Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Adresboek-app Covve lekt gegevens miljoenen opgeslagen contacten

zondag 17 mei 2020, 13:58 door Redactie, 8 reacties

Adresboek-app Covve heeft gegevens van miljoenen contacten die via de app waren opgeslagen gelekt. Eerder deze week werd bekend dat onderzoekers in februari een onbeveiligde Elasticsearch-server op internet hadden gevonden met 90 gigabyte aan persoonlijke informatie. Het ging om tientallen miljoenen records, waaronder e-mailadressen, functieomschrijvingen, namen, telefoonnummers, adresgegevens en socialmediaprofielen.

Het was echter onbekend waar de gegevens vandaan kwamen en wie de eigenaar was. Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned besloot 23 miljoen unieke e-mailadressen die in de database werden aangetroffen aan zijn zoekmachine toe te voegen, zodat gebruikers konden gewaarschuwd dat hun gegevens waren gelekt.

Nu blijkt dat de gegevens bij Covve vandaan kwamen. Covve omschrijft zichzelf als een "intelligent adresboek" voor het beheren van contacten. Het is mede met geld van de EU gefinancierd. In een verklaring laat Covve weten dat het is getroffen door een datalek waarbij de gegevens van een onbekend aantal gebruikers is gecompromitteerd.

Op 15 mei ontdekte het bedrijf na een tip van Hunt dat een derde partij ongeautoriseerde toegang tot een uitgefaseerd legacy systeem had gekregen. Daarbij heeft deze derde partij contactgegevens benaderd, zoals namen en contactdetails. Volgens Covve is de data niet terug te herleiden naar specifieke gebruikers en zijn er geen wachtwoorden gecompromitteerd.

Inmiddels zijn alle getroffen gebruikers en de Cypriotische privacytoezichthouder geïnformeerd. Verder is er een onderzoek ingesteld naar hoe het datalek zich heeft kunnen voordoen en zullen er aanvullende maatregelen worden getroffen om herhaling te voorkomen. De Androidversie van Covve heeft meer dan 100.000 installaties.

Britse overheid geeft tips voor thuiswerken op privélaptop
Onderzoeker: geen duidelijk pad richting veiligere IoT-apparaten
Reacties (8)
Reageer met quote
17-05-2020, 14:40 door iatomory - Bijgewerkt: 17-05-2020, 14:51
Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned besloot 23 miljoen unieke e-mailadressen die in de database werden aangetroffen aan zijn zoekmachine toe te voegen [...]
Inmiddels zijn alle getroffen gebruikers en de Cypriotische privacytoezichthouder geïnformeerd.
Hoewel Covvee dus zelf alle getroffen gebruikers informeert, hebben de criminelen de gelekte gegevens ook nog even gekopieerd. De maatschappelijke functie van HIBP is verdwenen sinds de invoering van de (datalek) meldplicht en daarmee is de ware reden voor dit data graaien duidelijk geworden: een front organisatie voor het verzamelen van inloggegevens van gebruikers om deze aan de achterkant door te verkopen aan inlichtingen organisaties.

Gelukkig is dit soort gedrag in Nederland al strafbaar gesteld met de wet computercriminaliteit 3. Helaas lijkt in de security wereld nog steeds het idee te heersen dat HIBP een nobel doel zou hebben, laten we daar mee ophouden en het noemen zoals het is: illegale data handel in gestolen persoonsgegevens. Laten we dus ook ophouden met het verwijzen naar Troy Hunt als 'beveiligingsonderzoeker'.
Reageer met quote
17-05-2020, 15:26 door karma4 - Bijgewerkt: 17-05-2020, 15:52
Door iatomory: ….. Laten we dus ook ophouden met het verwijzen naar Troy Hunt als 'beveiligingsonderzoeker'.
Ik lees:
- onbeveiligde OSS database op internet hadden gevonden met 90 gigabyte aan persoonlijke informatie.
- echter onbekend waar de gegevens vandaan kwamen en wie de eigenaar was.
- een derde partij ongeautoriseerde toegang tot een uitgefaseerd legacy systeem had gekregen.

