijn deze week door een klant per mail geinformeerd over een datalek. Deze klant kreeg de adresgegevens in handen door een fout destijds van de helpdesk van de veilingsite.

De helpdesk stuurde per ongeluk een mail met een link naar de klant. Via deze link kon de klant toegang krijgen tot de klantgegevens van alle klanten. De klant heeft het bestand met alle contactgegevens vervolgens gedownload en daarna VakantieVeilingen.nl ingelicht over het lek.

Het bestand bevat de volledige namen, woonadressen, e-mailadressen en arrangementen van klanten die destijds hebben gewonnen. 

Jeroen

De klant noemt zichzelf Jeroen. In de mail die hij afgelopen week, ruim drie jaar na de ontdekking van het datalek, aan alle getroffen klanten stuurde zegt hij nu tot zijn opmerkelijke actie besloten te hebben omdat Vakantieveilingen nooit heeft gereageerd nadat hij het datalek had gemeld.

De late actie van de boze klant is een interessante kwestie voor de Autoriteit Persoonsgegevens (AP). Valt dit datalek nog onder de oude Wet bescherming persoonsgegevens (Wbp)? Heeft VakantieVeilingen het lek destijds gemeld? Of is er sprake van een nieuw datalek omdat de mail nu pas is verstuurd en sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) geldt? Heeft VakantieVeilingen.nl (opnieuw) een datalekmelding gedaan?

Zo ziet de e-mail eruit

Mijn naam is Jeroen en ik heb, net als u, een veiling gewonnen bij VakantieVeilingen.

In 2015 heb ik contact gehad met de helpdesk van VakantieVeilingen. De helpdesk stuurde mij per mail een bevestiging waarin een link zat. Toen ik op de link klikte kreeg ik ongevraagd toegang tot de persoonlijke gegevens van ongeveer 21000 klanten van VakantieVeilingen.

Uiteraard heb ik per direct VakantieVeilingen hiervan op de hoogte gesteld. De link werd voorzien van een wachtwoord, echter heeft VakantieVeilingen tot nu toe nimmer de moeite genomen om haar excuses aangeboden of navraag gedaan over de door VakantieVeilingen verstrekte gegevens.

Wellicht neemt VakantieVeilingen naar aanleiding van deze mail wél de moeite om alsnog contact met mij op te nemen.

Datalek bij VieCuri Medisch Centrum in Limburg veroorzaakt door verpleegkundige die patiëntenlijst verloor

Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.

Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.

Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.

Persbericht VieCuri Medisch Centrum

Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.

„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.

Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd

“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“

Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“

Slordige communicatie

Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“

Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.

Alle patiënten en ouders/verzorgers worden geinformeerd

“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“

Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar

Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.

De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.

Nieuw wachtwoord voor personeel

Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.

AVG-boete van 400.000 Euro voor Portugees ziekenhuis dat onzorgvuldig met patiëntgegevens omgaat. Uitspraak interessant voor Limburg en rest Europa

Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…

Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…

Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?

Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.

Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis

Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.

Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.

Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.

Honderden onbevoegden hebben toegang tot patientgegevens

“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.

Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.

In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.

Datalek in Portugees ziekenhuis werd gemeld door medische vereniging

Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.

Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.

Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.

Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’

De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.

Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.

Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen

Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.

Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.

Uitspraak in Portugal interessant voor heel Europa

De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.

De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.

Britse toezichthouder ICO ontvangt recordaantal meldingen datalekken. Met name medische sector

De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.

Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.

Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.

In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).

De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.

Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.

Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.

Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.

Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.

Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.

Je kunt het ICO-jaarverslag hier downloaden.