Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

01/04/2021

Booking.com krijgt boete van 475.000 euro voor te laat melden datalek

Lees de originele artikel hier
Cyber Defense

Boekingsite Booking.com heeft van de Autoriteit Persoonsgegevens een boete van 475.000 euro gekregen voor het te laat melden van een datalek. Criminelen wisten de gegevens van ruim vierduizend klanten van het bedrijf te stelen. Dat deden ze via een telefonische phishingaanval op medewerkers van veertig hotels in de Verenigde Arabische Emiraten.

De criminelen wisten van deze medewerkers de inloggegevens te ontfutselen, waardoor ze op een systeem van Booking.com konden inloggen. In het systeem werden vervolgens de gegevens van ruim vierduizend mensen gestolen die via de boekingsite een hotelkamer hadden geboekt in het land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking.

Tevens kregen de criminelen toegang tot de creditcardgegevens van 283 personen. In 97 gevallen ging het ook om de beveiligingscode van de creditcard. Ook probeerden de criminelen creditcardgegevens van andere slachtoffers te stelen door zich per mail of telefoon voor te doen als medewerker van Booking.com.

De boekingsite werd op 13 januari 2019 over het datalek geïnformeerd, maar waarschuwde de Autoriteit Persoonsgegevens pas op 7 februari. Daarmee is Booking.com 22 dagen te laat, aangezien datalekken binnen 72 uur dienen te worden gemeld. Getroffen klanten werden op 4 februari 2019 ingelicht. Booking.com gaat niet in bezwaar of beroep tegen de boete van de Autoriteit Persoonsgegevens.

Update

"Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens", laat Booking.com in een reactie aan Security.NL weten.

"We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen, terwijl we ook werken aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen."

De AP wilde oorspronkelijk een boete van 525.000 euro opleggen, maar besloot die met 50.000 euro te verlagen vanwege de maatregelen die Booking.com nam om de schade voor slachtoffers te beperken.

 

Neem contact met ons op, Cert2Connect heeft tal van oplossing welke u helpen de data van u en uw partner of klanten te beveiligen

Neem contact met ons op
28/03/2021

Australische tv-zender moet live-uitzendingen staken door cyberaanval

Lees de originele artikel hier
Cyber Defense

De Australische tv-zender Nine Network kon zondag meerdere live-uitzendingen niet uitzenden vanwege een cyberaanval. Om wat voor aanval het gaat, is niet duidelijk. Het Australische parlement heeft eveneens technische problemen. Het parlement onderzoekt nu of het ook doelwit is van een hack.

Neem contact met ons op, wij helpen u met technologie die u in staat stelt om zelf uw omgeving voortdurend en automatisch te testen op datalekken en kwetsbaarheden in uw IT systemen. Bijvoorbeeld de Breach & Attack Simultation service of Software Security testplatformen.

Neem contact op met cert2connect
25/03/2021

Datalek bij autobedrijven treft mogelijk miljoenen Nederlanders

Lees de originele artikel hier
Cyber Defense

De privé-adressen en telefoonnummers van mogelijk miljoenen Nederlanders zijn in handen gevallen van criminelen. Ze zijn gestolen bij een bedrijf dat autogarages ict-diensten aanbiedt. Naast de NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, blijkt uit onderzoek van de NOS. De gegevens worden op een populair hackersforum te koop aangeboden.

Het exacte aantal mensen dat door het lek is getroffen, is niet bekend. Het gaat volgens de hacker die de gegevens te koop aanbiedt om herleidbare gegevens van 7,3 miljoen personen, maar dezelfde mensen kunnen meerdere keren in het datalek voorkomen. Het e-mailadres zou in 2,5 miljoen gevallen aanwezig zijn.

Volgens het bewuste ict-bedrijf klinkt het aantal van 7,3 miljoen gestolen datapunten "reëel". In dat geval is het een van de grootste Nederlandse datalekken ooit.

 

"Voor criminelen is dit supernuttige informatie", zegt beveiligingsonderzoeker John Fokker van McAfee, die bij de politie onderzoek deed naar online-criminaliteit en de georganiseerde misdaad.

Het lek bevond zich bij het bedrijf RDC, dat garages bijvoorbeeld de mogelijkheid biedt om klanten automatisch te mailen als het tijd is voor hun apk-keuring. Een deel van de informatie heeft het bedrijf van de Rijksdienst voor het Wegverkeer (RDW) gekregen. Die instantie houdt de voertuigadministratie bij.

Hoe de data precies zijn gestolen, is een raadsel. Nadat de NOS het bedrijf had ingelicht dat data te koop werden aangeboden, startte het een onderzoek en herkende het de buitgemaakte data. "Het onderzoek is nog in volle gang. We hebben al melding gemaakt bij de Autoriteit Persoonsgegevens", laat een woordvoerder van RDC weten.

Het gaat om oudere data: het kan daarom zijn dat ze langer geleden al zijn gestolen, maar nu pas worden aangeboden. Het bedrijf zegt niets van een recent lek te weten.

Prominenten het slachtoffer

"Boevenbendes die deze gegevens in handen krijgen, kunnen nu met één klik op de knop zien waar dure auto's staan", zegt beveiligingsonderzoeker Fokker. "Ze hoeven de straat niet meer op." Ook voor internet-oplichters kan de grote hoeveelheid personalia interessant zijn, om mensen gerichter en persoonlijker te kunnen benaderen.

Ook persoonsgerichte aanvallen kunnen nu makkelijker worden. Verschillende prominenten zijn in de dataset te vinden, onder wie een fractieleider in de Tweede Kamer. "Je weet nu waar ze wonen en in welke auto ze rijden", zegt Fokker.

Voor 35.000 dollar

De gegevens verschenen dit weekend op het hackerforum; de verkoper zei 35.000 dollar voor de gegevens te willen. Een deel van de data is openbaar op internet geplaatst. De NOS benaderde bovendien de internetcriminelen en kreeg van hen de gegevens van 58.000 Amsterdammers met een auto of motor. Het ging daarbij om 54.000 unieke kentekens.

Deels zijn dat verouderde gegevens, waaronder auto's die niet meer in gebruik zijn. Maar hoewel het kenteken inmiddels op een andere naam kan staan, kunnen bijvoorbeeld het huisadres, e-mailadres of telefoonnummer nog wel kloppen.

Er staan zelfs gegevens in van auto's die meer dan tien jaar geleden bij een bepaalde garage zijn geweest. "Je kunt je afvragen waarom dat niet jaren geleden al is gewist", zegt Fokker. "Het is echt gevaarlijk om dit soort gegevens jarenlang op dezelfde plek te bewaren."

RDC krijgt onder strenge voorwaarden data van de RDW, zoals informatie over de vervaldatum van apk-keuringen en grove informatie over de eigenaren van auto's, zoals de cijfers van de postcode en geboortejaar. Of dat nu op losse schroeven staat, is niet bekend. "Er is contact met RDC en over consequenties wordt gesproken", zegt de RDW.

Vaker mega-datalekken

Vorige maand was sprake van een vergelijkbaar datalek: daarbij werden de gegevens buitgemaakt van mensen die via het bedrijf Ticketcounter kaartjes voor bijvoorbeeld musea en dierentuinen kochten. Ook daarbij ging het om een onbekend aantal adresgegevens.

Volgens de Autoriteit Persoonsgegevens waren er in 2020 meer van dit soort 'megadatalekken', waarbij de gegevens van meer dan 100.000 personen op straat kwamen te liggen. In 2019 waren dat er nog 68, maar vorig jaar al 76. Bij 257 datalekken waren minimaal 10.000 mensen betrokken.

 

Neem contact met ons op, wij helpen u met technologie die u in staat stelt om zelf uw omgeving voortdurend en automatisch te testen op datalekken. Bijvoorbeeld de Breach & Attack Simultation service of Software Security testplatformen.

Bel mij voor een gesprek met Cert2Connect experts
Load more