WIRED magazine lekt persoonlijke gegevens van 2,3 miljoen gebruikers
WIRED magazine heeft de persoonlijke gegevens van 2,3 miljoen gebruikers gelekt, die inmiddels ook op internet zijn verschenen. Het gaat om e-mailadressen en weergavenamen. Voor een "klein aantal" gebruikers betreft het ook namen, telefoonnummers, geboortedatum, geslacht, geografische locatie en adresgegevens, zo laat Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Volgens securitybedrijf Hudson Rock zijn de adresgegevens van meer dan 102.000 gebruikers in handen van de aanvaller gekomen.
De gegevens zouden naar verluid zijn gestolen bij uitgeverij Condé Nast. De aanvaller die de informatie op internet publiceerde stelt dat hij ook gegevens heeft van gebruikers van andere merken en magazines die onder Condé Nast vallen. De gestolen e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de datalekzoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de gelekte e-mailadressen van WIRED-gebruikers kwam 81 procent al in een ander bekend datalek voor.
Wanneer gaan wetgevers via de wet nu eens eisen om klantendata te versleutelen?
De vraag is of je nog wel met jouw echte gegevens moet registreren omdst mens lekt aan alle kanten.
Wanneer gaan wetgevers via de wet nu eens eisen om klantendata te versleutelen?
Operationele gegevens moeten benaderd kunnen worden, en niet alleen maar in een vorm waar niemand wat mee kan. Dat betekent dat er toegangen zijn die de data onversleuteld opleveren, en waarvoor een eventuele versleuteling op schijf geen ene donder uitmaakt, en dat zijn vermoedelijk ook nog eens de manieren waarlangs aanvallers het vaakst gegevens weten te benaderen.
Dat lijkt ook hier het geval te zijn. De gegevens zijn vermoedelijk via IDOR-kwetsbaarheden verkregen, en ze zijn in JSON-formaat gelekt, en dat is beslist niet het formaat dat een DBMS op schijf heeft staan.
Dat je onversleutelde data hebt gezien impliceert dus helemaal niet dat de opslag bij de uitgever ook onversleuteld is. En stel dat die opslag niet versleuteld is, wat natuurlijk heel goed mogelijk is, dan heeft dat geen rol gespeeld in dit lek.
Dus welk deel van de operationele risico's dek je eigenlijk af door de data te versleutelen? En in welk percentage van de gegevenslekken had het verschil gemaakt?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?