MSI heeft vorig jaar de persoonlijke gegevens van 250.000 klanten gelekt. Het gaat om namen, telefoonnummers, e-mailadressen, adresgegevens en garantieclaims. De computerfabrikant besloot geen datalekmelding te versturen omdat er geen identiteitsnummers zoals social-securitynummers en rijbewijsnummers zijn buitgemaakt, zo liet het weten.
Een aantal maanden geleden werd bekend dat een server van MSI met garantieclaims van klanten voor iedereen op internet zonder enige authenticatie toegankelijk was. De claims gingen terug tot 2017 en waren eenvoudig via Google te vinden.
De 250.000 gelekte e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De gelekte e-mailadressen zijn toegevoegd aan Have I Been Pwned. 84 procent was al via een ander datalek bekend.
Alles bij de bron; Security
Deze week besprak de gemeenteraad van Ede een voorstel van het college om de regels rondom de Basisregistratie Personen (BRP) te wijzigen.
Dit klinkt misschien als een technisch onderwerp, maar het raakt iedereen. Wat wil het college precies? Hoe is het nu geregeld? En vooral: wat zijn de zorgen? De Edese Vos legt het uit.
Het college stelt voor om de verordening voor de BRP te actualiseren. Dit betekent onder andere:
Meer flexibiliteit in het delen van gegevens met zogenoemde derden, zoals woningcorporaties of bewindvoerders.
De verantwoordelijkheid om te bepalen welke gegevens worden gedeeld, wordt grotendeels bij het college gelegd in plaats van expliciet in de verordening vastgelegd.
Volgens het college is dit nodig om efficiënter te kunnen werken en om beter aan te sluiten bij landelijke richtlijnen.
De BRP bevat gegevens van alle inwoners, zoals adres, burgerlijke staat en nationaliteit. Deze informatie wordt gebruikt door de gemeente, maar ook gedeeld met andere partijen. Dit is wel strikt gereguleerd.
Wat zijn de zorgen?
1. Democratische controle: Door het college de bevoegdheid te geven om zelf te bepalen welke derden toegang krijgen tot de BRP, wordt de rol van de gemeenteraad beperkt. Dit kan leiden tot minder toezicht op hoe en met wie gegevens worden gedeeld.
2. Transparantie voor inwoners: Veel inwoners weten niet met wie hun gegevens worden gedeeld. Hoewel er jaarlijks een zelfevaluatie wordt uitgevoerd, zijn de resultaten niet publiekelijk beschikbaar op een toegankelijke manier.
3. Privacyrisico’s: Hoewel de regels voor geheimhouding streng zijn, blijft er een risico dat gegevens onbedoeld in verkeerde handen vallen, vooral als de lijst van ‘derden’ wordt uitgebreid zonder dat dit duidelijk wordt gecommuniceerd.
Om de zorgen te verminderen, zou de gemeenteraad de volgende verbeteringen kunnen voorstellen:
1. Meer transparantie richting inwoners
Publiceer jaarlijks een overzicht van wie toegang heeft gekregen tot de BRP-gegevens en waarom.
Geef inwoners proactief informatie over hun recht op geheimhouding en inzage.
2. Versterking van de rol van de gemeenteraad
Zorg dat de raad periodiek wordt geïnformeerd over verstrekkingen en actiepunten uit de zelfevaluatie.
Overweeg een hybride model waarin het college binnen duidelijke kaders van de raad kan opereren.
3. Striktere definities
Concretiseer wat ‘gewichtig maatschappelijk belang’ betekent om interpretatieverschillen en willekeur te voorkomen.
Wil je weten hoe jouw gegevens worden gebruikt? Of geheimhouding aanvragen? Dat kan eenvoudig via de website van de gemeente of aan de balie.
Alles bij de bron; Edese Vos
noyb dient klachten in tegen TikTok, AliExpress, SHEIN, Temu, WeChat en Xiaomi vanwege illegale dataoverdracht naar China. Vier van de partijen geven openlijk aan Europese gebruikersgegevens naar China te sturen, terwijl twee bedrijven stellen gegevens overdragen naar niet-gespecificeerde "derde landen," vermoedelijk ook China.
In principe is dataoverdracht buiten de EU verboden, tenzij bedrijven voldoen aan strikte voorwaarden zoals het gebruik van Standaard Contractuele Clausules (SCC's). Hierbij moeten bedrijven aantonen dat gegevens veilig zijn in het land van bestemming en dat SCC’s niet conflicteren met nationale wetten.
In het geval van China is dit niet mogelijk vanwege het ontbreken van duidelijke wettelijke grenzen voor toegang door de autoriteiten, stelt nyob. Volgens de privacyorganisatie is het daarom duidelijk dat dataoverdracht naar China onrechtmatig is en onmiddellijk moet stoppen.
noyb dient zes klachten in in vijf Europese landen en verzoekt de autoriteiten onmiddellijk de dataoverdracht naar China te stoppen. Ook roept noyb op tot boetes.
Alles bij de bron; Dutch-IT-Channel
De configuratiebestanden, IP-adressen en vpn-inloggegevens van ruim 15.000 FortiGate-apparaten zijn op het darkweb gelekt. De data werd gelekt door de Belsen Group, een nieuwe hackersgroep en wordt gratis weggegeven.
Het gaat om gebruikersnamen, wachtwoorden – waarvan een deel in plaintext beschikbaar is – digitale certificaten voor apparaatbeheer en alle firewallregels. De gestolen data komt van apparaten uit 145 verschillende landen. Het merendeel, van 1603 configuraties, komt uit Mexico. Verder zijn gegevens van 679 Amerikaanse FortiGate-apparaten gestolen en 208 uit Duitsland. Of en hoeveel Nederlandse en Belgische apparaten getroffen zijn, is onbekend.
Heise en beveiligingsonderzoeker Kevin Beaumont analyseerden de data en stellen dat gegevens in oktober 2022 zijn verzameld. Waarschijnlijk gebeurde dat door misbruik van de kwetsbaarheid CVE-2022-40684, die destijds werd ontdekt en door FortiGate-maker Fortinet werd gedicht. Het lek zat in de FortiOS-firmware van 7.0.0 tot en met 7.0.6 en van 7.2.0 tot en met 7.2.2.
Beaumont benadrukt dat het datalek wel om actie vraagt. "Zelfs als je de patch in 2022 hebt geïnstalleerd, bestaat de mogelijkheid dat je systeem toch gecompromitteerd is, aangezien de configuraties jaren geleden zijn gelekt en nu pas zijn vrijgegeven. Het is waarschijnlijk verstandig om uit te zoeken wanneer je deze kwetsbaarheid precies hebt gepatcht.
Fortinet waarschuwde deze week ook voor een actief misbruikte zeroday in zijn FortiGate-firewalls. Deze lijkt echter niet gerelateerd aan het datalek van de Belsen Group, maar een losstaand probleem te zijn.
Alles bij de bron; Tweakers
Een baas die je e-mail leest, een werkgever die precies weet wanneer je naar het toilet gaat en camera’s die over je schouder meekijken. Dat is geen big brother, maar realiteit. Uit onderzoek blijkt dat bedrijven hun werknemers steeds vaker in de gaten houden.
Uit onderzoek van vakbond CNV, dat onder ruim 2100 leden werd gehouden, blijkt dat één op de vijf medewerkers in de gaten wordt gehouden op de werkvloer. “Het is wel een beetje big brother, hè?” zegt vakbondsvoorzitter Piet Fortuin. “Camera’s die over je schouder meekijken, systemen in je computer, een black box in je auto. Er wordt steeds meer controle gehouden over wat werknemers doen.”
Vooral bij distributie- en callcentermedewerkers is het vaak raak. Tot op de seconde wordt geregistreerd waar ze mee bezig zijn. “Pakketbezorgers zijn ook een goed voorbeeld. Die moeten continu rapporteren waar ze zijn, wat ze hebben afgeleverd en hoe ver ze op de route zijn,” zegt Fortuin.
Wil je als bedrijf je werknemers volgen? Dan heb je zwaarwegende motivatie nodig, zegt Vincent Böhre, jurist en directeur van stichting Privacy First. “Bijvoorbeeld als je vermoedt dat er strafbare feiten worden gepleegd. Denk aan fraude en diefstal. Alleen als je een concrete verdenking hebt, mag je bepaalde werknemers monitoren. Zeker niet allemaal tegelijk.”
Achterhalen of je baas je volgt, is lastig. Het meeste gebeurt in de computer. “Op afstand kunnen werkgevers toetsaanslagen monitoren, zien hoe mensen scrollen, wat ze allemaal bekijken,” zegt Böhre. “Maar als werknemer heb je dat niet zomaar door.”
Wie toch het vermoeden heeft dat hij of zij wordt gemonitord, kan naar de ondernemingsraad (OR) stappen. De OR moet altijd op de hoogte zijn van een dergelijke monitoring. Vaak genoeg vergeten bedrijven die toestemming te vragen. Dat is in strijd met de wet. Andere opties zijn de vakbond en Autoriteit Persoonsgegevens.
Böhre: “En als je echt denkt dat je onrechtmatig wordt gevolgd, neem dan contact op met rechtsbijstand.”
Alles bij de bron; Parool
Locatiegegevens van gebruikers die zijn vergaard door ruim honderd Nederlandse apps, worden online te koop aangeboden, zo claimt BNR.
Het gaat om locatiegegevens die volgens BNR en internationale partnermedia van het platform door een malafide datahandelaar, Datastream Group, intussen als Datasys bekend, worden aangeboden. Een andere partij, Datarade uit Berlijn, zou het contact tussen de databroker en de journalisten hebben gefaciliteerd.
Onder meer locatiegegevens vergaard door Buienalarm en games van de Nederlandse ontwikkelaars My.games, GameHouse en Sparkling Society zouden via de datahandelaars te koop zijn aangeboden. Er zouden 'miljoenen Nederlanders' door deze praktijken getroffen zijn.
Het verschilt per appaanbieder welke locatiegegevens van gebruikers er worden opgeslagen. Soms gaat het om zeer exacte coördinaten, zo legt BNR uit, maar in andere gevallen om minder nauwkeurige locaties gebaseerd op IP-adressen. Het verzamelen van deze gegevens zonder nadrukkelijke toestemming van de gebruiker is volgens de Stichting Data Bescherming Nederland hoe dan ook illegaal.
Alles bij de bron; Tweakers
Een datalek bij telecomprovider Telefonica is veroorzaakt doordat medewerkers met malware besmet raakten, zo stelt securitybedrijf Hudson Rock.
Het bedrijf stelt dat er nieuwe informatie is verschenen waaruit blijkt dat het datalek veroorzaakt is door een combinatie van infostealer-malware en social engineering. Het securitybedrijf sprak naar eigen zeggen met de aanvaller die claimde dat meer dan vijftien Telefonica-medewerkers met infostealer-malware zijn geïnfecteerd. Dit soort malware steelt allerlei inloggegevens van besmette systemen.
De aanvaller zou als eerste via een Atlassian Jira-systeem zijn binnengekomen. Nadat de aanvaller toegang had gekregen werd social engineering gebruikt om verdere toegang te krijgen. Zo werden twee medewerkers met adminrechten misleid om te laten weten wat de juiste SSH-server was, waar vervolgens een bruteforce-aanval op werd uitgevoerd.
Volgens Hudson Rock zijn vorig jaar 531 Telefonica-medewerkers met infostealer-malware besmet geraakt. Telefonica heeft bevestigd dat er een inbraak op het interne ticketsysteem heeft plaatsgevonden, maar heeft nog geen verdere informatie over de oorzaak of omvang van de aanval gegeven. Telefonica heeft verschillende dochterondernemingen, waaronder Virgin Media O2, O2 Germany, Vivo en Telxius.
Alles bij de bron; Security
Datalekzoekmachine Have I Been Pwned heeft een dataset ontvangen met 167 miljoen unieke wachtwoorden die afkomstig zijn van computers besmet met infostealer-malware. Dit soort malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen.
De dataset bestaat uit honderden tekstbestanden die bij elkaar meer dan honderd gigabyte groot zijn. Het gaat om 167 miljoen unieke wachtwoorden en 71 miljoen e-mailadressen van gecompromitteerde accounts.
Van de 167 miljoen unieke wachtwoorden bleken er al 61 miljoen in de Pwned Passwords-lijst voor te komen. De overige 106 miljoen zijn nu aan de lijst toegevoegd.
Alles bij de bron; Security