Slordig is: Het is mede met geld van de EU gefinancierd. https://ec.europa.eu/digital-single-market/en/news/success-story-cypriot-startup-covve "an online application that reinvents the professional address book. Thanks to a highly intuitive interface which allows a contact network to be visualized, professionals can better understand the reach of their address book and how that contact network can be used in the world of business." Ah een social network analyse over het netwerk van de contacten, daarvan kan ik me voorstellen dat het voor politici erg nuttig is.

Een Social netwerk analyse van de contacten bij een nieuw vastgesteld geval van corona ligt in het verlengde van die mogelijkheden. Je zou er ook hulpmaterialen makkelijker mee kunnen regelen.

Deze ligt in het verlengde: https://www.politico.eu/article/eu-parliament-says-sensitive-data-of-1200-officials-left-exposed-on-web/ Het zijn dezelfde drie punten. In dat geval een server van een pact van politieke partijen.
Daar is het een scan geweest op zoek naar onbeveiligde data op servers.

Als je alle datalekken gaat censureren die een onwelgevallige oorzaak hebben dan heb je Big Brother(1984).

https://covve.com/opinion/security-incident Het lek is zo te zien via die weg wel bij de eigenaar terecht gekomen. Zonder die actie was het open blijven staan. "On Friday the 15th, we became aware of information about a security incident on our platform through security researcher Troy Hunt. Our team immediately started investigating in order to determine the origin and nature of this incident. "

Het is eigenlijk te zot voor woorden dit verhaal. Er wordt een datalek ontdekt en de cloudprovider wil de vewerkingsverantwoordelijke niet inlichten. Dat lijkt me tegen de GDPR in te gaan. De werkwijze is wel ontstaan door de dreiging van hoge boetes als bijvoorbeeld de vewerkingsverantwoordelijke bekend zou worden.
Reageer met quote
17-05-2020, 15:31 door Anoniem
Door iatomory: De maatschappelijke functie van HIBP is verdwenen sinds de invoering van de (datalek) meldplicht
Die meldplicht geldt in de EU. Niet iedereen in de wereld woont en werkt in de EU. Troy Hunt bijvoorbeeld, van HIBP, is een Australiër. Er zullen heel wat datalekken buiten de EU plaatsvinden waar de EU-meldplicht niet voor geldt, en er zullen trouwens binnen de EU ook nog heel wat bedrijven zijn die het wat minder nauw nemen met hun maatschappelijke verplichtingen die niet alles melden wat ze zouden moeten melden. En dan zullen er ook nog eens de nodige zijn die niet eens opmerken dat er een datalek heeft plaatsgevonden. De meldplicht lost lang niet alles op.
en daarmee is de ware reden voor dit data graaien duidelijk geworden: een front organisatie voor het verzamelen van inloggegevens van gebruikers om deze aan de achterkant door te verkopen aan inlichtingen organisaties.
Waarom specifiek dat? Is het omdat het in je wereldbeeld past of kan je er concrete, feitelijke aanwijzingen voor aandragen?
Reageer met quote
17-05-2020, 16:02 door iatomory - Bijgewerkt: 17-05-2020, 16:04
@Karma4 Zoals gebruikelijk is niet helemaal duidelijk wat je verhaal te maken heeft met mijn post die je citeert. Ik mis een uitleg waarom het nodig zou zijn voor HIBP om deze gegevens te bewaren in een database nadat alle betrokkenen zijn geïnformeerd. Zelfs voor het informeren is het niet nodig, dat is namelijk niet hun wettelijke verantwoordelijkheid. Dat er geen handhaving is op de meldplicht is een losstaand probleem.
Reageer met quote
17-05-2020, 16:17 door karma4
Door iatomory:Ik mis een uitleg waarom het nodig zou zijn voor HIBP om deze gegevens te bewaren in een database nadat alle betrokkenen zijn geïnformeerd.
Bedenke ze konden niet geïnformeerd worden want hoewel de data rondzwierf kon de eigenaar (sinds 3 maanden terug) niet gevonden worden. Dat is meer dan 90 dagen terug.

