Beveiligingsdeskundigen willen dat Google Gmail en kantoortoepassingen zoals Docs en Calendar beter beveiligt. Dat meldt Webwereld. Volgens de deskundigen, onder wie de Nederlandse hoogleraar Digital Security Bart Jacobs, is het onderscheppen van onbeveiligde mail en documenten heel eenvoudig. Gebruikers hebben we de optie om de beveiliging https aan te zetten, maar volgens de critici is dat niet voldoende. Google zou de veel gebruikte toepassingen default moeten beveiligen.

(Foto van ricardo/zone41.net)

Privé-informatie over 500 hooggeplaatste officieren van de RAF, de Britse luchtmacht, zijn uitgelekt toen computerbestanden met persoonsgegevens en banknummers van 50.000 Britse militairen stalen. De informatie over de officieren bevat gegevens over onder meer bezoeken aan prostituees, buitenechtelijke relaties, schulden, veroordelingen, ziektes en drugsgebruik. Dat melden onder meer de BBC en The Guardian.

Dat de gegevens over de militairen gestolen waren, was al eerder bekend. Maar het uitlekken van de  privacygevoelige dossiers van officieren is tot nu toe geheim gehouden. Lees verder »

De Consumentenbond wil dat minister Klink bij wet regelt wie aansprakelijk is als gegevens uit het Elektronisch Patiëntendossier (EPD) misbruikt worden.”Het is onduidelijk wie aansprakelijk is als de informatie in verkeerde handen valt én waar mensen in zo’n geval kunnen aankloppen”, aldus de bond. De consumentenorganisatie is niet tegen het EPD. “Het kan bijdragen aan een betere kwaliteit van zorg en sluit bovendien aan bij de mobiele patiënt, die zijn zorg ook buiten de regio haalt.” Lees verder »

Een digitale inbreker is erin geslaagd om de patiëntendossiers van het Virginia Department of Health Professions te kraken en 8,2 miljoen dossiers en 35 miljoen recepten te stelen. De hacker vraagt 10 miljoen dollar losgeld voor de dossiers. Als de organisatie niet betaalt, verkoopt de hacker de medische gegevens aan de hoogste bieder, dreigt hij op de site Wikileaks. De inbraak is volgens het Virginia Department of Health Professions op 30 april jl. ontdekt. De FBI onderzoekt de zaak.

Ook in Nederland gaat het slecht met de beveiliging van het elektronisch patiëntendossier (EPD). Volgend jaar moeten alle zorgverleners op het EPD aangesloten zijn. Automatisering Gids meldt dat 54 procent van de zorgverleners nog niet aan de beveiligingseisen voldoen. Slechts drie procent heeft de informatiebeveiligingseisen geïmplementeerd.

(Foto van Daquella Manera)

Niet alleen via zoekmachines is veel persoonlijke informatie te achterhalen. Op 80 procent van de harde schijven die op Marktplaats worden aangeboden, staan privéfoto’s en -filmpjes en andere gevoelige gegevens zoals e-mail, MSN-gesprekken, dagboeken, dreigbrieven en financiële en medische informatie. De helft van de harde schijven met data bevatte pornografische afbeeldingen en filmpjes. Dat ontdekte de beveiligingssite Security.nl.

Om consumenten van het gevaar bewust te maken en te laten zien hoe eenvoudig het is om een harde schijf adequaat te wissen, maakte Security.nl een instructievideo. Die legt computergebruikers binnen zes minuten stap voor stap uit hoe men datadieven en gluurders geen kans geeft.

(Foto van Pingu1963)

De Electronic Frontier Foundation (EFF) heeft een campagne gelanceerd tegen het gluren van de (Amerikaanse) overheid in het privéleven van burgers. Het project heet Surveillance Self-Defense. Op de bijbehorende site legt EFF uit welke gegevens over internetgebruikers verzameld worden en hoe je jezelf kunt wapenen tegen ongewenst meegluren.

(Via ZB Digitaal; foto van Frazzled Jen)

Medische gegevens van Amerikaanse patiënten zijn gemakkelijk op te sporen via p2p-software. Deze software wordt meestal gebruikt voor het uitwisselen van muziek, films en games, maar kan ook voor andere informatie gebruikt worden. Hoogleraar M. Eric Johnson, hoofd van het Center for Digital Strategies aan Dartmouth College, ontdekte dat hij via filesharingsoftware aan de gegevens van duizenden patiënten en artsen kon komen. Johnson vond ook een database van een ziekenhuis met de dossiers van 20.000 patiënten.De hoogleraar heeft zijn bevindingen gepubliceerd in een paper (pdf).

Het nieuws over de medische gegevens volgt op een bericht dat militaire geheimen over president Obama’s helicopter zijn uitgelekt via p2p-software. Het Amerikaanse p2p-beveiligingsbedrijf Tiversa heeft de blauwdrukken van de helicopter en de vluchtsoftware aangetroffen op een p2p-netwerk. Het lek is teruggevoerd op een Amerikaanse onderaannemer van het ministerie van Defensie, waar p2p-software op een computer bleek te staan.

