92 miljoen stamboomonderzoekers getroffen door datalek bij MyHeritage

Stamboomonderzoek is een populaire hobby. Veel stamboomonderzoekers maken gebruik van de dienst MyHeritage. Dit bedrijf blijkt getroffen door een groot datalek.

Bij een hack zijn e-mailadressen en versleutelde wachtwoorden buitgemaakt, meldt MyHeritage op zijn blog. In totaal zijn er 92.283.889 accounts getroffen.

Bij MyHeritage kunnen gebruikers een DNA-test laten doen.

Door een DNA-proef op te sturen, kan het bedrijf een stamboom opstellen en families in kaart brengen.

 

Bij de hack gaat het om informatie van gebruikers die voor 26 oktober 2017 een account aanmaakten. Op die dag werd de hack uitgevoerd.

Een beveiligingsonderzoeker vond de data buiten de dienst op een particuliere server.

‘Hoge boete voor overtreding privacywet AVG / GDPR uitkeren aan slachtoffers’

Bedrijven die de privacywet AVG / GDPR overtreden kunnen hoge boetes van 4 procent van de wereldwijde jaaromzet of maximaal 20 miljoen Euro opgelegd krijgen. Dat is heel veel geld.

Wat moet er eigenlijk met die forse boeteopbrengsten gedaan worden?

Chipkaarten producent Gemalto stelde die vraag aan 1050 Nederlanders.

Een overgrote meerderheid van 92 procent van de ondervraagden gaf aan dat een boete die een bedrijf betaalt bij gestolen persoonsgegevens niet terecht moet komen bij de overheid, maar bij de slachtoffers.

Wanneer er gevraagd wordt naar passende straffen dan scoort schadeherstel ook het hoogst: 37 procent.

De top drie wordt aangevuld met een celstraf en een boete, respectievelijk 33 procent en 24 procent.

Veel Nederlanders vinden dat wanneer de straf uit een boete bestaat, de verantwoordelijke hackers dit bedrag moeten voldoen (67 procent).

Ongeveer twee op de tien consumenten acht het gehackte bedrijf verantwoordelijk en vindt dat zij moeten opdraaien voor de boete.

Over de hoogte van het boetebedrag heerst er niet een eenduidige mening. Twee op de vijf Nederlanders vindt een bedrag tot 10.000 euro passend, 27 procent acht een bedrag tot 100.000 euro geschikt. De rest vindt dat de boete hoger moet zijn dan 100.000 euro, waar acht procent zelfs spreekt over een bedrag van meer dan 10 miljoen euro.

Wat kan er nou gebeuren als je mailbox wordt gehackt? 3 voorbeelden

De meeste ondernemers kunnen zich nauwelijks voorstellen dat zij ooit slachtoffer zullen worden van cybercrime. Zeker ondernemers die denken dat zij nauwelijks online zakendoen. Vergeten wordt dat de mailbox onderdeel is van het moderne zakendoen. Zonder e-mail kan een moderne ondernemer feitelijk geen zaken doen.

De mailbox is meteen een van de grootste bronnen van datalekken. Mede dankzij menselijk handelen overigens.

Welke risico’s loop je met mail?

Wat kan er nou gebeuren als je mailbox gehackt wordt? Wat is het risico als je iets te snel op een link in een betrouwbaar ogend mailtje hebt geklikt, dat blijkt te zijn verstuurd door een cybercrimineel?

Stan Hegt is ethisch hacker in dienst van KPMG. Hij kruipt dagelijks in de huid van cybercriminelen om hun gedrag te kunnen doorgronden en ondernemers te helpen om hun bedrijfsactiviteiten online beter te beschermen.

Hegt geeft op de site van de Kamer van Koophandel drie voorbeelden van cybercrime bij kleinere mkb’ers.

Datalek bij accountant

Bijvoorbeeld van een bedrijf dat door een datalek bij de accountant ruim honderdduizend euro werd afgetroggeld door cybercriminelen. De inloggegevens van de accountant van deze ondernemer kwamen voor in een datalek. De internetcriminelen konden zo in het online boekhoudpakket van de ondernemer komen. Door stamgegevens van leveranciers aan te passen werden facturen niet aan hen maar aan de cybercriminelen uitbetaald.

DDoS aanval op webshop

Een andere mkb’er heeft een goedlopende webshop en is inmiddels goed in de zoekmachines te vinden. Op een gegeven moment lag zijn webshop door een DDoS-aanval een dag lang plat.

De volgende dag kreeg hij een mail van de cybercrimineel: bitcoins betalen of je webshop ligt de volgende keer een hele maand plat. “Dat kan het einde van je bedrijf betekenen’, concludeert Hegt.

Phishingmail Office 365

Tenslotte een voorbeeld van phishing. De ondernemer krijgt een mailtje in Office 365 met een ogenschijnlijk belangrijke bijlage. Om de bijlage te openen moet hij zijn wachtwoord invullen. Pas maanden later blijkt zijn mail al die maanden ook te zijn doorgestuurd naar een mailadres van een cybercrimineel.

Hegt: “De verzamelde informatie leek niet misbruikt, maar je hebt wel een gigantisch datalek. Leg dat maar eens uit aan je klanten. Bovendien ben je verplicht dit datalek te melden bij de Autoriteit Persoonsgegevens.”

