Nieuws
image

Adresboek-app Covve lekt gegevens miljoenen opgeslagen contacten

zondag 17 mei 2020, 13:58 door Redactie, 8 reacties

Adresboek-app Covve heeft gegevens van miljoenen contacten die via de app waren opgeslagen gelekt. Eerder deze week werd bekend dat onderzoekers in februari een onbeveiligde Elasticsearch-server op internet hadden gevonden met 90 gigabyte aan persoonlijke informatie. Het ging om tientallen miljoenen records, waaronder e-mailadressen, functieomschrijvingen, namen, telefoonnummers, adresgegevens en socialmediaprofielen.

Het was echter onbekend waar de gegevens vandaan kwamen en wie de eigenaar was. Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned besloot 23 miljoen unieke e-mailadressen die in de database werden aangetroffen aan zijn zoekmachine toe te voegen, zodat gebruikers konden gewaarschuwd dat hun gegevens waren gelekt.

Nu blijkt dat de gegevens bij Covve vandaan kwamen. Covve omschrijft zichzelf als een "intelligent adresboek" voor het beheren van contacten. Het is mede met geld van de EU gefinancierd. In een verklaring laat Covve weten dat het is getroffen door een datalek waarbij de gegevens van een onbekend aantal gebruikers is gecompromitteerd.

Op 15 mei ontdekte het bedrijf na een tip van Hunt dat een derde partij ongeautoriseerde toegang tot een uitgefaseerd legacy systeem had gekregen. Daarbij heeft deze derde partij contactgegevens benaderd, zoals namen en contactdetails. Volgens Covve is de data niet terug te herleiden naar specifieke gebruikers en zijn er geen wachtwoorden gecompromitteerd.

Inmiddels zijn alle getroffen gebruikers en de Cypriotische privacytoezichthouder geïnformeerd. Verder is er een onderzoek ingesteld naar hoe het datalek zich heeft kunnen voordoen en zullen er aanvullende maatregelen worden getroffen om herhaling te voorkomen. De Androidversie van Covve heeft meer dan 100.000 installaties.

Reacties (8)
17-05-2020, 14:40 door [Account Verwijderd] - Bijgewerkt: 17-05-2020, 14:51
Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned besloot 23 miljoen unieke e-mailadressen die in de database werden aangetroffen aan zijn zoekmachine toe te voegen [...]
Inmiddels zijn alle getroffen gebruikers en de Cypriotische privacytoezichthouder geïnformeerd.
Hoewel Covvee dus zelf alle getroffen gebruikers informeert, hebben de criminelen de gelekte gegevens ook nog even gekopieerd. De maatschappelijke functie van HIBP is verdwenen sinds de invoering van de (datalek) meldplicht en daarmee is de ware reden voor dit data graaien duidelijk geworden: een front organisatie voor het verzamelen van inloggegevens van gebruikers om deze aan de achterkant door te verkopen aan inlichtingen organisaties.

Gelukkig is dit soort gedrag in Nederland al strafbaar gesteld met de wet computercriminaliteit 3. Helaas lijkt in de security wereld nog steeds het idee te heersen dat HIBP een nobel doel zou hebben, laten we daar mee ophouden en het noemen zoals het is: illegale data handel in gestolen persoonsgegevens. Laten we dus ook ophouden met het verwijzen naar Troy Hunt als 'beveiligingsonderzoeker'.
17-05-2020, 15:26 door karma4 - Bijgewerkt: 17-05-2020, 15:52
Door iatomory: ….. Laten we dus ook ophouden met het verwijzen naar Troy Hunt als 'beveiligingsonderzoeker'.
Ik lees:
- onbeveiligde OSS database op internet hadden gevonden met 90 gigabyte aan persoonlijke informatie.
- echter onbekend waar de gegevens vandaan kwamen en wie de eigenaar was.
- een derde partij ongeautoriseerde toegang tot een uitgefaseerd legacy systeem had gekregen.

Slordig is: Het is mede met geld van de EU gefinancierd. https://ec.europa.eu/digital-single-market/en/news/success-story-cypriot-startup-covve "an online application that reinvents the professional address book. Thanks to a highly intuitive interface which allows a contact network to be visualized, professionals can better understand the reach of their address book and how that contact network can be used in the world of business." Ah een social network analyse over het netwerk van de contacten, daarvan kan ik me voorstellen dat het voor politici erg nuttig is.

Een Social netwerk analyse van de contacten bij een nieuw vastgesteld geval van corona ligt in het verlengde van die mogelijkheden. Je zou er ook hulpmaterialen makkelijker mee kunnen regelen.

Deze ligt in het verlengde: https://www.politico.eu/article/eu-parliament-says-sensitive-data-of-1200-officials-left-exposed-on-web/ Het zijn dezelfde drie punten. In dat geval een server van een pact van politieke partijen.
Daar is het een scan geweest op zoek naar onbeveiligde data op servers.

Als je alle datalekken gaat censureren die een onwelgevallige oorzaak hebben dan heb je Big Brother(1984).

https://covve.com/opinion/security-incident Het lek is zo te zien via die weg wel bij de eigenaar terecht gekomen. Zonder die actie was het open blijven staan. "On Friday the 15th, we became aware of information about a security incident on our platform through security researcher Troy Hunt. Our team immediately started investigating in order to determine the origin and nature of this incident. "

Het is eigenlijk te zot voor woorden dit verhaal. Er wordt een datalek ontdekt en de cloudprovider wil de vewerkingsverantwoordelijke niet inlichten. Dat lijkt me tegen de GDPR in te gaan. De werkwijze is wel ontstaan door de dreiging van hoge boetes als bijvoorbeeld de vewerkingsverantwoordelijke bekend zou worden.
17-05-2020, 15:31 door Anoniem
Door iatomory: De maatschappelijke functie van HIBP is verdwenen sinds de invoering van de (datalek) meldplicht
Die meldplicht geldt in de EU. Niet iedereen in de wereld woont en werkt in de EU. Troy Hunt bijvoorbeeld, van HIBP, is een Australiër. Er zullen heel wat datalekken buiten de EU plaatsvinden waar de EU-meldplicht niet voor geldt, en er zullen trouwens binnen de EU ook nog heel wat bedrijven zijn die het wat minder nauw nemen met hun maatschappelijke verplichtingen die niet alles melden wat ze zouden moeten melden. En dan zullen er ook nog eens de nodige zijn die niet eens opmerken dat er een datalek heeft plaatsgevonden. De meldplicht lost lang niet alles op.
en daarmee is de ware reden voor dit data graaien duidelijk geworden: een front organisatie voor het verzamelen van inloggegevens van gebruikers om deze aan de achterkant door te verkopen aan inlichtingen organisaties.
Waarom specifiek dat? Is het omdat het in je wereldbeeld past of kan je er concrete, feitelijke aanwijzingen voor aandragen?
17-05-2020, 16:02 door [Account Verwijderd] - Bijgewerkt: 17-05-2020, 16:04
@Karma4 Zoals gebruikelijk is niet helemaal duidelijk wat je verhaal te maken heeft met mijn post die je citeert. Ik mis een uitleg waarom het nodig zou zijn voor HIBP om deze gegevens te bewaren in een database nadat alle betrokkenen zijn geïnformeerd. Zelfs voor het informeren is het niet nodig, dat is namelijk niet hun wettelijke verantwoordelijkheid. Dat er geen handhaving is op de meldplicht is een losstaand probleem.
17-05-2020, 16:17 door karma4
Door iatomory:Ik mis een uitleg waarom het nodig zou zijn voor HIBP om deze gegevens te bewaren in een database nadat alle betrokkenen zijn geïnformeerd.
Bedenke ze konden niet geïnformeerd worden want hoewel de data rondzwierf kon de eigenaar (sinds 3 maanden terug) niet gevonden worden. Dat is meer dan 90 dagen terug.

Pas sinds 15 mei na alle ophef is er een trigger geweest, dat staat op de site van covve. Die verwijzen zlef naar Troy Hunt als de bron. Het kan niet direct opgevallen zijn, anders wat het eerder gebeurd. Ik trek daaruit de conclusie dat betrokkenen na het opnemen wat opgevallen is. Het beste zou zijn dat het een signaal was bij covve dat ineens veel van hun gebruikers daar in die database zat.

Zelfs voor het informeren is het niet nodig, dat is namelijk niet hun wettelijke verantwoordelijkheid. Dat er geen handhaving is op de meldplicht is een losstaand probleem.
Geconstateerde datalekken maar open laten staan omdat je de verwerkingsverantwoordelijke niet weet? Dat lijkt me pas een echt slechte zaak. Dat de database met gegevens over EU ook open stond is net zo erg. Meer dan anderhalf jaar wat iedereen kon zien maar niemand zag die het melde. Hoeveel hebben het gezien en er gebruik van gemaakt?
Die onderzoeker (een Indiër) heeft het via het nieuws bekend gemaakt.
17-05-2020, 16:53 door Anoniem
Hackers, die ineens een nobele missie nastreven, zoals Troy Hunt, ScatteredSecrets.
Ze worden vanaf dat moment als security researchers aangeduid.

Maar in feite is wat ze doent data slurpen en dat blijft het. Hoe edel ook omkleed.
Ga na wie er uiteindelijk van profiteren en het opgezet hebben en je weet wat er mis kan gaan.

Mij niet gezien bij die account/password-verificatie-sites, zeker als je ook nog dient te registreren.
En met alle script links naar linked-in, facebook etc. Trackertje hier, trackertje en widgetje zus en zo.

Wat men zegt en vervolgens doet, zijn vaak hele tegenstrijdige dingen.
Onderzoek dus alles breeduit en twijfel aan alles tot alle twijfel weggenomen is.

#sockpuppet
17-05-2020, 18:06 door [Account Verwijderd] - Bijgewerkt: 17-05-2020, 18:09
Door karma4: Geconstateerde datalekken maar open laten staan omdat je de verwerkingsverantwoordelijke niet weet?
Ik schrijf dat het informeren van de betrokkenen de verantwoordelijkheid is van de verwerkingsverantwoordelijke en niet die van Troy Hunt/HIBP. De betere weg is dus, eventueel met die gelekte gegevens in de hand, uitzoeken wie de verwerkingsverantwoordelijke is en daar het incident melden. Die verantwoordelijke is uiteindelijk ook gevonden in dit geval. Mijn probleem zit hem echter in het proces daarna. (Toegegeven, je kan kritiek hebben op de situatie dat Covve zo laat pas hier melding van maakte. Echter zijn zij juridisch verantwoordelijk en kunnen daar op aangesproken worden. Dat laat onverlet dat we uit moeten gaan van de situatie waarin een bedrijf dit soort problemen wel tijdig doorheeft en betrokkenen informeert. Ik zie niet in waarom HIBP hier een vrijkaart zou moeten krijgen om dit als verantwoordelijkheid op zich te nemen.)

De meldplicht naar betrokkenen ligt bij de verwerkingsverantwoordelijke, niet bij Troy Hunt/HIBP. Na melden van dit incident bij de verantwoordelijke kan Troy Hunt de verzamelde persoonsgegevens weer verwijderen. Om onduidelijke en schimmige reden wordt echter voor gekozen om deze allemaal te verzamelen in een grote opt-out database. Dit soort 'data heling' is hier in Nederland dus illegaal, immers kun je geen beroep meer doen om iets als 'betrokkenen informeren'. Het is nergens meer voor nodig om nog een kopie van dit soort gestolen gegevens achter te houden.

Dat die gegevens nooit zo op straat terecht hadden mogen komen lijkt mij klip en klaar, daar is geen discussie over.
17-05-2020, 19:18 door karma4 - Bijgewerkt: 17-05-2020, 19:29
Door iatomory: Ik schrijf dat het informeren van de betrokkenen de verantwoordelijkheid is van de verwerkingsverantwoordelijke en niet die van Troy Hunt/HIBP. De betere weg is dus, eventueel met die gelekte gegevens in de hand, uitzoeken wie de verwerkingsverantwoordelijke is en daar het incident melden.
Probleem zie eerder teksten: dat mag niet van de GDPR

Oplossing van de onderzoeker: stap naar Troy Hunt. Laat het in zijn database opnemen. Hij heeft meer contacten.


Die verantwoordelijke is uiteindelijk ook gevonden in dit geval.
Nope die heeft zichzelf gemeld nadat het bij hem in de dtabase zat. Het zou kunnen dat google moasic via de browser zijn gaan reclameren. Die controleren tegenwoordig of ergens het passwoord gelekt is. Hoe komen die aan de gegevens?

Mijn probleem zit hem echter in het proces daarna. (Toegegeven, je kan kritiek hebben op de situatie dat Covve zo laat pas hier melding van maakte. Echter zijn zij juridisch verantwoordelijk en kunnen daar op aangesproken worden.
Ze hebben het binnen de 72 uur nadat het bij hun bekend werd gemeld. Dat is na de kennisgeving via de data.

Ik zie niet in waarom HIBP hier een vrijkaart zou moeten krijgen om dit als verantwoordelijkheid op zich te nemen.
Een ieder die zo'n lek vind zou volgens de open source gedachte de verwerkingsverantwoordelijke zelf via een procedure op de hoogte moeten stellen. Er is 3 maanden! met de data geleurd omdat die niet te vinden was.

[quoteDe meldplicht naar betrokkenen ligt bij de verwerkingsverantwoordelijke, niet bij Troy Hunt/HIBP. Na melden van dit incident bij de verantwoordelijke kan Troy Hunt de verzamelde persoonsgegevens weer verwijderen. [/quote]Als het gebruikt wordt voor zo'n database lijkt het geaccepteerd te zijn dat het mag. Dit binnen dat beperkte beschreven doel met een check op een gehashde waarde.

Nu zag ik deze rondgaan https://nos.nl/artikel/2255072-deze-hackers-kraken-jouw-wachtwoord-om-je-te-helpen.html
" Privacy
Mag dat zomaar, wachtwoorden van miljarden internetgebruikers in een database stoppen en doorzoekbaar maken? "Het gaat ook om het doel dat je er mee hebt", zegt ict-advocaat Ot van Daalen, die de twee onderzoekers bijstond. "Als je doel is om een misdrijf te plegen, dan ben je al snel strafbaar."
Maar in dit geval is het doel juist om mensen veiliger te maken, redeneert Van Daalen. "En die wachtwoorden zwerven toch al rond op internet."

Die onderzoekers dat is een kleine wereld, ik zit meteen aan de open databases als mono en elastic.
Dit was over de grens: https://www.rtlnieuws.nl/tech/artikel/4988886/weleakinfo-offline-gehaald-door-politie
Je mag niet userid's en passwords verhandelen met het doel dat er misbruik van gemaakt wordt.
Het mogelijk maken van misbruik verkoopt wel makkelijker, zeker aan bepaalde groepen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure