De eerste analyses van de hack bij Odido bevestigen wat we vaker zien: phishing en social engineering leidden tot het compromitteren van een medewerkersaccount. Multifactor authenticatie (MFA) werd omzeild. Het resultaat? Gegevens van 6,2 miljoen klanten op straat. Maar laten we eerlijk zijn: de kern van het probleem was niet dat iemand binnenkwam. Het probleem […]
Zo’n 60.000 n8n-servers wereldwijd, waaronder 1.400 in Nederland, missen een update voor een zeer kritisch lek. De kwetsbaarheid Ni8mare (CVE-2026-21858) maakt ongeauthenticeerde toegang tot serverbestanden mogelijk. Aanvallers kunnen admin-inloggegevens stelen en vervolgens kwaadaardige code uitvoeren. Het lek heeft de maximale impactscore van 10.0 en er is al exploitcode beschikbaar. Ondanks updates blijft een groot aantal […]
De provincie Utrecht heeft per ongeluk persoonsgegevens gelekt van tientallen betrokkenen bij het wolvendossier. Het gaat om namen, e-mailadressen en soms ook telefoonnummers van zo’n zeventig beleidsmedewerkers, juristen en boswachters. De gegevens kwamen terecht in een Excel-bestand dat werd meegestuurd bij een Woo-verzoek. Het bestand is inmiddels offline gehaald, maar onduidelijk is hoeveel mensen het […]
Een onbeveiligde server heeft meer dan 100 miljoen gevoelige gegevens van Zweedse burgers en bedrijven gelekt. De data, variërend van belastinginformatie tot adresgeschiedenis, beslaat de periode 2019–2024. Onderzoekers ontdekten dat de bron vermoedelijk een derde partij is die data van Risika gebruikte, maar Risika ontkent betrokkenheid. Door de gedetailleerde aard is het lek zowel waardevol […]
Een AI-chatbot genaamd Olivia, gebruikt door McDonald’s voor sollicitaties, bleek jarenlang persoonlijke gegevens van miljoenen sollicitanten onbeschermd te laten door een wachtwoord “123456”. Onderzoekers ontdekten dat ze met dit wachtwoord toegang kregen tot meer dan 64 miljoen records via McHire com. De blootgestelde gegevens bevatten namen, e-mails en sollicitatiegesprekken. McDonald’s en softwareleverancier Paradox ai erkennen […]
Een grootschalige hack bij de Amerikaanse bankentoezichthouder OCC ontstond door het ontbreken van multifactorauthenticatie (MFA) op een admin-account. Hierdoor konden aanvallers eenvoudiger toegang krijgen tot het systeem. Ze maakten gebruik van een techniek die bekendstaat als password spraying, waarbij ze geprobeerd hebben om veel verschillende wachtwoorden te gebruiken op een beperkt aantal accounts. Sinds mei […]
De gemeente Amersfoort heeft opnieuw een datalek gemeld. Hierbij zijn persoonsgegevens van 24 (voormalige) inwoners gelekt, waaronder BSN’s en geboortedata. De gegevens bevonden zich in een testomgeving van een voormalig softwareleverancier. Door een zwakke plek in de software waren deze gegevens toegankelijk voor aanvallers. De gemeente heeft de getroffen inwoners geïnformeerd over het datalek. Ook […]
De gemeente Amersfoort heeft een datalek gemeld. Het betreft gegevens van inwoners die tussen 2009 en 2024 afspraken hebben gemaakt met Burgerzaken. De gelekte gegevens bevatten namen, adressen, geboortedata, geslacht, e-mailadressen en telefoonnummers. Van 7.000 personen is ook het Burgerservicenummer (BSN) gelekt. De gegevens zijn gestolen via een inbraak bij een externe softwareleverancier, niet via […]
Aanvallers probeerden tussen 27 september en 7 oktober toegang te krijgen tot de Decathlon-accounts van klanten. Hun doel was om spaarpunten te stelen en deze om te zetten in cadeaubonnen. De aanval maakte gebruik van ‘credential stuffing’. Dit is een techniek waarbij eerder gelekte e-mailadressen en wachtwoorden worden gebruikt om automatisch in te loggen op […]
Gestolen en standaard wachtwoorden vormen volgens CISA een grote zwakke plek bij Amerikaanse overheidsinstanties. Uit 143 beveiligingstests bleek dat 41% van de succesvolle aanvallen toegang kreeg door gestolen of standaard accounts. Daarnaast werd in 89% van de tests wachtwoordhashes gekraakt voor toegang tot domeinbeheeraccounts. Phishing-methoden volgden met 26% van de aanvallen. CISA beveelt sterkere wachtwoordregels, […]