Bron: Kamer van Koophandel

Presentatie Stan Hegt voor providers

Groot medisch datalek schandaal in Duitsland. Miljoenen patientendossiers 300 ziekenhuizen op straat

Miljoenen patiëntgegevens van ruim 300 Duitse ziekenhuizen liggen door een datalek op straat, meldt de Duitse website Datenschutzbeauftragter.de.  Er wordt gevreesd voor een enorm datalek. Justitie is met een onderzoek begonnen.

De  patientgegevens zouden in handen zijn gekomen van activisten van het “Medileaks”-platform.

Volgens Duitse media zijn honderden ziekenhuizen bespioneerd door de activisten. Vermoed wordt dat gevoelige bijzondere persoonsgegevens illegaal gekopieerd en doorgegeven zijn.

Een speciale vereniging die verantwoordelijk is voor klinieken in voornamelijk het Rijnland informeerde ziekenhuizen medio april in een mailing over  “mogelijke gegevensdiefstal”.

Op 11 april werd de vereniging anoniem geïnformeerd dat het internetplatform “medileaks.cc” gevoelige gegevens bevat van meer dan 300 ziekenhuizen in Duitsland over een periode van tien jaar.

In de brief staat verder: “Volgens de exploitant, die zijn identiteit niet bekendmaakt en het internetdomein op de Australische Cocoseilanden heeft geregistreerd, bezit hij een derde van alle zogenoemde artikel 21 patientgegevens van ziekenhuizen in Duitsland van de afgelopen tien jaar.”

De Cocos-eilanden liggen in de Indische Oceaan en zijn een buitengebied van Australië.

Artikel 21 van de wetgeving over de financiering van Duitse ziekenhuizen (Krankenhausentgeltgesetzes  – KHEntgG) regelt de jaarlijks voorgeschreven overdracht van digitaal opgeslagen patientgegevens van ziekenhuizen aan het verantwoordelijke datacenter op federaal niveau.

De gegevensbestanden bevatten de informatie over het vorige kalenderjaar en moeten uiterlijk op 31 maart worden ingediend.

Duitse ziekenhuizen geven informatie over de omvang en structuur van het ziekenhuis en geeft inzicht in de financiën.

Er wordt echter ook gedetailleerde informatie over individuele patiënten en hun behandeling verstrekt.

Het datacenter heeft tot taak de informatie te verifiëren.

De geanonimiseerde gegevens worden ook opgenomen in de officiële statistieken, die onder meer bedoeld zijn om het federale ministerie van Volksgezondheid te helpen bij het nemen van beslissingen.

Medileaks is actief sinds begin 2018. Het platform exploiteert Medileaks “Data-analyse voor een eerlijker gezondheidssysteem”.

Het doel van Medileaks is om “de waarheid over Duitse ziekenhuizen” aan het licht te brengen.

Sinds het begin van het jaar zijn op de website talrijke verslagen gepubliceerd over vermeend wanbeheer in de gezondheidszorg, bijvoorbeeld over absenteïsme en personeelsverloop in ziekenhuizen, doktersalarissen en statistieken over sterfte en complicaties bij diverse operaties.

Ook gegevens van zorginstellingen zijn geanalyseerd.

Medileaks zorgt ervoor dat er geen patiëntgegevens of ziekenhuisgegevens worden gepubliceerd of doorgegeven aan journalisten, zegt het platform.

De gegevens van de ziekenhuizen zijn “veilig”, beweert Medileaks. “Wat niet zeker is, is het beleid van veel ziekenhuizen en ketens om economische efficiëntie boven het welzijn van de patiënt te stellen,” schrijven de activisten in hun blog.

De argumenten van Medileaks laten onverlet dat zij verantwoordelijk zijn voor diefstal van bijzondere persoonsgegevens, zoals patiëntgegevens in de nieuwe Europese privacywet GDPR genoemd worden. Zowel de actievoerders als de ziekenhuizen kunnen bijzonder zwaar bestraft worden voor het datalek dat er voor gezorgd heeft dat de patiëntgegevens van miljoenen Duitsers nu op straat liggen.

Bijzondere persoonsgegevens moeten door de verwerkingsverantwoordelijke ziekenhuizen extra goed beveiligd worden, volgens de GDPR. Nalatigheid kan bestraft worden met een boete van 4 procent van de jaaromzet van een ziekenhuis met een maximum van 20 miljoen Euro. In totaal kan dit de ziekenhuizen honderden miljoenen Euro’s kosten.

Daarnaast hebben de ziekenhuizen op basis van medische wetgeving te maken met geheimhoudingsplicht. Op basis van deze wetgeving kan de overheid ook boetes opleggen.

Naast financiële en persoonlijke gegevens van de klinieken kunnen namelijk ook gevoelige patiëntgegevens zoals leeftijd, geslacht en postcode in de op het platform opgenomen gegevens zijn opgenomen.

Justitie in Duitsland neemt de zaak hoog op. Een woordvoerder van het Keulse parket zegt dat de zaak wordt onderzocht. “Het parket heeft een klacht ontvangen. Welke gegevens zijn gestolen en hoe, zal nu worden bepaald.”

Justitie maakt bij het onderzoek gebruik van een team van internationaal ervaren IT forensisch experts van auditkantoor Ernst & Young.

Een woordvoerder van de Ziekenhuisvereniging Rijnland had de authenticiteit van de brief van Medileaks bevestigd. Volgens eigen verklaringen zijn 164 klinieken lid van de vereniging.