Een klokkenluider trekt in de Verenigde Staten (VS) aan de bel over de werkwijze van het Amerikaanse Department of Government Efficiency (DOGE).
Het ministerie zou werknemers in strijd met de regels accounts geven met hoge rechten, waarmee zij onder meer data kunnen bewerken, kopiëren en verwijderen. Ook zou DOGE data hebben gedownload en inloggegevens hebben laten uitlekken.
Dit stelt althans Dan Berulis, een DevSecOps-archjitect van NLRB, een overheidsorgaan dat de rechten van werknemers in de private sector verdedigt.
De klokkenluider stelt dat DOGE-medewerkers in feite onbeperkte toegang kregen tot systemen, inclusief de mogelijkheid data te downloaden, bewerken en verwijderen. De klokkenluider wijst erop dat er binnen de NLRB accounts beschikbaar zijn die specifiek voor auditors zijn gemaakt, en het mogelijk maken data in te zien zonder deze te kunnen manipuleren. Het gebruik van deze auditor-accounts zou echter zijn afgewezen.
Ook stelt de klokkenluider dat DOGE-medewerkers onder meer monitoringssystemen hebben uitgeschakeld. Daarnaast zou multifactor-authenticatie zijn aangepast.
Berulis stelt ook dat gigabytes aan data is gedownload uit een casemanagementsysteem, naar een externe locatie zijn gekopieerd en uit de systemen van de NLRB zijn verwijderd.
Het is volgens de klokkenluider onduidelijk om welke data het exact gaat; hij stelt alleen grote datastromen te hebben waargenomen maar niet erin te zijn geslaagd meer inzicht te krijgen in deze stromen.
De klokkenluider meldt ook vanuit Rusland is geprobeerd met correcte inloggegevens in te loggen op een account op dat op instructie van DOGE is opgezet. De inlogpoging is geblokkeerd aangezien de NLRB het niet mogelijk maakt in te loggen uit andere landen dan de VS. De inlogpogingen zouden slechts vijftien minuten na het aanmaken van het account zijn begonnen.
Hierop trok het team van de NLRB volgens de klokkenluider aan de bel bij het United States Computer Emergency Readiness Team (US-CERT), dat zich onder meer richt op de digitale veiligheid van overheidssystemen. Later zou de US-CERT echter van hoger hand opdracht hebben gekregen het onderzoek hiernaar te staken. De klokkenluider stelt zich daardoor genoodzaakt te zien aan de bel te trekken over de gang van zaken en naar het Amerikaanse congres te stappen.
Alles bij de bron; Dutch-IT-Channel
Communicatieplatform Discord is in Australië en het Verenigd Koninkrijk "een experiment" gestart waarbij het online de leeftijd van gebruikers door middel van een gezichtsscan controleert. Discord stelt dat leeftijdsverificatie verplicht is om media zichtbaar te maken die door het 'sensitive media filter' is aangemerkt als gevoelig, alsmede het aanpassen van de instellingen van dit filter.
Als onderdeel van het experiment moeten gebruikers een videoselfie maken of hun identiteitsdocument scannen. Vervolgens wordt binnen een aantal minuten bepaald of de gebruiker in de juiste leeftijdsgroep zit, aldus de uitleg. Daarin stelt Discord ook dat informatie die gebruikers voor de online leeftijdscontrole delen niet wordt opgeslagen.
Verschillende landen hebben aangekondigd dat ze een minimale leeftijd voor social media gaan verplichten en platforms verplicht zijn om de leeftijd van hun gebruikers te verifiëren.
De Britse burgerrechtenbeweging Big Brother Watch (BBW) waarschuwt dat veel methodes om iemands leeftijd te controleren ineffectief zijn en aanvullende risico's voor zowel kinderen als volwassenen introduceren, "Het verplichten dat gebruikers gevoelige biometrische data aan socialmediaplatforms overhandigen vormt een echt risico voor online privacy en security", zegt Madeleine Stone van BBW.
Alles bij de bron; Security
Ook een mail gekregen van Facebook of Instagram waarin moederbedrijf Meta aankondigt dat het je openbare foto’s en berichten gaat gebruiken om AI mee te trainen? Weet dat je daar gemakkelijk bezwaar tegen kan indienen.
Bezwaar aantekenen kan door op de link in de e-mail te klikken, of door op je Facebook- of Instagram-account naar de pagina over ‘generatieve AI’ te gaan en daar onder ‘Een bezwaaraanvraag indienen’ te klikken op ‘Informatie die je hebt gedeeld in Meta-producten’.
Ook kan je rechtstreeks naar de bezwaarpagina surfen via deze link voor Facebook en deze link voor Instagram.
Alles bij de bron; deMorgen
Het is mogelijk dat betaalgegevens van Nederlanders na de overname van fintechbedrijf CCV terechtkomen bij de Amerikaanse overheid, zegt minister van Financiën Eelco Heinen. Dat risico is klein, maar niet uitgesloten.
De minister van Financiën zegt dat in antwoord op Kamervragen. Kamerlid Inge van Dijk stelde vragen over de overname van de Nederlandse betalingsprovider CCV. Dat werd in maart van dit jaar overgenomen door het Amerikaanse fintechbedrijf Fiserv.
Van Dijk vroeg of het klopt dat CCV tot 'kritieke betalingsinfrastructuur' behoort, maar dat zegt Heinen niet. Welke diensten er als kritieke infrastructuur worden gerekend, is vertrouwelijke informatie.
Ze vroeg echter ook of Amerikaanse overheidsdiensten toegang zouden kunnen krijgen tot de betaalgegevens van Nederlanders; CCV is een van de grootste aanbieders van betaalautomaten in Nederlandse bedrijven. Op die vraag zegt Heinen dat dat wel degelijk mogelijk is, al is het risico klein.
