072 - 201 61 16 31722016116
Slide

Wij bouwen jouw unieke
Game PC op maat

Naar eigen budget samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig & gebouwd met aandacht
Uitvoerig door ons getest

Naar eigen wens samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig en gebouwd met aandacht
Uitvoerig door ons getest

Hans
Jordi

Game PC Expert
+ 10 jaar ervaring

Software Expert
+ 20 jaar ervaring

Slide
De kracht van de NVIDIA GeForce RTX 3090 Ti maakt intens gamen mogelijk.
Ontdek de videokaarten in één van onze builders.
previous arrow
next arrow

Hackersclub CCC vindt 6,4 miljoen persoonsgegevens via vijftig datalekken

datum: 14-02-2022Categorie: InternetBron: Tweakers

De Duitse hackerclub Chaos Computer Club heeft meer dan vijftig datalekken geconstateerd en toegang gekregen tot 6,4 miljoen persoonsgegevens. De club ontdekte ook een kwetsbaarheid bij het ministerie van Volksgezondheid, Welzijn en Sport.

CCC-onderzoekers hebben de afgelopen weken bij 'meer dan vijftig' datalekken persoonsgegevens gevonden , schrijft de Duitse hackergroep . Het zou gaan om datalekken bij bedrijven en overheidsinstanties. De hackers ontdekten kwetsbaarheden bij het ministerie van Volksgezondheid, Welzijn en Sport, BMW, Deutsche Bahn, Nestlé en MediaMarktSaturn in Oostenrijk.

De CCC schrijft dat de onderzoekers toegang hadden tot meer dan 6,4 miljoen persoonlijke gegevens, waaronder winkelklantgegevens, gegevens van vliegtuigpassagiers, patiëntgegevens, gegevens van sollicitanten, verzekeringsgegevens en informatie van sociale netwerken. Alle gegevens die de onderzoekers vonden, kwamen uit onbeveiligde bronnen.

De onderzoekers schrijven dat in meer dan de helft van de gevallen gevoelige informatie is verkregen uit vrij toegankelijke Git-repositories en databaseservers die vrij toegankelijk waren zonder authenticatie. In andere gevallen fungeerden onbeveiligde MySQL-servers, Symfony-profilers en configuratiegegevens die onjuist werden geleverd aan openbare webservers als gateways. Dit gaf de onderzoekers ook toegang tot privésleutels en toegangstokens voor cloudservices. In feite vonden de onderzoekers de gegevens op dezelfde manier als hoe tweaker SchizoDuckie de IRS binnenkwam. Ook met Elasticsearch was informatie te vinden, bijvoorbeeld door te zoeken op 'storing'.

In alle gevallen heeft het CCC bedrijven en overheidsinstanties op de hoogte gesteld van de lekken. De reacties die de groep kreeg liepen uiteen. Matthias Marx van het CCC vult aan dat hij nu al blij is dat geen van de onderzoekers wordt vervolgd voor het melden van de datalekken. Twee bedrijven negeerden de datalekken, driekwart van de bedrijven bedankte de onderzoekers vriendelijk. Een aantal bedrijven heeft donaties aan de groep aangeboden. De leden van de hackergroep gaven ze door aan Freifunk Rheinland, BUND Hamburg, FragDenstaat en C3 Teleshopping.

Naast bedrijfsgegevens wisten de onderzoekers ook toegang te krijgen tot een slecht beveiligde server vol gestolen creditcardgegevens in Frankfurt. De groep verwittigde de lokale politie, maar die reageerde traag. Daarom heeft de groep ook de FBI op de hoogte gebracht. Kort daarna ging de server offline.

De hackergroep geeft geen details over de datalekken en maakt ook niet bekend welke gegevens bij welke organisatie zijn ingezien. Wel zegt de groep dat alle kwetsbaarheden verantwoord zijn gedeeld en dat er door de groep geen persoonsgegevens zijn gedownload. De CCC is van plan om in de nabije toekomst nog meer willekeurige zoekopdrachten uit te voeren naar vrij toegankelijke persoonsgegevens.

Een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport zegt in een reactie op Tweakers een Responsible Disclosure -melding te hebben ontvangen van iemand die een beveiligingslek in een van de systemen van VWS had ontdekt. "We zijn dankbaar voor dergelijke meldingen en hebben het grondig onderzocht. De kwetsbaarheid is inderdaad gedetecteerd en vervolgens gerepareerd." Volgens de woordvoerder bevatte het betreffende systeem geen persoonsgegevens, behalve van mensen "professioneel betrokken bij ontwikkeling en onderhoud", maar dat was al publiek beschikbare informatie. Daarom is er volgens de woordvoerder geen sprake van een datalek en is er dus ook geen melding gedaan bij de Autoriteit Persoonsgegevens.

Nieuws overzicht
KvK nummer:  68747640
BTW nummer:  NL857574176B01