45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Oud-topman Sony: Bewaar geen gevoelige data op servers (duh)

In 2014 werd Sony Pictures Entertainment door een omvangrijke hack getroffen waarbij aanvallers grote hoeveelheden data wisten te stelen en duizenden computers met malware infecteerden. Het incident had het einde van het bedrijf kunnen beteken, zo heeft toenmalig directeur Michael Lynton tijdens een evenement voor ceo's laten weten. 

Lynton stapte begin dit jaar als topman bij Sony op, maar heeft van het incident verschillende zaken geleerd. "Mijn e-mail wordt elke tien dagen op een harde schijf opgeslagen. Dat is voor mij de oplossing. Stop het in een la en doe de la op slot." Ook vertelde Lynton tijdens het evenement dat bedrijven geen gevoelige informatie, zoals medische dossiers en social security nummers, op hun servers moeten bewaren die mogelijk kunnen worden gehackt, zo meldt CNN.

Alles bij de bron; Security


 

Apple bewaart verwijderde iCloud-notities op zijn servers

Beveiligingsonderzoekers hebben ontdekt dat notities die van een iCloud-account worden verwijderd, nog op de servers van Apple blijven bestaan. Het is niet de eerste keer dat het lukt om verwijderde content alsnog te achterhalen op de servers van Apple. Normaal gesproken moeten verwijderde iCloud-notities binnen dertig dagen van de servers van Apple worden verwijderd, maar Elcomsoft ontdekte dat dit niet altijd het geval is.

Door gebruik te maken van een softwaretool die door Elcomsoft zelf is ontwikkeld bleken veel met iCloud gesynchroniseerde notities terug te halen zijn, ondanks dat deze binnen dertig dagen verwijderd hadden moeten worden. De oudste, verwijderde notities die het Russische beveiligingsbedrijf nog kon vinden, kwamen uit 2015.

Het is niet de eerste keer dat Apple wordt geconfronteerd met verwijderde content die gesynchroniseerd is met iCloud, en die later toch nog terug is te vinden. Na iedere ontdekking zorgde Apple er telkens voor dat de problemen met het definitief verwijderen van de content werden verholpen. Dat er telkens verwijderde content op de servers van Apple blijft opduiken, zorgt er wel voor dat er vragen blijven bestaan over welke data nog meer ongevraagd op de servers staat, aldus Elcomsoft.

Alles bij de bron; Tweakers


 

Misdaad voorspellen, het kan echt met het ‘Criminaliteits Anticipatie Systeem’ (CAS)

Nederland is op weg het eerste land ter wereld te worden waar de politie overal inbraak en roof voorspelt met ‘big data’. 

Het is géén „glazen bol”, volgens de Nationale Politie. Toch probeert een nieuw computersysteem de plaats en het tijdstip van zakkenrollerij, straatroof, geweld, diefstal en bedrijfsinbraken te voorspellen. Maandag presenteerde de politie resultaten van proefprojecten in onder meer Hoorn, Enschede, Groningen en Den Haag. De politie wil dit ‘Criminaliteits Anticipatie Systeem’ (CAS) nog dit jaar invoeren in heel Nederland. Lukt dat, dan is Nederland het eerste land ter wereld waar predictive policing in alle regio’s wordt toegepast. In andere landen, zoals het Verenigd Koninkrijk of de Verenigde Staten, gebeurt het alleen lokaal.

CAS gebruikt data, héél veel data. Hoe meer gegevens het systeem heeft, hoe slimmer het voorspelt. Algoritmen bepalen waar en wanneer de politie een verhoogde kans op criminaliteit kan verwachten. De politie speelt daarop in. Het systeem wordt nu ingevoerd naar alle 168 basisteams van de politie. Op dit moment krijgen tientallen politieteams al elk weekend een set kaarten met voorspellingen over de volgende week. Op basis van deze kaarten met voorspellingen worden van sommige politieteams al de roosters opgesteld. Het algoritme vertelt niet waaróm een bepaald delict kan worden verwacht; het laat conclusies trekken over aan lokale agenten.

CAS verschilt nog flink van het beeld uit Minority Report: het systeem wijst geen individuen aan omdat ze mogelijk een delict willen plegen, maar houdt het bij wijken waar het risico op criminaliteit hoger is. Ook worden geen gegevens over etniciteit met het systeem gedeeld. Toch is niet uit te sluiten, zegt Melchers, dat bijvoorbeeld wijkagenten met hun kennis op basis van de kaarten met voorspellingen conclusies trekken wie bepaald crimineel gedrag zou kunnen gaan vertonen.

CAS lijkt in de huidige vorm niet zo ingericht dat het allerlei privacyalarmbellen doet afgaan, zegt Nico van Eijk, hoogleraar informatierecht. „Over het algemeen is de norm: data-analyse tot op postcodeniveau is relatief acceptabel, maar analyseren op persoonlijk niveau is een ander verhaal.”

Toch wijst Van Eijk op het gevaar dat een systeem, wanneer het effectief blijkt, wordt uitgebouwd en geleidelijk morele grenzen overschrijdt. Wordt CAS bijvoorbeeld in de toekomst gekoppeld aan andere politiesystemen, zoals slimme camera’s waarmee verdacht gedrag wordt vastgesteld? Inlichtingendiensten in Nederland hebben te maken met een toezichthouder, maar er is geen onafhankelijke partij die het gebruik van CAS controleert.

Alles bij de bron; pdfNRC


 

‘Hey there! I’m updating my WhatsApp privacy settings’

In mijn artikelreeks ‘Dilemma’s van digitalisering’ stip ik aan dat het tegenwoordig eenvoudig is om persoonlijke gegevens uit openbare databases te halen en dat dit vaak niet wenselijk is. Maar het kan ook andersom: zo toonde Loran Kloeze begin mei aan dat je in een handomdraai een database kunt aanleggen met telefoonnummers, profielfoto’s en de bijbehorende status van bijna alle WhatsApp-gebruikers.

De gebruiker hoeft daarvoor niet in je contactenlijst te staan. Het gaat daarbij ook om informatie over op welke tijdstippen iemand op WhatsApp online is. De enige voorwaarde is dat de privacy-instellingen niet door de gebruiker zijn aangepast. Een onaangename verrassing...

...Het feit dat het relatief eenvoudig is om een grootschalige database van WhatsApp-gebruikers aan te leggen via de webversie van WhatsApp, is een goed voorbeeld van een systeem dat ontworpen is zonder de privacy van gebruikers centraal te stellen. De standaardinstelling zou zo moeten zijn dat jouw privacy gewaarborgd is en jouw WhatsApp-informatie niet zomaar in een database kan belanden.

Zolang dat niet aan de orde is, en bedrijven bepalen of het al dan niet een issue is dat iedereen jouw status en onlinemomenten op WhatsApp kan zien, zit er maar één ding op: je moet zelf goed op je digitale identiteit passen. Dus, had jij je privacy-instellingen van je account bij WhatsApp nog niet aangepast, doe dat dan alsnog of kies in ieder geval bewust wat je wel of niet wilt delen. Hier lees je hoe je je instellingen kunt aanpassen. En als je dan toch bezig bent, doe dat dan ook meteen voor Twitter (want met de nieuwe privacy-update staan er weer allerlei vinkjes standaard aan die je vast uit wilt zetten).

Alles bij de bron; BoF


 

AP: ‘Ombudsman voor de privacy’

Vanaf 25 mei 2018 geldt er in de Europese Unie (EU) dezelfde privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Deze komt in de plaats van de huidige Wet bescherming persoonsgegevens. Met de AVG ontstaat binnen de EU een gelijk speelveld voor organisaties die persoonsgegevens verwerken. Samengevat zijn de belangrijkste effecten van de AVG:

  • Privacyrechten van burgers bij de verwerking van hun gegevens worden versterkt

Organisaties moeten bewijzen dat wanneer om toestemming gevraagd wordt zij ook geldige toestemming van de consument hebben gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo gemakkelijk zijn om hun toestemming in te trekken als om deze te geven. 

Voor ‘toestemming’ gelden vier criteria, licht Wolfsen toe: ‘Vrij, specifiek, geïnformeerd – dat je weet waar je ‘ja’ tegen zegt - en ondubbelzinnig. Als iemand bij ons een klacht indient en aangeeft dat er op onrechtmatige wijze persoonsgegevens worden verwerkt, nemen we contact op met het desbetreffende bedrijf en dat moet dan aantonen hoe het proces van toestemming is verlopen. En als dat niet op orde is, dan leggen we een boete op.’

  • Verantwoordelijkheid van organisaties die gegevens verwerken, wordt aangescherpt

De nadruk komt - meer dan nu - te liggen op de verantwoordelijkheid van organisaties zélf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability).

  • Bevoegdheden van de AP en haar Europese collegae worden aanzienlijk verstevigd

Met de intrede van de AVG op 25 mei volgend jaar wordt ook de European Data Protection Board geïnstalleerd. Wolfsen spreekt van een ‘Europese bank-achtige structuur’ en hij zal zelf deel uit maken van de board, evenals zijn Europese vakbroeders. ‘De board maakt beleid en fungeert ook als een soort rechter als er tussen twee landen discussie is. Wij kunnen dat agenderen en een besluit erover nemen. De Europeanisering van de AVG is daarmee een feit.’ Tegelijk worden de bevoegdheden van de nationale autoriteiten verstevigd. ‘We kunnen meer, we mogen meer en we moeten meer. We krijgen een Ombudsman-achtige functie en onze wetgevingsadvisering blijft. Onze correctiemogelijkheden worden bijna draconisch verhoogd.

Wolfsen refereert aan de vier fundamenten van de Nederlandse rechtsorde: gelijkheid, solidariteit, democratie en vrijheid. ‘Het klinkt misschien wat zwaar, maar als toezichthouder helpen wij de Nederlandse rechtsorde te bewaken. Privacy behoort tot de vrijheidsrechten, net zoals vrijheid van geloof en vrijheid van meningsuiting. Wanneer je als overheid niet de privacyrechten van mensen waarborgt, dan kan er gehandeld worden in strijd met de fundamenten van de rechtstaat. Dus het gaat wel ergens over.’

Alles bij de bron; Computable


 

NSA meldde pas na 5 jaar de kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie

De Amerikaanse militaire inlichtingendienst NSA was de partij die Microsoft heeft gewaarschuwd voor de lekken waarvoor de Shadowbrokers onlangs verschillende exploits publiceerden. Op basis van die informatie was Microsoft in staat om in maart een patch uit te brengen. 

De NSA gebruikte een van de tools, Eternalblue, gedurende een periode van vijf jaar. In die tijd ging er al een discussie binnen de organisatie of de ernst van het onderliggende SMB-lek ernstig genoeg was om Microsoft op de hoogte te stellen, zo vertellen voormalige NSA-medewerkers aan de krant. Een van de medewerkers, die allemaal anoniem willen blijven, zegt dat de hoeveelheid inlichtingen die met de tool kon worden verkregen 'onwerkelijk' was; een andere medewerker zegt dat het 'net als vissen met dynamiet' was.

Voormalig NSA-directeur Keith Alexander stelde dat de overheid zijn hacktools beter moet beschermen.

Alles bij de bron; Tweakers 


 

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Ondanks een ontkenning van Facebook bleek het toch mogelijk privégegevens van gebruikers van Facebook en WhatsApp te combineren.

Commissielid Margrethe Vestager, die over mededinging gaat, zei dat van het boetebesluit een duidelijk signaal uitgaat naar bedrijven dat zij zich moeten houden aan alle EU-regels rondom overnames, waaronder de verplichting om correcte informatie te verschaffen.

Volgens de Commissie heeft Facebook niet alleen tot twee keer toe misleidende informatie verschaft over het kunnen combineren van gebruikersaccounts, maar was het bedrijf zich ook bewust van de mogelijkheid om deze gegevens te combineren. De Commissie noemt het schenden van de verplichtingen door Facebook 'nalatig'. 

Het is de eerste keer dat de Commissie een boete heeft opgelegd aan een bedrijf voor het geven van misleidende informatie in het kader van een overname. De reden waarom de boete is vastgesteld op 110 miljoen in plaats van 247 miljoen euro, hangt samen met verzachtende omstandigheden, zoals het feit dat Facebook met de Commissie heeft samengewerkt in het onderzoek. Ook heeft Facebook toegegeven de regels te hebben overtreden en heeft het bedrijf afgezien van een openbare hoorzitting, waardoor de Commissie het onderzoek beter heeft kunnen uitvoeren.

Alles bij de bron; Tweakers