Heinen zegt dat er onder de Amerikaanse Cloud-wetgeving een verplichting kan zijn om bepaalde gegevens aan de overheid te verstrekken. "Of een bedrijf dat buiten de VS is gevestigd onder de werking van de Cloud-verordening valt, is afhankelijk van het soort bevel dat op grond van die wet wordt uitgevaardigd en van de concrete feiten en omstandigheden van de casus", schrijft de minister.
Dat betekent dat CCV onder de Cloud-verordening kan vallen, zelfs als het bedrijf niet zelf in de VS is gevestigd. En dat betekent weer dat CCV in sommige gevallen betaalgegevens zou moeten kunnen afstaan.
Heinen merkt ook op dat het Nederlandse Nationaal Cyber Security Centrum de kans 'klein' inschat dat de Amerikaanse overheid in de praktijk betaalgegevens kan bemachtigen. Wel verwijst Heinen daarbij naar een juridische analyse die het NCSC in 2022 opstelde. Sinds die tijd en zeker in de laatste maanden is er specifiek op techgebied veel veranderd in de VS.
Alles bij de bron; Tweakers
Een Brits advocatenkantoor heeft wegens een datalek dat door een bruteforce-aanval ontstond een boete van omgerekend 70.000 euro gekregen.
Bij de aanval wisten aanvallers gevoelige en vertrouwelijke persoonlijke informatie te stelen, die vervolgens op internet werd gepubliceerd. Het advocatenkantoor ontdekte het datalek pas nadat de Britse autoriteiten hadden gewaarschuwd dat criminelen de gegevens van cliënten hadden gepubliceerd.
De Britse privacytoezichthouder ICO deed onderzoek naar het datalek en stelde dat de beveiliging van het advocatenkantoor ernstig te wensen overliet. Zo wisten de aanvallers via een bruteforce-aanval toegang tot een legacy admin-account te krijgen. Voor dit 'sqluser' account stond geen multifactorauthenticatie (MFA) ingeschakeld. Vervolgens werd er meer dan 32 gigabyte aan vertrouwelijke data buitgemaakt.
In het vonnis van de ICO wordt ook over een gecompromitteerde laptop van een eindgebruiker gesproken waarvandaan de aanvallers inlogden op het netwerk. "Databescherming is niet optioneel. Het is een juridische verplichting, en deze boete zou als een duidelijke boodschap moeten dienen", zegt de privacytoezichthouder.
Alles bij de bron; Security
Politie gaat gegevens over burgers die het te lang bewaarde vernietigen, zo heeft minister Van Weel van Justitie en Veiligheid aan de Tweede Kamer laten weten. Onlangs oordeelde de Raad van State dat het te lang bewaren van gegevens moet stoppen.
"Het gaat om een zeer grote hoeveelheid, onderling heel verschillende gegevens. Denk aan de registratie van een burenruzie, een rapport van de wijkagent over de dagelijkse surveillanceronde of het afhandelen van een verkeerszaak. De gegevens kunnen in principe op iedereen in Nederland betrekking hebben. In belangrijke mate gaat het om informatie over personen die niet verdacht worden van een strafbaar feit", legde de Raad van State uit.
Het gaat hierbij niet om informatie die gericht is verzameld voor het oplossen van strafzaken en dus in een strafdossier is opgenomen.
"De voorlichting van de Raad van State laat geen ruimte voor de verlenging van de bewaartermijn", reageert Van Weel op het oordeel. "De politie gaat daarom over tot het vernietigen van gegevens die langer bewaard werden dan de in artikel 14 van de Wpg gestelde termijn."Wanneer alle gegevens zullen zijn vernietigd is nog niet bekend.
Alles bij de bron; Security
Bij Fontys was tot voor kort sprake van een groot datalek waarbij gevoelige informatie van studenten door anderen in te zien waren. Omroep Brabant ontdekte het lek.
Als iemand zich aanmeldde voor een cursus bij Fontys, kreeg diegene een e-mailadres en logingegevens voor het interne netwerk. Via de zoekfunctie van het intranet kon diegene bij een grote hoeveelheid documenten met persoonlijke informatie, bleek uit onderzoek van de regionale omroep.
Het ging onder meer om lijsten met pasfoto’s, adressen en 06-nummers van studenten. Maar ook om interne e-mails tussen medewerkers en verslagen van gesprekken tussen mentors en studenten. In sommige e-mails stond medische informatie over bijvoorbeeld mentale problemen of dyslexie. Verder ontdekte Omroep Brabant cijferlijsten, ondertekende stageovereenkomsten, uitspraken van de examencommissie en lijsten met studieadviezen.
Volgens de hogeschool kon het lek ontstaan doordat medewerkers per ongeluk bepaalde documenten openbaar deelden via het interne netwerk. Alle openbare bestanden zijn omgezet naar privé, waardoor ze niet meer toegankelijk zijn voor anderen.
Bron; Beveiliging
Ahold Delhaize, moederbedrijf van supermarktketens Albert Heijn en Delhaize, is getroffen door een grote ransomwareaanval.
Er zou in totaal 6 terabyte aan data gestolen door het aan Rusland gelieerde hackerscollectief INC Ransom. De groep dreigt met het openbaren van die data. Wat de eisen van INC Ransom zijn, is nog onduidelijk. Ahold Delhaize bevestigt de aanval en meldt dat het te maken heeft met een incident uit november.
Het is nog onduidelijk welke gegevens buitgemaakt zijn. Op het forum waar INC Ransom de aanval meldt, deelt het collectief al wel documenten waar het de hand op kon leggen waaronder ook identiteitsbewijzen van personen.
Alles bij de bron; deMorgen