Fitnessketen Total Fitness lekt 474.000 afbeeldingen en ID-kopieën leden
De Britse fitnessketen Total Fitness heeft via een onbeveiligde database 474.000 afbeeldingen van leden en medewerkers gelekt. Het ging om foto's van zowel personen als hun identiteitsbewijzen, alsmede andere vertrouwelijke informatie. Dat ontdekte beveiligingsonderzoeker Jeremiah Fowler. De bijna 48 gigabyte grote database met 474.651 afbeeldingen was voor iedereen op internet zonder wachtwoord toegankelijk.
Total Fitness telt vijftien locaties en heeft meer dan honderdduizend leden en zeshonderd medewerkers. Fowler vond in de database foto's van paspoorten, creditcards en energierekeningen. Ook vond hij allerlei afbeeldingen van leden, waaronder ook kinderen. Als bewijs heeft de onderzoeker in zijn publicatie verschillende foto's gepubliceerd waarop de personen in kwestie onherkenbaar zijn gemaakt. Na de ontdekking waarschuwde Fowler de fitnessketen en werd de database een week later beveiligd.
"We zijn een members-only club en als onderdeel van onze registratie- en toegangscontroleprocessen vragen we onze leden een foto van zichzelf op te sturen. Dit voorkomt dat hun lidmaatschap door iemand anders wordt gebruikt en helpt ons om leden in onze clubs te vinden mochten we die moeten zoeken. We berichten al onze leden van wie we de foto's hebben geïdentificeerd, en die afbeeldingen zijn verwijderd", aldus Total Fitness, dat ook melding bij de Britse privacytoezichthouder ICO heeft gedaan.
Wtf ... En waarom bewaar je die meuk uberhaupt? Dan zou een id alleen nodig zijn geweest voor een eenmalige identificatie?
Dit moet minimaal een flinke boete gaan opleveren.
goed geheugen.
Dat vraag ik me regelmatig af.
Zelfs bij een mobiel abonnement is dat al een zeer twijfelachtige kwestie.
Ik weiger dat soort dingen dan ook per definitie, ze kijken me dan ook meestal vragend aan.
Mag ik uw adres gegevens? Nee!
Er is een soortgelijke wetgeving van kracht in de UK hoor, gebaseerd op de AVG.
https://ico.org.uk/for-organisations/data-protection-and-the-eu/data-protection-and-the-eu-in-detail/the-uk-gdpr/
Britse bedrijven vallen onder de U.K.-GDPR, een wet die na de Brexit equivalent aan de AvG/GDPR is gemaakt, die echter veelal strenger gehandhaafd wordt door hun autoriteit de ICO.
Dat vraag ik me regelmatig af.
Zelfs bij een mobiel abonnement is dat al een zeer twijfelachtige kwestie.
Ik weiger dat soort dingen dan ook per definitie, ze kijken me dan ook meestal vragend aan.
Mag ik uw adres gegevens? Nee!
Precies.. Van de week nog. Een bedrijft wat voor mijn woning bouw werkt.
Wat is uw 06? Gaat je niets aan.
Wat is uw e-mail adres? Ooit iets van privacy gehoord.
Kunt U zich legitimeren? Jazeker, maar doe ik niet!
Ja maar.. Hoe moeten we dan met U contact opnemen? De voordeur bel werkt toch prima!
Echt, soms..
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
