Een kritieke kwetsbaarheid in de wachtwoordmanager Passwordstate maakt het mogelijk voor aanvallers om de wachtwoorden van gebruikers te stelen. Alleen het weten van een gebruikersnaam is voldoende, authenticatie of interactie van gebruikers is niet vereist. 

Het is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Organisaties moeten die op een eigen server installeren. Via de wachtwoordmanager kunnen medewerkers wachtwoorden opslaan en delen. 

Passwordstate biedt verschillende API's om met de wachtwoordenkluis te communiceren. Onderzoekers van Modzero ontdekten dat het mogelijk is voor een ongeauthenticeerde aanvaller om de authenticatie van de API te omzeilen. Alleen het weten van een gebruikersnaam is voldoende om opslagen wachtwoorden, one-time passwords, wachtwoordenlijsten en andere 'secrets' van de gebruiker op te vragen. "Vanwege de ontbrekende end-to-end encryptie van wachtwoorden, zijn wachtwoorden via deze aanval in cleartext te achterhalen", aldus de onderzoekers.

Click Studios, de ontwikkelaar van Passwordstate, heeft inmiddels een beveiligingsupdate uitgebracht.

Alles bij de bron; Security


Met nieuwe wetgeving wordt het mogelijk verdergaand toezicht te houden op burgers en hun handelen. Waar we in de jaren tachtig als de dood waren voor een ‘vijandige overheid’ is de instinctieve weerstand verdwenen. En dat is niet zonder risico, betoogt Bert Hubert.

Recent presenteerde het kabinet een nieuwe wet die volgens de Autoriteit Persoonsgegevens onder meer inhoudt dat alle banktransacties van alle Nederlandse rekeninghouders zullen worden gemonitord in één gecentraliseerde database, met gebruik van algoritmen. 

Ook is er een ‘tijdelijke’ cyberwet in de maak waarmee de algemene en militaire inlichtingendiensten AIVD en MIVD met veel minder streng toezicht grote (telefoon)kabels integraal mogen afluisteren en door computers en buitenlandse inlichtingendiensten laten analyseren voor ‘target finding’.

Oude normen voor privacy lijken geheel verdwenen. In de jaren tachtig zou niemand het in zijn hoofd hebben gehaald met dit soort voorstellen te komen....

...Het verzet tegen het sofinummer in de jaren tachtig zal zeker zijn gesteund door de toen nog levende herinnering aan een vijandige overheid, en hoe die gebruik maakte van persoonsgegevens. Niet voor niets pleegde het verzet op 27 maart 1943 een aanslag op het bevolkingsregister in Amsterdam – de daarin aanwezige gegevens werden effectief gebruikt om de bevolking te onderdrukken of te deporteren.

Inmiddels is onze overheid al bijna tachtig jaar geen vijandige mogendheid meer en hebben we persoonlijk weinig herinnering meer aan negatieve gevolgen van een overheid die te veel van ons weet.

Of misschien toch wel? Met algoritmen en computers veroorzaakte de Belastingdienst de toeslagenaffaire. Zonder grote databestanden zou dit waarschijnlijk niet zo snel zijn gebeurd: duistere algoritmen kunnen hun werk niet doen zonder stapels digitale input....

....Nu we geen sterke instinctieve afkeer meer hebben van de datahonger van de overheid kan een gedegen en feitelijke analyse ons weer helpen te komen tot een juiste balans tussen privacy en veiligheid.

Alles bij de bron; Volkskrant


De politie krijgt een boete van 50.000 euro van de Autoriteit Persoonsgegevens (AP). Volgens de toezichthouder zijn tijdens de coronapandemie camera-auto's ingezet in Rotterdam zonder dat eerst de privacy-risico's in kaart zijn gebracht. De auto's hebben gedetailleerde beelden van mensen verzameld en opgeslagen.

Ook werden er volgens de AP te veel beelden gemaakt die niet noodzakelijk waren.

De gemeente Rotterdam en de politie lieten in 2020 vijf weken lang auto's met 360 gradencamera's rondrijden om te controleren of mensen wel anderhalve meter afstand hielden.

Tot ver buiten de auto's zijn mensen herkenbaar in beeld gebracht. Die beelden werden bekeken in een meldkamer en opgeslagen en konden eventueel ook worden doorgestuurd naar andere politielocaties. Omdat de politie wettelijk verantwoordelijk is voor de beelden, ze worden gezien als politiegegevens, krijgt de politie de boete.

Alles bij de bron; NOS


Het kabinet heeft op algoritmes.overheid.nl de eerste versie van een publiek register gelanceerd waarin algoritmes zijn te vinden die door overheden worden toegepast. Volgens staatssecretaris Van Huffelen schiet de transparantie over de inzet van algoritmes door de overheid nog vaak tekort. Iets dat het register zou moeten veranderen.

"Burgers moeten erop kunnen vertrouwen dat algoritmes voldoen aan publieke waarden en de daarvan afgeleide (wettelijke) normen en dat uitgelegd wordt hoe ze werken. Op basis daarvan kunnen burgers de overheid desgewenst kritisch volgen en bevragen of zij zich aan de regels houdt", aldus de staatssecretaris.

Volgens Van Huffelen gaat het hier om een eerste versie en is verdere doorontwikkeling "beslist nodig". Het komend jaar zal in overleg met overheden gewerkt worden aan een eenduidige registratie van algoritmes in het register.

In de huidige versie van het register zijn de gegevens handmatig ingevoerd. Het plan is om de informatie automatisch op te halen uit decentrale algoritmeregisters. Deelname aan het algoritmeregister is niet verplicht voor overheden, maar hier wordt wel naar gekeken.

Alles bij de bron; Security


 

Zonder dat het kabinet tegengas geeft, raakt Nederland steeds afhankelijker van Amerikaanse techbedrijven. Dat is gevaarlijk, betogen Quirine van Eeden en Stefan Roolvink, onderzoekers bij het Rathenau Instituut....

...Hoe invloedrijk is Twitter eigenlijk in Nederland? Slechts 20 procent van alle Nederlanders zit op Twitter. Maar het bereik is groter, aangezien nieuwsmedia vaak naar Twitter verwijzen. Al blijft het de vraag of Twitter echt zo cruciaal is voor het publieke debat.

Toch werpt de abrupte koers­wijziging bij Twitter vragen op over onze afhankelijkheid van andere grote technologiebedrijven. Twitter mag dan geen cruciaal platform zijn voor ons publieke debat, andere Amerikaanse techbedrijven zoals Google, Amazon en Meta hebben wél cruciale invloed. Onze overheden, maatschappelijke organisaties, universiteiten en bedrijven hebben de diensten van deze bedrijven ­namelijk nodig voor het uitvoeren van hun taken. Wat zou een plot­selinge radicale koerswijziging bij deze grotere platformen betekenen?

Een voorbeeld van een belangrijke digitale infrastructuur zijn de servers voor dataopslag, oftewel ‘clouddiensten’. Het kabinet heeft dit najaar een nieuwe ‘cloudstrategie’ gepubliceerd. Hiermee zet het de deur open voor grootschalige opslag van data op servers van Amerikaanse techbedrijven, zoals Amazon en ­Microsoft.

Allerlei risicomaatregelen ten spijt, de data van overheidsinstanties liggen straks opgeslagen bij (grotendeels Amerikaanse) technologiebedrijven. De verdienmodellen van aanbieders van clouddiensten zorgen er bovendien voor dat het moeilijk is om over te stappen naar een alternatieve aanbieder...

...Wat nou als Jeff Bezos van Amazon het opeens op z’n heupen krijgt en besluit de banden met Poetin aan te halen? Of als Microsoft in Chinese handen valt? Hebben we dan een alternatief? Het is nu moeilijk te voorspellen wat het kan betekenen als de data van Nederlandse overheidsdiensten en inwoners in verkeerde handen vallen, maar het verleden leert dat het beïnvloeden van verkiezingen of het aanzetten tot polarisatie tot de mogelijkheden behoort.

De impact van Elon Musks Twitterovername geeft ons een voorproefje van de risico’s van machtsconcentratie in een onvoorspelbare wereld. Het gaat niet alleen over sociale media en clouddiensten, maar ook over zoekmachines, betaaldiensten, internetkabels. Laten we de ­risico’s onder ogen zien en een plan maken om onze soevereiniteit en autonomie te beschermen.

Alles bij de bron; Rathenau


Het kabinet verwaarloost Europese grondrechten op het gebied van privacy. In nieuwe wetsvoorstellen zijn de artikelen over gegevensbescherming te vaak algemeen en vaag geformuleerd, waardoor de overheid zichzelf te veel vrijheid geeft om naar eigen inzicht gevoelige persoonsgegevens van burgers te verwerken, onderling te delen en voor andere doeleinden te gebruiken.

Dat zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP). De privacywaakhond ziet alle concept-wetsvoorstellen voorbijkomen waarin persoonsgegevens een rol spelen. De AP toetst die voordat ze naar de Raad van State en vervolgens de Tweede Kamer gaan....

