Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten.

Gisteren verschenen de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt.

De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder en met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen.

De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is.

Alles bij de bron; Security


 

Op dinsdag 29 oktober as. om 9.30 uur vindt in de Rechtbank Den Haag de rechtszitting plaats in de bodemprocedure van een brede coalitie van maatschappelijke organisaties tegen het Systeem Risico Indicatie (SyRI). SyRI licht met geheime algoritmen complete woonwijken door om burgers te profileren op het risico dat ze frauderen met sociale voorzieningen. Volgens de coalitie van eisers vormt dit systeem een bedreiging voor de rechtsstaat en moet SyRI onrechtmatig worden verklaard.

De groep eisers, bestaand uit de Stichting Platform Bescherming Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting KDVP en de Landelijke Cliëntenraad, daagde in maart 2018 het Ministerie van Sociale Zaken voor de rechter. Auteurs Tommy Wieringa en Maxim Februari, die zich eerder zeer kritisch uitspraken over SyRI, sloten zich op persoonlijke titel bij de procedure aan. In juli 2018 voegde ook FNV zich bij de coalitie.

SyRI koppelt op grote schaal persoonsgegevens van burgers uit overheidsdatabases. De centraal bijeengebrachte gegevens worden geanalyseerd met geheime algoritmen. Dit moet uitwijzen of burgers een risico vormen om zich schuldig te maken aan één van de vele fraudevormen en overtredingen die het systeem omvat. 

Met deze sleepnetmethode licht SyRI alle inwoners van een wijk of gebied door. Hiervoor gebruikt het systeem vrijwel alle gegevens die overheden over burgers bewaren. Het gaat om 17 datacategorieën, die tezamen een zeer indringend en volledig beeld geven van iemands privéleven. Op dit moment beslaat SyRI de databases van de Belastingdienst, de Inspectie SZW, UWV, SVB, gemeenten en IND.

Volgens de Raad van State, dat een negatief advies gaf over het SyRI-wetsvoorstel, viel er nauwelijks een gegeven te bedenken dat niet binnen de reikwijdte van het systeem valt. Voormalig voorzitter Kohnstamm van de Autoriteit Persoonsgegevens, die eveneens negatief advies over het systeem uitbracht, noemde de aanname van de SyRI-wetgeving destijds “dramatisch”.

De in totaal vijf SyRI-onderzoeken die sinds de wettelijke invoering werden aangekondigd, hebben inmiddels tienduizenden burgers binnenstebuiten gekeerd, maar spoorden tot nu toe nog niet één fraudeur op. Dit werd eind juni 2019 onthuld door de Volkskrant, die de hand wist te leggen op evaluaties van SyRI-onderzoeken. 

De zitting is openbaar toegankelijk voor het publiek en zal plaatsvinden vanaf 9.30u in het Paleis van Justitie, Prins Clauslaan 60 in Den Haag. Privacy First nodigt u van harte uit om de zitting bij te wonen. Klik HIER voor een routebeschrijving.

Alles bij de bron: campagnewebsite Bijvoorbaatverdacht.nl. & PrivacyFirst


 

De man maakte naaktbeelden van twaalf vrouwen, onder andere in de douches van het sportcomplex van de Gentse Hogeschool. Daar was hij jeugdtrainer bij een gevechtssportclub. De beelden verspreidde hij via het internet, op een Nederlands forum, met schunnige commentaren erbij.

Volgens de rechtbank heeft de man de privacy, intimiteit en het veiligheidsgevoel van de vrouwen geschonden, zei de rechtbank. Want de beelden kunnen nog lang op internet blijven circuleren.

Toch krijgt de man een straf die volledig met uitstel wordt opgelegd. Dat wil zeggen dat de man niet naar de cel moet, zolang hij zich aan zijn voorwaarden houdt. De rechter hield er rekening mee dat de man zijn probleem erkende, dat hij in gesprek is gegaan met zijn slachtoffers, en dat hij een blanco strafblad heeft. Volgens de rechtbank heeft de man een schokeffect gekregen van de tijd die hij tijdens het onderzoek in de gevangenis heeft gezeten.

Twee van zijn slachtoffers, Myriam en Joke, waren op het proces aanwezig. Voor hen is het een goed vonnis: "Ik vind het geen goed idee dat Mike direct naar de gevangenis zou gaan, want dat is geen oplossing voor zijn probleem.", "Hij heeft het nu zelf in handen: als hij zich aan zijn voorwaarden houdt, gaat hij niet naar de gevangenis." "De gevangenis is geen oplossing voor mensen zoals Mike", voegt Myriam nog toe. "In zijn geval denk ik dat therapie een veel betere weg is om te gaan. Een mens komt niet beter uit de gevangenis dan hij erin gegaan is."