Pas sinds 15 mei na alle ophef is er een trigger geweest, dat staat op de site van covve. Die verwijzen zlef naar Troy Hunt als de bron. Het kan niet direct opgevallen zijn, anders wat het eerder gebeurd. Ik trek daaruit de conclusie dat betrokkenen na het opnemen wat opgevallen is. Het beste zou zijn dat het een signaal was bij covve dat ineens veel van hun gebruikers daar in die database zat.

Zelfs voor het informeren is het niet nodig, dat is namelijk niet hun wettelijke verantwoordelijkheid. Dat er geen handhaving is op de meldplicht is een losstaand probleem.
Geconstateerde datalekken maar open laten staan omdat je de verwerkingsverantwoordelijke niet weet? Dat lijkt me pas een echt slechte zaak. Dat de database met gegevens over EU ook open stond is net zo erg. Meer dan anderhalf jaar wat iedereen kon zien maar niemand zag die het melde. Hoeveel hebben het gezien en er gebruik van gemaakt?
Die onderzoeker (een Indiër) heeft het via het nieuws bekend gemaakt.
Reageer met quote
17-05-2020, 16:53 door Anoniem
Hackers, die ineens een nobele missie nastreven, zoals Troy Hunt, ScatteredSecrets.
Ze worden vanaf dat moment als security researchers aangeduid.

Maar in feite is wat ze doent data slurpen en dat blijft het. Hoe edel ook omkleed.
Ga na wie er uiteindelijk van profiteren en het opgezet hebben en je weet wat er mis kan gaan.

Mij niet gezien bij die account/password-verificatie-sites, zeker als je ook nog dient te registreren.
En met alle script links naar linked-in, facebook etc. Trackertje hier, trackertje en widgetje zus en zo.

Wat men zegt en vervolgens doet, zijn vaak hele tegenstrijdige dingen.
Onderzoek dus alles breeduit en twijfel aan alles tot alle twijfel weggenomen is.

#sockpuppet
Reageer met quote
17-05-2020, 18:06 door iatomory - Bijgewerkt: 17-05-2020, 18:09
Door karma4: Geconstateerde datalekken maar open laten staan omdat je de verwerkingsverantwoordelijke niet weet?
Ik schrijf dat het informeren van de betrokkenen de verantwoordelijkheid is van de verwerkingsverantwoordelijke en niet die van Troy Hunt/HIBP. De betere weg is dus, eventueel met die gelekte gegevens in de hand, uitzoeken wie de verwerkingsverantwoordelijke is en daar het incident melden. Die verantwoordelijke is uiteindelijk ook gevonden in dit geval. Mijn probleem zit hem echter in het proces daarna. (Toegegeven, je kan kritiek hebben op de situatie dat Covve zo laat pas hier melding van maakte. Echter zijn zij juridisch verantwoordelijk en kunnen daar op aangesproken worden. Dat laat onverlet dat we uit moeten gaan van de situatie waarin een bedrijf dit soort problemen wel tijdig doorheeft en betrokkenen informeert. Ik zie niet in waarom HIBP hier een vrijkaart zou moeten krijgen om dit als verantwoordelijkheid op zich te nemen.)