....Een jaar geleden adviseerde de AP de Eerste Kamer om de Wet gegevensverwerking door samenwerkingsverbanden (WGS) niet aan te nemen, omdat die tot „massasurveillance” kon leiden. Via deze wet zouden politie, OM, zorginstanties en banken zeer gevoelige informatie over burgers kunnen uitwisselen, zonder dat er sprake hoefde te zijn van een onregelmatigheid.

Onschuldige burgers zouden zo op ‘zwarte lijsten’ terecht kunnen komen, vreesde de AP, zoals ook gebeurde in de Toeslagenaffaire bij de Belastingdienst. Dit wetsvoorstel ligt nog steeds in de Eerste Kamer....

...Soms formuleren ambtenaren de passages over privacy in wetten bewust vaag, denkt Wolfsen. Zodat ze de uitvoerende ambtenaren niet te veel beperken in hun werk, bijvoorbeeld bij het bestrijden van criminaliteit, fraude en misstanden. „Hier zit een nobel motief achter”, zegt Wolfsen, maar het mag niet. „En je moet het ook niet willen.”

De AP zal wetsvoorstellen vanaf volgend jaar nog strenger controleren, en harder optreden als een gegevensuitwisseling niet mag. In dat geval zal de AP de uitwisseling van informatie „stilleggen”, zegt Wolfsen, wat erop neerkomt dat er tijdelijk helemaal geen persoonsgegevens uitgewisseld mogen worden. 

Alles bij de bron; NRC


 

De Vrije Universiteit in Amsterdam heeft een datalek gemeld, nadat een laptop van de universiteit is gestolen. Op de ontvreemde computer stonden persoonsgegevens van (oud-)studenten. De universiteit heeft melding gedaan van het datalek bij de Autoriteit Persoonsgegevens.

Op zijn website en via een mail aan alumni maakt de VU bekend dat er op 25 november dit jaar twee laptops zijn gestolen van de campus in Amsterdam. Op een van de laptops stonden persoonsgegevens van studenten, waaronder kopieën van paspoorten en verblijfsvergunningen. 

De eerste groep die mogelijk is getroffen, zijn studenten die zich tussen 2003 en 2008 hebben ingeschreven voor een doctoraal-, bachelor- of masteropleiding. Ook studenten die zich hebben proberen in te schrijven zijn mogelijk getroffen. Het gaat om zowel Nederlandse als internationale studenten. Naast een kopie paspoort of verblijfsvergunning is van deze studenten mogelijk ook een cijferlijst, informatie over betalingsachterstand of een bezwaar gelekt.

De tweede groep waarvan data op de laptops staat, zijn internationale studenten die zich tussen 2008 en 2015 hebben ingeschreven voor een studie. Van deze studenten zijn mogelijk ook identiteitsbewijzen en correspondentie zoals bezwaarschriften gelekt.

De derde groep bestaat uit studenten die tussen 2008 en 2019 een bijvak volgden aan de VU of een vooropleiding hadden met een of meer ontbrekende vakken. Van deze studenten zijn mogelijk behaalde certificaten gelekt.

Alles bij de bron; Tweakers


De coalitie van maatschappelijke organisaties die eerder succesvol actie voerde tegen het risicoprofileringssysteem SyRI beginnen opnieuw een rechtszaak tegen de overheid wegens het profileren van burgers. Het gaat om FNV, Platform Burgerrechten, Privacy First en Stichting KDVP, ook wel de SyRI-coalitie genoemd. De organisaties wisten in 2020 via een rechtszaak het risicoprofileringssysteem SyRI (Systeem Risico Indicatie) onrechtmatig te laten verklaren.

Volgens de organisaties blijkt uit onderzoek van Argos en Lighthouse Reports dat de overheid het profileren na de SyRI-uitspraak gewoon blijft inzetten om socialezekerheidsfraude op te sporen in wijken met veel uitkeringen....

....FNV-vicevoorzitter Kitty Jong: "Op dit moment wordt in de politiek gesproken over hoe het regime voor uitkeringsgerechtigden te verzachten, en uit te gaan van de menselijke maat. Door wat nu naar boven komt, blijkt eens te meer dat gemeentelijke beleidsvrijheid tot rechtsongelijkheid kan leiden die in tegenspraak is met wat minister Schouten van Armoedebeleid, Participatie en Pensioenen bepleit."

Alles bij de bron; Security


Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!

 

WeHebbenHetGeweten

SteunVrijbit

PTBanner  

PrivacyGuides

BvV

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

STT Logo

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen