De Fraudehelpdesk heeft vorig jaar meer meldingen van fraude via Booking.com ontvangen dan het jaar daarvoor. Ook het schadebedrag nam vorig jaar toe zo laat de Fraudehelpdesk weten.
Slachtoffers ontvangen via Booking.com berichten die afkomstig zijn van de gecompromitteerde accounts van hotels en andere verblijven.
Aanvallers weten eerst de de systemen van hotels met malware te infecteren en kunnen zo de inloggegevens voor het account op Booking.com stelen. Vervolgens sturen de aanvallers naar gasten die bij het betreffende hotel hebben geregistreerd een phishingbericht dat de gegevens opnieuw bevestigd moeten worden. De meegestuurde link is een phishingsite die om creditcardgegevens en andere informatie vraagt.
Een woordvoerder van Booking.com zegt dat klanten alert moeten zijn op ongewone verzoeken. "Als een nieuwe accommodatie op ons platform een verzoek lijkt te doen om een reservering te bevestigen of een betaling buiten Booking.com uit te voeren, raden we klanten ten zeerste aan geen persoonlijke of financiële gegevens te verstrekken. Klanten moeten in deze situaties onmiddellijk contact opnemen met onze klantenservice, die 24/7 beschikbaar is om verdere ondersteuning te bieden en passende actie te ondernemen."
Alles bij de bron; Security
De gemeente Amsterdam stopt vanwege privacyrisico's een pilot met Microsofts chatbot Copilot, zo laat de Vereniging van Nederlandse Gemeenten (VNG) weten.
Copilot kan bij het doorzoeken of samenvatten van documenten en e-mails allerlei gegevens verwerken. Deze gegevensverwerking moet aan wet- en regelgeving voldoen, bijvoorbeeld op het gebied van privacy, aldus de VNG. SLM Rijk (Strategisch Leveranciersmanagement Microsoft) voerde onlangs een Data Protection Impact Assessment (DPIA) naar Microsoft Copilot uit. Bij een DPIA worden de privacyrisico's van bepaalde projecten of toepassingen in kaart gebracht en oplossingen aangedragen om die te verhelpen.
De privacytoets van SLM Rijk toonde een aantal risico's aan die vooral te maken hebben met een gebrek aan transparantie. "De geïdentificeerde risico’s maken dat deze technologie op dit moment niet veilig en juridisch verantwoord binnen onze organisatie kan worden toegepast. Daarom hebben we besloten onze pilot met Microsoft Copilot stop te zetten en de technologie voorlopig niet te implementeren."
Alles bij de bron; Security
Aldi sluit morgen een kassaloze winkel die het ruim twee jaar geleden in het centrum van Utrecht opende. De winkel maakte gebruik van honderden camera’s in het plafond en sensoren in de schappen om zo boodschappen van klanten te detecteren. Om bij de testwinkel boodschappen te kunnen doen moesten klanten eerst de ALDI Shop & Go-app installeren.
Boodschappen konden tijdens het winkelen direct de tas in en de klant hoefde ook niet meer naar de kassa of de producten bij de zelfscan te scannen. De app zorgde ervoor dat de producten direct bij het verlaten van de winkel automatisch werden afgerekend met de aan de app gekoppelde creditcard. Later konden klanten ook via Apple Pay en Google Pay te laten betalen, gevolgd door het betalen met een normale betaalpas, maar dat zorgde niet voor voldoende klanten.
Het systeem dat ALDI gebruikte is ontwikkeld door Trigo Vision en maakt gebruik van "intelligente camera’s" en sensoren in de schappen. De supermarktketen stelde dat alleen de bewegingen die de klant en het artikel maken worden gevolgd.
Alles bij de bron; Security
Criminelen zijn erin geslaagd om door middel van infostealer-malware bijna een half miljard wachtwoorden te stelen. De e-mailadressen van de betreffende accounts zijn met datalekzoekmachine Have I Been Pwned [HIBP] gedeeld.
Infostealer-malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen. Aanvallers beschikken vaak over logbestanden met grote hoeveelheden gecompromitteerde accounts.
Begin deze maand ontving HIBP een dataset van anderhalve gigabyte, met daarin 23 miljard logregels afkomstig van infostealer-malware. In totaal bleek het om 493 miljoen unieke paren van websites, e-mailadressen en bijbehorende wachtwoorden te gaan. Het ging in totaal om 284 miljoen unieke e-mailadressen. Sommige e-mailadressen werden voor meerdere websites gebruikt.
Infostealer-malware steelt gebruikersnamen en wachtwoorden voor elke website waarop een slachtoffer vanaf een besmette computer inlogt. Zodoende zijn er meer combinaties van websites en e-mailadressen dan unieke e-mailadressen. De 284 miljoen e-mailadressen zijn toegevoegd aan HIBP. Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomt. 69 procent van de e-mailadressen was al via een ander datalek bekend.
Alles bij de bron; Security
Gevoelige medische gegevens van patiënten van een Australische ivf-kliniek zijn op internet gepubliceerd, nadat ze eerder door aanvallers waren gestolen. Het getroffen bedrijf is een grote ivf-kliniek in Australië met 21 klinieken en tienduizenden patiënten. Volgens het bedrijf hebben de aanvallers 940 gigabyte aan data buitgemaakt. Het zou onder andere om kopieën van identiteitsbewijzen en gevoelige medische gegevens gaan.
Eerder werd gesproken van een 'cyberincident' zonder details over de aard en omvang.
De aanval is opgeëist door de criminelen achter de Termite-ransomware, die de ivf-aanbieder op hun eigen website hebben genoemd. De aanvallers claimen zo'n 700 gigabyte in handen te hebben, waaronder ook 'vertrouwelijke, persoonlijke' data van patiënten. Een deel van de data die zou zijn buitgemaakt is op de website van de ransomwaregroep gepubliceerd.
Alles bij de bron; Security
Signal-ceo Meredith Whittaker zegt dat de dienst Zweden zal verlaten als een wetsvoorstel wordt aangenomen dat de chatdienst verplicht een backdoor toe te voegen. Het wetsvoorstel verplicht partijen zoals Signal en WhatsApp om alle berichten van gebruikers op te slaan en de autoriteiten hier toegang toe te geven.
De Signal-ceo herhaalt dat er geen backdoors bestaan waar alleen 'the good guys' gebruik van kunnen maken. Ook de Zweedse strijdkrachten zijn tegen het plan, aangezien het volgens hen kwetsbaarheden introduceert waar derde partijen misbruik van kunnen maken.
Whittaker haalde vorig jaar nog uit naar de Zweedse politie, dat ouders adviseerde om te controleren of hun kinderen geen versleutelde apps zoals Signal gebruiken. Signal zou volgens de autoriteiten op grote schaal door criminelen worden gebruikt. "Nog steeds geschrokken hoe politie ronduit liegt om het mensenrecht op privacy te ondermijnen", aldus Whittaker.
Alles bij de bron; Security
Dit jaar gaat de nieuwe Energiewet in. Daarin is onder meer geregeld dat elektriciteitsmeters met een analoog telwerk, met de kenmerkende draaischijf, in de komende drie jaar moeten plaatsmaken voor modernere apparatuur.
Sommige mensen maken zich zorgen over hun privacy, zo blijkt uit reacties op sociale media, nadat het Reformatorisch Dagblad vorige maand schreef over de verplichte vervanging van de meter.
„Belangrijk is het onderscheid tussen een slimme meter en een digitale”, zegt dr. ing. Pol Van Aubel, die in 2023 promoveerde op de privacy bij het gebruik van deze apparatuur. „Burgers die liever zelf de meterstanden doorgeven aan de leverancier, kunnen het beste kiezen voor een digitale meter. Dat apparaat is niet op afstand uit te lezen.”
Slimme meters geven wel zelf de meterstanden door, behalve als klanten bij de netbeheerder aangeven dat het automatisch ophalen van de data uit moet staan. Van Aubel: „Netbeheerders mogen de meter dan uitsluitend op afstand benaderen voor beheer of onderhoud. Of om te kijken of er sprake is van overbelasting op het stroomnet en waar zich bijvoorbeeld stroomstoringen voordoen, zodat die snel kunnen worden opgelost.”
„Van huishoudens die de apparatuur gewoon in de meterkast laten ophangen en verder niets doen, leest de netbeheerder eens per maand de meterstanden uit voor de energieleverancier. Verder vraagt de netbeheerder uitsluitend gegevens op als een klant overstapt naar een andere energieleverancier of verhuist.”
Spannender wordt het als mensen hun energiemaatschappij toestemming hebben gegeven voor het uitlezen van de meterstanden. „Zij lokken klanten met gedetailleerde verbruiksoverzichten die meestal een dag later via de app zijn in te zien. Naar mijn ervaring vermelden ze er zelden expliciet bij dat de klant hun toestemming geeft de meterstanden per kwartier of soms zelfs per vijf minuten af te lezen.”
Sommige huishoudens kiezen er liever voor een eigen zogeheten WiFi P1-meter aan de slimme meter te hangen. Op die manier is op een smartphone of pc hun verbruik vrijwel live af te lezen. Daar zit een addertje onder het gras, waarschuwt Van Aubel. „Al die livedata worden direct geüpload naar de server van de dienstverlener, tenzij de aanbieder garandeert dat de gegevens uitsluitend lokaal worden opgeslagen. Bij het uploaden van de data van de P1-meter moet je altijd goed checken welke partijen daarover kunnen beschikken en hoe veilig je gegevens zijn.”
Dan is er nog het gerucht dat slimme meters zo gemaakt zijn dat burgers op afstand kunnen worden afgesloten van elektriciteit. Theo Scholte stelt namens de Nederlandse netbeheerders gerust „En nee”, verzekert hij, „ook op afstand via de slimme meter is afsluiting onmogelijk.”
Niemand heeft toegang tot de gegevens van de slimme meters, tenzij de klant daarvoor uitdrukkelijke toestemming heeft gegeven. Dit is geregeld in de Algemene Verordening Gegevensbescherming (AVG), de Gedragscode Slim Netbeheer en in de Privacy- en Securityeisen van Netbeheer Nederland. Het is verboden om de standen voor andere doelen te gebruiken.
Alles bij de bron; ReformatorischDagblad
"Het klinkt technisch, maar metadata zijn dodelijk", zo stelt Signal-ceo Meredith Whittaker in een interview met De Telegraaf, waarin ze uithaalt naar het verzamelen van data door WhatsApp. "WhatsApp verzamelt metadata: wie je berichten stuurt, wanneer en hoe vaak. Dat is ongelooflijk gevoelige informatie", aldus Whittaker.
Ze laat aanvullend weten dat Signal geen metadata, geen gespreksgeschiedenis en geen locatiegegevens verzamelt. De chatdienst registreert echter wel bepaalde zaken van gebruikers, namelijk datum van registratie, de laatste keer dat er verbinding met Signal is gemaakt en (gehasht) telefoonnummer. Andere gegevens zoals profielnaam en met wie er wordt gecommuniceerd zegt Signal te versleutelen.
Volgens Whittaker is metadata niet onschuldig. Zoals een voormalig CIA-directeur ooit zei: ’We kill people based on metadata’. Het vertelt precies met wie je communiceert, op welk moment, hoe vaak, waar je bent. Je kunt daar zóveel uit afleiden.
WhatsApp kan die informatie aan Facebook koppelen, aan Instagram en aan betaalgegevens die ze zouden kunnen inkopen. Signal heeft al die data simpelweg niet."
Whittaker sprak onlangs ook met De Correspondent, waarin ze liet weten dat surveillance meer is dan alleen het verzamelen van data. "Het is een machtsrelatie. Surveillance betekent dat iemand met macht informatie over je kan verzamelen en daar iets mee kan doen op een manier die jou kan schaden." De gevolgen van een gebrek aan privacy kunnen zeer vergaand zijn, waarschuwde ze. "Als mensen niet in staat zijn om privé te praten, te denken of te communiceren, kunnen zij geen waardig en volwaardig leven leiden.
Grote platforms, waaronder WhatsApp, moeten sinds vorig jaar maart aan de Europese Digital Markets Act voldoen. Als onderdeel van de nieuwe wetgeving moeten grote chatdiensten interoperabel worden, zodat gebruikers berichten van de ene naar de andere berichtendienst kunnen sturen. "Signal wordt tot nu toe nergens toe verplicht. Maar als iemand met ons wil koppelen, moeten ze eerst voldoen aan onze privacy-standaarden. Wij gaan onze beveiliging in ieder geval nooit verlagen", zo laat ze weten.
Alles bij de bron; Security