De meldplicht naar betrokkenen ligt bij de verwerkingsverantwoordelijke, niet bij Troy Hunt/HIBP. Na melden van dit incident bij de verantwoordelijke kan Troy Hunt de verzamelde persoonsgegevens weer verwijderen. Om onduidelijke en schimmige reden wordt echter voor gekozen om deze allemaal te verzamelen in een grote opt-out database. Dit soort 'data heling' is hier in Nederland dus illegaal, immers kun je geen beroep meer doen om iets als 'betrokkenen informeren'. Het is nergens meer voor nodig om nog een kopie van dit soort gestolen gegevens achter te houden.

Dat die gegevens nooit zo op straat terecht hadden mogen komen lijkt mij klip en klaar, daar is geen discussie over.
Reageer met quote
17-05-2020, 19:18 door karma4 - Bijgewerkt: 17-05-2020, 19:29
Door iatomory: Ik schrijf dat het informeren van de betrokkenen de verantwoordelijkheid is van de verwerkingsverantwoordelijke en niet die van Troy Hunt/HIBP. De betere weg is dus, eventueel met die gelekte gegevens in de hand, uitzoeken wie de verwerkingsverantwoordelijke is en daar het incident melden.
Probleem zie eerder teksten: dat mag niet van de GDPR

Oplossing van de onderzoeker: stap naar Troy Hunt. Laat het in zijn database opnemen. Hij heeft meer contacten.


Die verantwoordelijke is uiteindelijk ook gevonden in dit geval.
Nope die heeft zichzelf gemeld nadat het bij hem in de dtabase zat. Het zou kunnen dat google moasic via de browser zijn gaan reclameren. Die controleren tegenwoordig of ergens het passwoord gelekt is. Hoe komen die aan de gegevens?

Mijn probleem zit hem echter in het proces daarna. (Toegegeven, je kan kritiek hebben op de situatie dat Covve zo laat pas hier melding van maakte. Echter zijn zij juridisch verantwoordelijk en kunnen daar op aangesproken worden.
Ze hebben het binnen de 72 uur nadat het bij hun bekend werd gemeld. Dat is na de kennisgeving via de data.

Ik zie niet in waarom HIBP hier een vrijkaart zou moeten krijgen om dit als verantwoordelijkheid op zich te nemen.
Een ieder die zo'n lek vind zou volgens de open source gedachte de verwerkingsverantwoordelijke zelf via een procedure op de hoogte moeten stellen. Er is 3 maanden! met de data geleurd omdat die niet te vinden was.

[quoteDe meldplicht naar betrokkenen ligt bij de verwerkingsverantwoordelijke, niet bij Troy Hunt/HIBP. Na melden van dit incident bij de verantwoordelijke kan Troy Hunt de verzamelde persoonsgegevens weer verwijderen. [/quote]Als het gebruikt wordt voor zo'n database lijkt het geaccepteerd te zijn dat het mag. Dit binnen dat beperkte beschreven doel met een check op een gehashde waarde.

Nu zag ik deze rondgaan https://nos.nl/artikel/2255072-deze-hackers-kraken-jouw-wachtwoord-om-je-te-helpen.html
" Privacy
Mag dat zomaar, wachtwoorden van miljarden internetgebruikers in een database stoppen en doorzoekbaar maken? "Het gaat ook om het doel dat je er mee hebt", zegt ict-advocaat Ot van Daalen, die de twee onderzoekers bijstond. "Als je doel is om een misdrijf te plegen, dan ben je al snel strafbaar."
Maar in dit geval is het doel juist om mensen veiliger te maken, redeneert Van Daalen. "En die wachtwoorden zwerven toch al rond op internet."


Die onderzoekers dat is een kleine wereld, ik zit meteen aan de open databases als mono en elastic.
Dit was over de grens: https://www.rtlnieuws.nl/tech/artikel/4988886/weleakinfo-offline-gehaald-door-politie
Je mag niet userid's en passwords verhandelen met het doel dat er misbruik van gemaakt wordt.
Het mogelijk maken van misbruik verkoopt wel makkelijker, zeker aan bepaalde groepen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 919
Image
BYOD
04-03-2021 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

16 reacties
Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter