image

Hackersclub CCC vindt via tientallen datalekken miljoenen persoonsgegevens

maandag 14 februari 2022, 12:37 door Redactie, 4 reacties

De Duitse hackersclub CCC (Chaos Computer Club) heeft tijdens eigen onderzoek meer dan vijftig datalekken gevonden waarbij onderzoekers toegang tot meer dan 6,4 miljoen persoonsgegevens hadden. Het zou ook gaan om een datalek bij het Nederlandse ministerie van Volksgezondheid.

De gegevens, onder andere van klanten, passagiers, sollicitanten en patiënten, waren eenvoudig te vinden, aldus de CCC. Het ging onder andere om onbeveiligde MySQL-servers en Elasticsearch-installaties, alsmede publiek toegankelijke Git-repositories en Symfony-profilers, een PHP-ontwikkeltool. Naast persoonsgegevens troffen de onderzoekers ook private keys en access tokens voor clouddiensten aan.

Bij de helft van de onbeveiligde diensten en systemen was het direct mogelijk om persoonsgegevens te benaderen. De CCC waarschuwde de getroffen instanties, waarvan driekwart de hackersclub bedankte en gevonden problemen verhielp. Tien procent reageerde niet maar verhielp het probleem wel. "Het is ontnuchterend hoe onzorgvuldig sommige bedrijven met hun data, of erger, met de data van hun klanten omgaan", zegt CCC-woordvoerder Matthias Marx.

De CCC doet verschillende aanbevelingen voor het beveiligen van gegevens, zoals het veilig omgaan met access tokens voor clouddiensten. Ook wordt aangeraden om testsystemen niet vanaf het internet toegankelijk te maken en niet met echte gebruikersgegevens te testen. Verder horen back-ups, logbestanden en gevoelige configuratiebestanden niet in openlijke toegankelijke directories van webservers te staan.

Onder de getroffen organisaties bevinden zich het Nederlandse ministerie van Volksgezondheid, BMW, Deutsche Bahn, Deutsche Post, Deutsche Telekom, de Duitse Krijgsmacht, MediaMarkt en Nestle, zo blijkt uit het overzicht date de CCC online zette. Details over het soort datalek bij deze organisaties zijn niet gegeven.

Reacties (4)
14-02-2022, 13:46 door Anoniem
Ik kan me nog herinneren dat ik de Magento 2 (je weet wel nadat adobe het heeft gekocht) developers erop attendeerde dat er geen credential gebruikt werden (en andere are rare design beslissingen). Dan komt er werkelijk een storm van kritiek uit de richting van het domme schaapjes volk, en wordt er niets mee gedaan.
14-02-2022, 16:20 door Anoniem
Twintig jaar geleden en dat je dit nog moet lezen,waar zijn we nu,
en wat hebben we intussen geleerd?

Het is nog steeds mosterd na de maaltijd,beste burgers uw gegevens
"moet" je uploaden op onze servers,want bij de bedrijven gemeente en overheden en diensten is het veilig

The Matrix
14-02-2022, 16:37 door Anoniem
Kijk, en bij CCC snappen ze wel waarom je deze data niet moet delen met HIBP.
15-02-2022, 09:29 door Anoniem
Door Anoniem: Twintig jaar geleden en dat je dit nog moet lezen,waar zijn we nu,
en wat hebben we intussen geleerd?

Het is nog steeds mosterd na de maaltijd,beste burgers uw gegevens
"moet" je uploaden op onze servers,want bij de bedrijven gemeente en overheden en diensten is het veilig

The Matrix

Kunt u uitleggen wat u bedoeld met uw reactie? het ligt natuurlijk aan mij, maar ik probeer er iets zinnigs uit te halen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.