Tal van Nederlandse zorginstellingen hebben een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een aanvaller wist in te breken op het digitale zorgplatform Carenzorgt. Ruim negenduizend zorgaanbieders en bijna een half miljoen mensen maken van de digitale gezondheidsomgeving gebruik...

...Het gaat onder andere om Icare, PCSOH, KwadrantGroep, Libertas Leiden, GB Autisme, Reinier van Arkel en Ypse, Het Laar, Altrecht, Careaz, LEVANTOgroep, GGZ Drenthe, zorginstelling Tragel, Vughterstede, zorgorganisatie Zorgstroom, Carinova, zorginstelling De Zijlen, Tangenborgh, ORO, Savant Zorg.

De aanvaller maakte naar verluidt misbruik van een kwetsbaarheid in het systeem om de bestanden te downloaden. Er zijn vooralsnog geen aanwijzingen dat de documenten verspreid zijn. 

Alles bij de bron; Security

Aanvallers zijn erin geslaagd om via een phishingaanval broncode van Dropbox te stelen, alsmede gegevens van klanten, medewerkers en leveranciers.

Volgens de phishingmail moest de ontvanger op GitHub inloggen om de nieuwe algemene voorwaarden te accepteren.  Zo wist de aanvaller toegang tot de GitHub-omgeving van Dropbox te krijgen en kopieerde 130 repositories met broncode en andere software.

Het ging onder andere om API-keys van ontwikkelaars, aangepaste third-party libraries waar Dropbox gebruik van maakt, interne prototypes en sommige tools en configuratiebestanden van het Dropbox-securityteam. Ook zijn namen en e-mailadressen van medewerkers, huidige klanten, ex-klanten en leveranciers in handen van de aanvaller gekomen.

De inhoud van Dropbox-accounts en wachtwoorden en betaalgegevens van gebruikers niet gecompromitteerd.

Alles bij de bron; Security

Staatssecretaris Van Huffelen van Digitalisering gaat met medeoverheden en rijksoverheidsorganisaties in gesprek over de wenselijkheid van trackingcookies op Nederlandse overheidssites. Ook worden overheden per brief gewezen op de wet- en regelgeving die voor het plaatsen van cookies gelden.

Uit onderzoek van de TU Delft blijkt dat websites van provincies en gemeenten de AVG met voeten treden. Het gaat dan om trackingcookies die zonder toestemming van bezoekers worden geplaatst. Aanleiding voor de VVD om Van Huffelen om opheldering te vragen. 

Van Huffelen vindt het naar eigen zeggen belangrijk dat overheidswebsites voldoen aan geldende wet- en regelgeving.  De staatssecretaris geeft aan dat ze zal kijken of er een "handreiking" moet komen over hoe de geldende regelgeving ook voor nieuwe websites goed is te implementeren.

VVD-Kamerlid Rajkowski had Van Huffelen ook gevraagd of ze het ermee eens is dat cookies van derden niet op overheidssites thuishoren. "Ik vind het belangrijk dat burgers veilig gebruik kunnen maken van de websites van de overheid, en dat hun privacy daarbij wordt verzekerd. Het plaatsen van trackingcookies door derden staat daarmee op gespannen voet", antwoordt ze daarop.

Alles bij de bron; Security

De privégegevens van bijna alle personeelsleden van de Hogeschool Utrecht zijn te vinden op het dark web door een hack. Daarnaast is ook een deel van de oud-medewerkers getroffen.

De hack vond onlangs plaats bij een Duits bedrijf dat toegangspassen levert aan de onderwijsinstelling . Het gaat om gegevens zoals namen, adressen en personeelsnummers. Om hoeveel mensen het precies gaat, wordt nog uitgezocht.

Niet alleen de HU is getroffen door de hack, ook de Tweede Kamer, Technische Universiteit Eindhoven, TNO en ProRail zijn getroffen. Hierdoor zijn ook de gegevens van Kamerleden gelekt, meldt het FD. Volgens de krant gaat het in totaal om bijna 40.000 slachtoffers.

Alles bij de bron; RTV-Utrecht

De Amerikaanse toezichthouder FTC heeft boekenbedrijf Chegg op de vingers getikt wegens een datalek waarbij de persoonlijke gegevens van veertig miljoen klanten op straat kwamen te liggen. Het ging onder andere om namen, e-mailadressen, met het zwakke MD5-algoritme gehashte wachtwoorden en voor sommige gebruikers ook informatie met betrekking tot onderwijsbeurzen, zoals geboortedata, informatie over het inkomen van de ouders, seksuele geaardheid en handicaps.

Chegg kreeg vanaf eind 2017 met meerdere datalekken te maken waardoor aanvallers toegang tot persoonlijke informatie kregen. Drie van de datalekken werden veroorzaakt door phishingaanvallen.

Het grootste datalek deed zich voor toen een voormalige contractor inloggegevens van Chegg gebruikte voor het downloaden van een database met de gegevens van veertig miljoen klanten. Een deel van de klantgegevens verscheen later op internet. Zo was het aanvallers gelukt om 25 miljoen wachtwoordhashes te kraken en het bijbehorende wachtwoord te achterhalen.

De FTC stelt dat Chegg geen gepaste beveiligingsmaatregelen heeft genomen om klantgegevens te beschermen. De Amerikaanse toezichthouder is van plan om Chegg geen boete op te leggen, maar gaat wel eisen aan het bedrijf stellen.

Alles bij de bron; Security

De Europese Commissie wil technologiebedrijven kunnen dwingen mee te kijken met de chats van hun gebruikers. Misschien wel de grootste bedreigingen voor vertrouwelijke communicatie op het internet op dit moment.

Centraal in het voorstel staat de oprichting van een nieuwe autoriteit, het EU-centrum. Die nieuwe instantie moet hun kantoorruimte gaan delen met Europol, de samenwerking tussen de politie in elk van de lidstaten. Dat is nodig, volgens de wetgever, voor "de betere mogelijkheden voor gegevensuitwisseling" en om er voor te zorgen dat "het personeel [...] meer loopbaanmogelijkheden [heeft] zonder van standplaats te hoeven veranderen." En natuurlijk regelt de wet dat de beide instanties "elkaar van een zo volledig mogelijke toegang tot relevante informatie en informatiesystemen [...]" voorzien.

In de praktijk zal de scheiding tussen de twee diensten dan ook niet meer dan een plantenbak zijn.

Dat EU-centrum heeft als taak meldingen van materiaal van mogelijk misbruik van kinderen te filteren. Die meldingen komen van platforms als WhatsApp of Signal. Om alle berichtjes te kunnen beoordelen, gebruiken die bedrijven kunstmatige intelligentie. 

Het EU-centrum moet vervolgens de meldingen van platformen "snel beoordelen en verwerken [...] om te bepalen of die meldingen kennelijk ongegrond zijn." Een afbeelding is alleen "kennelijk ongegrond" als er duidelijk geen sprake is van seksueel misbruik. Dat is heel duidelijk als op de foto twee bejaarden afgebeeld staan. Of als op de video een poesje water drinkt uit een bakje.

Maar op veel van de foto's zal wel iets van blote huid of genitaliën staan. En als niet meteen duidelijk is dat daarbij enkel volwassenen betrokken zijn, dan zou het kunnen dat het met jongeren is. En dan zou het kunnen dat er sprake is van misbruik. En dus is het niet meer "kennelijk ongegrond".

Als de melding naar inschatting van het EU-centrum niet "kennelijk ongegrond" is, moet er ook een kopie van die melding naar Europol. De melding wordt dan dus over de plantenbak gegooid. Europol krijgt daarmee de beschikking over een gigantische set aan intieme foto's, video's en chat's van met name jongeren. Dat zijn stuk voor stuk intieme foto's waar in veel gevallen helemaal niets mis mee is.

Wat Europol daarmee moet doen zegt het wetsvoorstel niet. Dat zal vast wel weer iets zijn als "analyseren" en "in samenhang brengen en verrijken met andere informatie." Het voorstel bepaalt niet hoe lang Europol die foto's mag bewaren. En dat terwijl veel van die intieme foto's, video's en chat's buiten het mandaat van Europol vallen. Dat is namelijk "ernstige internationale criminaliteit en terrorisme".