Alles bij de bron; VRT


 

Facebook en Google zijn geen liefdadigheidsinstellingen, ze verdienen grof geld aan de data van hun gebruikers, zo stelde Rohit Chopra, commissaris bij de Amerikaanse toezichthouder FTC, vorige week tijdens een hoorzitting voor een commissie van het Huis van Afgevaardigden. De hoorzitting ging over de rol van data en privacy in de concurrentie tussen bedrijven...

..."Bedrijven zoals Google en Facebook runnen gigantisch winstgevende gedragsgebaseerde advertentie-ondernemingen, gebouwd op het verzamelen van enorme hoeveelheden data van gebruikers."

Het advertentiemodel van Facebook en Google draait op het continu verzamelen van persoonlijke data. "Deze diensten hebben een prijskaartje en je betaalt ervoor met je data", ging Chopra verder. Hoewel mensen niet met keiharde dollars betalen, wisten Facebook en Google vorig jaar miljarden dollars aan advertentie-inkomsten binnen te halen. "Dit houdt in dat we extreem waardevolle assets aan deze bedrijven overhandigen. Een econoom zou zeggen dat de echte prijs om deze diensten te gebruiken negatief zou moeten zijn: dat zij eigenlijk ons zouden moeten betalen."

Vanwege de dominantie van partijen zoals Facebook en Google kunnen ze gebruikers en bedrijven met allerlei complexe en draconische voorwaarden akkoord laten gaan, terwijl ze tegelijkertijd nieuwe partijen uit de markt kunnen houden, merkte Chopra op. De FTC-commissaris pleitte dan ook voor optreden door beleidsmakers en toezichthouders om eerlijke concurrentie mogelijk te maken (pdf).

Alles bij de bron; Security


 

Een reserveringssysteem dat door tal van hotels, reisbureaus en accommodaties wordt gebruikt heeft via een open database 179GB aan data van hotelgasten en reizigers gelekt. De database was afkomstig van AutoClerk, een reserveringssysteem dat eigendom van Best Western Hotels is en door allerlei partijen en externe platformen wordt gebruikt.

Onderzoekers van vpnMentor ontdekten de database, die miljoenen records bleek te bevatten. Het ging onder andere om naam, geboortedatum, adresgegevens, telefoonnummer, datums, reiskosten, gemaskeerde creditcardgegevens, kamernummers en inchecktijd.  

In één van de databases werden persoonsgegevens en reisplannen van Amerikaanse overheids- en militair personeel gevonden. Het ging onder andere om gegevens van Amerikaanse generaals, waaronder hun e-mailadressen, telefoonnummers en andere gevoelige persoonlijke data.

De database werd op 13 september ontdekt, waarna het United States Computer Emergency Readiness Team (US-CERT) werd benaderd. De onderzoekers stellen dat US-CERT niets met de melding deed. Vervolgens benaderden de onderzoekers op 26 september een contact bij het Pentagon, waarna de database op 2 oktober werd beveiligd.

Alles bij de bron; Security


 

Nog dit jaar wordt de nieuwe regeling voor de uitrusting en bewapening van boa’s opgesteld. Dit gebeurt in nauwe samenwerking met de Nationale Politie, die tot voor kort nog een fel tegenstander was van bewapening van boa’s en andere handhavers. De visie is door het toenemende geweld tegen boa’s echter veranderd.

De besprekingen vonden vorige maand plaats onder leiding van minister Grapperhaus en resulteerden het afgelopen weekend in een gezamenlijke verklaring, dat boa’s bij het uitoefenen van bepaalde taken bewapend moeten worden.

Nederland heeft zo'n 23.500 boa's. Enkele honderden beschikken als uitzonderingsgevallen over een wapenstok, pepperspray of een vuurwapen. Zij werken bijvoorbeeld in een buitengebied of kunnen niet op back-up van de politie rekenen. Het toekennen van wapens als verdedigingsmiddelen maakt na de invoering van de nieuwe regels een einde aan die willekeur, stelt de BOA Bond.

Wat de bewapening van boa’s precies gaat inhouden, wordt binnenkort besproken met de Vereniging van Nederlandse Gemeenten.

Eind dit jaar gaat ook een nieuwe wet in die het hinderen van hulpverleners strafbaar maakt en wordt dan de strafmaat verhoogd voor geweld tegen hulpverleners. Vooralsnog alleen hulpverleners in overheidsdienst. De beveiligingsbranche pleit er al een tijdje voor om ook particuliere beveiligers onder een speciale regeling te laten vallen, omdat veel van hen ook min of meer een publieke taak hebben. Bewapening is wat de beveiligingsbranche betreft niet aan de orde. 

Alles bij de bronnen; BeveilNieuws & NU


 

Vroeger – opa vertelt – was een briefje van de dokter de normaalste zaak van de wereld. Mijn oude school was tuk op die briefjes, herinner ik mij, bij leerlingen die geen zin (of echt een probleem) hadden om mee te doen met gym. Maar toen ik laatst zo’n briefje wilde hebben voor mijn annuleringsverzekering, kreeg ik nul op het rekest van mijn huisarts. Ik kwam niet eens verder dan zijn assistente: “Privacyregels, meneer!”