(Foto van Larry Tomlison)

Naar aanleiding van het onlangs ontdekte lek ik SSL-certificaten heeft VeriSign onveilige SSL-certificaten vervangen. VeriSign, een Amerikaans bedrijf dat een deel van de internetinfrastructuur beheert en SSL-certificaten uitgeeft, zegt op zijn weblog blij te zijn met het onderzoek van de wetenschappers van het Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers, maar vindt het jammer dat het bedrijf niet vantevoren gewaarschuwd is.

Microsoft is van mening dat het SSL-lek geen groot gevaar vormt. De softwaregigant schrijft op zijn website: “The MD5 algorithm had previously shown a vulnerability, but a practical attack had not yet been demonstrated.”

(Foto van CarbonNYC)

Wetenschappers van het Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers in Californië hebben een zwakke plek gevonden in de internetbeveiliging. Door deze kwetsbaarheid in de infrastructuur van digitale certificaten, SSL-certificaten, kunnen vervalste certificaten uitgegeven worden die volledig vertrouwd worden door alle gebruikelijke webbrowsers. Het lekt maakt internetbankieren en webshoppen onveilig.

De onderzoekers presenteerden hun resultaten op 30 december tijdens het 25C3 security congres van de Chaos Computer Club (CCC) in Berlijn. Ze toonden aan dat het mogelijk om beveiligde websites en mailservers na te bootsen en om vrijwel ondetecteerbare ‘phishing aanvallen’ te doen. Ze hopen dat door de publiciteit betere beveiligingsstandaarden op  internet gebruikt worden.

Als iemand een website bezoekt waarvan de URL met ‘https’ begint, dan verschijnt er een klein hangslot-symbool in het browserscherm. Dit geeft aan dat de website beveiligd is door middel van een digitaal certificaat, dat uitgegeven wordt door een van de vertrouwde Certificate Authorities (CA’s). Om er zeker van te zijn dat dit een authentiek digitaal certificaat is, verifieert de browser de digitale handtekening ervan met standaard cryptografische algoritmes. Het team van onderzoekers ontdekte dat een van deze algoritmes – MD5 – vatbaar is voor misbruik.

De onderzoekers hebben aangetoond dat een essentieel deel van de internet-infrastructuur niet veilig is. Een vertrouwde fictieve CA, in combinatie met bekende zwakke plekken in het DNS (Domain Name System) protocol, kan de deur openzetten voor vrijwel ondetecteerbare phishing-aanvallen. Een gebruiker kan bijvoorbeeld zonder het te weten naar een onbetrouwbare site geleid worden die er precies hetzelfde uitziet als de beveiligde bank- of e-commerce website die hij denkt te bezoeken. Zijn webbrowser kan dan een vervalst certificaat ontvangen dat ten onrechte vertrouwd wordt. Zo kunnen wachtwoorden en andere persoonlijke gegevens in verkeerde handen vallen. Naast beveiligde websites en e-mailservers kan de zwakke plek ook andere veelgebruikte software beïnvloeden.

Het team van onderzoekers bestaat uit: Alexander Sotirov (onafhankelijk security onderzoeker), Marc Stevens (Cryptology Group, CWI), Jacob Appelbaum (Noisebridge, The Tor Project), Arjen Lenstra (EPFL), David Molnar (UC Berkeley), Dag Arne Osvik (EPFL) en Benne de Weger (TU/e).

(Foto van scoyoblog)

In Duitsland is weer persoonlijke informatie over rekeninghouders uitgelekt. Deze keer gaat het om een lek bij de Landesbank Berlin. Er zijn echter niet alleen gegevens van klanten van de LBB uitgelekt, maar ook van klanten van andere banken. Uitgelekt zijn voor- en achternamen van klanten, adressen, nummers van creditcards en bankrekeningen en details over betaaltransacties. De gegevens werden bij de redactie van de Frankfurter Rundschau bezorgd. De Landesbank Berlin zegt in een verklaring dat de gegevens gestolen zijn van een koerier die van een dataverwerkingsbedrijf op weg was naar de bank. De bank zegt een hoge standaard te hebben voor de omgang met gevoelige gegevens van klanten, maar de data waren niet versleuteld.

De redactie van het Duitse tijdschrift Wirtschaftswoche kreeg onlangs het aanbod om persoonlijke gegevens (namen, adressen, rekeningnummers) van 21 miljoen Duitse bankklanten te kopen.

In Nederland heeft de Postbank bekend gemaakt dat tientallen klanten van de bank het slachtoffer zijn geworden van phishing (internetfraude). Er is 211.000 euro gestolen. De Postbank heeft besloten het gestolen geld terug te betalen omdat de klanten niets te verwijten valt.

(Foto van Solar Ikon)