De enige manier om dat met zekerheid te bepalen, is door de context te kennen. Maar die heeft het EU-centrum niet. En dus is zo'n beetje elke melding van een foto met naakt en jonge mensen erop, en elk gesprek dat niet overduidelijk tussen volwassenen is, niet "kennelijk ongegrond". En dus mogelijk misbruik.

En in dat geval stuurt het centrum de foto door naar de politie van de relevante lidstaat. Is de gebruiker een Nederlandse gebruiker, dan wordt de melding dus doorgestuurd naar de Nederlandse politie. Die zal moeten onderzoeken of er écht sprake is van misbruik. De politie moet vervolgens op zoek naar de context: het verhaal achter de foto of het gesprek.

Kortom, als dit wetsvoorstel aangenomen wordt, zijn de gevolgen desastreus. Als je als jongere je seksualiteit onderzoekt, of gewoon een fijne relatie hebt, moet je de politie vrezen. Je kunt er immers niet langer op vertrouwen dat je meest intieme gesprekken alleen tussen jou en je partner blijven.

En voor politici die nu denken: "Goed punt, we moeten een bewaartermijn toevoegen," jij mist het punt. Om kinderen te beschermen is het helemaal niet nodig dat elke foto, video of chat die misschien wel op seksueel misbruik van jongeren zou kunnen wijzen, naar Europol moet.

Want wat was het doel ook al weer? Kinderen en jongeren beschermen toch? Dat kunnen we veel beter doen door de positie van slachtoffers te versterken, gebruikers eenvoudiger misstanden te laten melden, de capaciteit van de zedenpolitie te vergroten, en door ervoor te zorgen dat daders gestraft worden. Niet door mee te lezen met ieders vertrouwelijke communicatie, of door Europol te laten concurreren met Pornhub.

Alles bij de bron; Bits-of-Freedom

Wetenschappers van de KU Leuven zijn erin geslaagd om privacygevoelige locaties in de endpoint privacy zones van de Strava-app te achterhalen. Ze hebben dit voor elkaar gekregen door openbaar gedeelde gegevens te analyseren.

De onderzoekers hebben naar verluidt 1,4 miljoen activiteiten op het platform van Strava geanalyseerd. In 85 procent van de gevallen konden ze de verborgen locaties achterhalen die gebruikers verbergen via de zogenaamde endpoint privacy zones. Via deze endpoint privacy zones worden de eerste en laatste 200 meter van een afgelegde route automatisch verborgen voor andere gebruikers. Hierdoor zouden er geen privacygevoelige locaties, zoals het huisadres of een werkplek, worden gedeeld.

Maar aan de hand van metadata konden de onderzoekers deze privacygevoelige locaties wel achterhalen. De metadata omvat onder andere de afgelegde afstand van een Strava-gebruiker, de gevolgde route en de locatie waarop een Strava-gebruiker de endpoint privacy zone binnenkomt of buitengaat. In combinatie met een stratenplan kan deze gegevens volgens onderzoekers je vertrek- of aankomstpunt zelfs vrijgeven.

“De endpoint privacy zones geven een vals gevoel van veiligheid”, zegt Karel Dhondt, een van de onderzoekers van de KU Leuven, aan de VRT. "Gebruikers moeten zich ervan bewust zijn dat hun locatiegegevens nooit echt privé zijn", klinkt het.

Alles bij de bron; Tweakers

Google laat gebruikers voortaan verzoeken indienen voor het verwijderen van hun persoonsgegevens uit zoekresultaten. Een nieuwe tool vereenvoudigt dit proces aanzienlijk.

Gebruikers kunnen onder meer contact- en adresgegevens laten verwijderen, evenals telefoonnummers en e-mailadressen. Denk echter ook aan inloggegevens, bankgegevens en handtekeningen. Google kan besluiten de informatie op twee manieren te verwijderen: het volledig verwijderen van de content uit de zoekresultaten of het verwijderen hiervan bij zoekopdrachten die de naam van de aanvragen omvat. In een blogpost geeft Google meer informatie over de tool.

Alles bij de bron; Dutch-IT-Channel