Vreemd. Privacyregels? Maar welke dan? Als ik zélf om een doktersverklaring vraag, waarin de dokter bevestigt dat ik om gezondheidsredenen dit of dat niet kan doen, dan geef ik daarmee toch (impliciet) toestemming om mijn gegevens te delen met anderen? En ik kan toch zélf bepalen aan wie ik zo’n verklaring doorgeef? Ik ken geen enkele privacyregel die met zo’n briefje geschonden wordt...

...En zoals ik al vermoedde: met privacy heeft zo’n geweigerde verklaring weinig tot niets te maken. Het blijkt gewoon een richtlijn te zijn van de artsenfederatie KNMG [KNMG-richtlijn ‘Omgaan met medische gegevens’, KNMG, mei 2018 – p.20]. Daarin wordt de amices afgeraden om geneeskundige verklaringen af te geven. Niet vanwege de AVG, maar omdat artsen niet voor het karretje van de patiënt gespannen willen worden. 

Moraal van dit verhaal: ‘privacy’ wordt tegenwoordig vaak met de haren erbij gesleept, als het gaat om dingen die geweigerd of verboden worden. Op zich is dat winst! De invoering van de AVG heeft kennelijk een heel nieuw privacy-bewustzijn opgeleverd. Maar je moet het niet overdrijven natuurlijk. Zeker niet als er eigenlijk heel andere belangen spelen.

Alles bij de bron; PlatformBurgerrechten


 

Een netwerk van slimme meters is te gebruiken voor massasurveillance van burgers, zo waarschuwt de Europese privacytoezichthouder EDPS. Ook het profileren en volgen van personen in hun dagelijks leven behoort tot de mogelijkheden, aldus een onderdeel van de European Data Protection Supervisor (EDPS).

Met een intervalperiode van vijftien minuten is te achterhalen wanneer bewoners op vakantie zijn en bepaalde religieuze praktijken beoefenen. Denk aan aanpassingen van de dagelijkse routine in het geval van de ramadan. Bij kortere intervalperiodes is zelfs het gebruik van bepaalde apparaten te herleiden, aldus de it-beleidseenheid van de EDPS. Eerder stelden onderzoekers al vast dat energiemaatschappijen aan de hand van het energieverbruik zelfs kunnen achterhalen naar welke televisieprogramma's mensen kijken.

Volgens de EDPS zijn veel mensen zich niet bewust van de persoonlijke data die via slimme meters wordt verwerkt, hoe organisaties hier gebruik van maken en welke impact dit op hun privacy kan hebben. "Wanneer ze niet weten dat persoonlijke data wordt verwerkt is het onmogelijk voor ze om er een geïnformeerde beslissing over te maken. Zodra een slimme meter met ingeschakelde connectiviteit is aangesloten, kan het lastig voor gebruikers zijn om het verzamelen van metergegevens te voorkomen", aldus de toezichthouder.

De EDPS merkt op dat informatie over realtime energieverbruik grote commerciële waarde kan hebben. Tenzij er voldoende beschermingsmaatregelen worden getroffen dat alleen toegestane partijen deze data voor de opgegeven doelen mogen gebruiken, en zich daarbij aan de privacywetgeving houden, kan het gebruik van slimme meters leiden tot het volgen van het dagelijkse leven van mensen in hun eigen woning. Bedrijven zouden zo uitgebreide profielen kunnen maken gebaseerd op de huiselijke activiteiten van mensen.

In bepaalde gevallen zouden profielen kunnen worden verrijkt met persoonlijke data van smart homes en andere online en offline bronnen. Deze profielen zijn vervolgens voor allerlei andere doeleinden te gebruiken. Ook politie, belastingautoriteiten, verzekeringsmaatschappijen, werkgevers en andere derde partijen zouden interesse kunnen hebben in informatie over het persoonlijke energieverbruik, zo merkt de EDPS op.

Een netwerk van slimme meters met tweewegscommunicatie zou zelfs onderdeel van een infrastructuur voor massasurveillance kunnen worden. Dit zou via een eenvoudige firmware-update zijn te bereiken, waarbij de meet- en verzendperiodes worden ingekort. De EDPS adviseert dan ook om gebruikers zelf langere meettijden te laten kiezen en de optie te geven om bepaalde features van hun slimme meter in of uit te schakelen. Ook het gebruik van verschillende "privacy-enhancing technologies" (PETs) kan de risico's die met het uitlezen van het energieverbruik samenhangen verminderen.

Met de publicatie wil de EDPS de mogelijke privacygevolgen van opkomende technologieën en de bescherming van persoonlijke data bespreken. De toezichthouder merkt op dat het met de publicatie geen beleidspositie kiest.

Alles bij de bron; Security [Via datapanik.org]


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha 

 SteunVrijbit

  

PT Banner

BvV

150 voorkom

 

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

alt

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen