Het verbieden van TikTok in de Verenigde Staten is in strijd met het grondwettelijk beschermde recht op de vrijheid van meningsuiting, zo stelt de Amerikaanse burgerrechtenbeweging EFF in een reactie op een beslissing van het Supreme Court. "Wij zijn teleurgesteld dat de rechtbank de inhoudelijke rechtvaardiging van de wet negeert, namelijk om de meningen die Amerikanen zien en met elkaar delen te controleren, en alleen op basis van onzekere privacyzorgen te oordelen."
Dat oordeelde gisteren dat de populaire app verboden mag worden, zoals de Amerikaanse regering via de Foreign Adversary Controlled Applications Act wil doen. De wet stelt dat moederbedrijf ByteDance TikTok moet verkopen, anders gaat de app aanstaande zondag op zwart in de VS.
Het Witte Huis heeft inmiddels aangegeven dat de volgende regering een beslissing over het implementeren van de wet moet nemen.
De burgerrechtenbeweging voegt toe dat vijanden van de VS eenvoudig op talloze andere manieren de gegevens van Amerikanen kunnen stelen, scrapen of kopen. "Het verbod of de gedwongen verkoop van één social media app doet nagenoeg niets om de dataprivacy van Amerikanen te beschermen. Alleen grondige privacywetgeving kan dat doel bereiken."
Alles bij de bron; Security
Een van de meest gestelde vragen bij de Spaanse stands op de Vakantiebeurs ging over de nieuwe registratiewet voor toeristen. Veel mensen maken zich zorgen over de hoeveelheid gegevens die sinds kort verplicht door hotels en reisgezelschappen moeten worden uitgevraagd. Deze bezorgdheid is voor sommigen zelfs reden om hun vakantieplannen naar Spanje te heroverwegen.
Op 1 december 2024 ging de nieuwe Spaanse registratiewet voor reizigers van kracht. Hotels, reisbureaus, verhuurmaatschappijen en campings moeten voortaan uitgebreide persoonlijke gegevens van toeristen registreren.
Volgens de wet moeten de volgende gegevens van toeristen geregistreerd worden:
Persoonlijke gegevens: naam, achternaam, geslacht, geboortedatum, nationaliteit, woonadres, telefoonnummer, e-mailadres, enz.
Documentgegevens: identificatienummer, type document (DNI, paspoort, TIE), documentnummer.
Reis- en transactiegegevens: incheckdatum, uitcheckdatum, gegevens van de accommodatie, betaalmethode [zoals IBAN of creditcardnummers] en meer.
Toeristen zetten vraagtekens bij de noodzaak van de registratiewet en sommigen overwegen om Spanje te mijden. Of de Spaanse overheid de wet zal herzien, is nog onzeker, maar de wet blijft voorlopig van kracht. De Spaanse reisverenigingen UNAV en Acave hebben al aangegeven de wet aan te vechten als deze niet wordt aangepast. Zij overwegen zelfs om naar de Europese Unie te stappen.
Alles bij de bron; InSpanje
Een klein dorp in Wales is de afgelopen tijd overspoeld door winkelend publiek en vrachtverkeer.
Volgens Google Maps was er namelijk een ALDI-supermarkt gevestigd. De locatie is waarschijnlijk bij wijze van grap op de kaart geplaatst. Zeker één vrachtwagen reed zich klem.
In werkelijkheid staat op de aangegeven locatie een boerderij.
Een gemeenteraadslid kan de grap wel waarderen, maar ziet ook de schaduwkanten. "Iedereen die dit gebied een beetje kent en van de smalle weggetjes weet, snapt dat we hier geen grote verkeersstromen aankunnen."
Een woordvoerder van Google laat weten dat de locatie van de ALDI-supermarkt is verwijderd. "Onze systemen zijn 24 uur per dag alert op verdachte handelingen, waaronder onjuiste aanpassingen van locaties." Het bedrijf roept mensen op om vergissingen en andere verdachte zaken altijd te melden.
Alles bij de bron; NU
ICS mocht een klant die met zijn creditcard geld naar een begunstigde overmaakte om gegevens over deze persoon en andere transacties vragen en deze informatie voor minimaal vijf jaar bewaren, ook al werd de transactie geannuleerd. Dat heeft het financiële klachteninstituut Kifid geoordeeld.
De klant deed vorig jaar via zijn creditcard een geldtransfer van zesduizend euro. Voor de transfer maakte de klant gebruik van een transactieplatform. Het geld werd van de creditcardrekening van de klant afgeschreven, waarna het gebruikte platform om gegevens over de transactie vroeg. De klant vond dat dit onderzoek teveel tijd in beslag zou nemen en annuleerde de transactie, waarna het geld op de creditcardrekening werd teruggestort.
Een aantal weken later nam ICS contact op met de klant en stelde vragen over geldtransfers die de klant de afgelopen jaren met zijn creditcard had uitgevoerd. ICS stelde ook vragen over de geldtransfer van zesduizend euro, namelijk over de bestemming van het geld en of de klant vaker geld zou overmaken naar de begunstigde.
Na het telefoongesprek heeft ICS de klant per e-mail gevraagd om het transactieoverzicht van het gebruikte platform te verstrekken, om zo de begunstigde van de zesduizend euro vast te stellen.
De klant stuurde het transactieoverzicht naar ICS. De klant maakte duidelijk dat de begunstigde het geld niet heeft ontvangen en wil dat de creditcardmaatschappij de gegevens van deze persoon verwijdert. De klant vroeg ICS wat het met de gegevens doet, maar kreeg alleen als antwoord dat de data minimaal vijf jaar wordt bewaard.
De klant kwam er met ICS niet uit en stapte naar het Kifid. Het klachteninstituut stelt dat ICS op basis van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) wettelijk verplicht is om klantenonderzoek uit te voeren als er een geldtransfer van tenminste duizend euro plaatsvindt. Volgens het Kifid was met de transactie van zesduizend euro een klantenonderzoek dan ook gerechtvaardigd.
Omdat ICS bij gebruik van een platform voor geldtransacties niet zelfstandig kan beoordelen wie de begunstigde is moest het de klant om deze gegevens vragen. "Ook nu de consument in het onderzoek naar voren gebracht heeft dat de geldtransfer van zesduizend euro niet doorgegaan is. ICS moet immers op grond van de Wwft een risicoprofiel opstellen van de consument en zijn transacties daarmee vergelijken", merkt het Kifid op.
Het klachteninstituut voegt toe dat het zich kan voorstellen dat het voor ICS van belang is om ook voor een geannuleerde geldtransfer te weten wat de beoogde bestemming was van de geldtransfer, omdat ICS aan haar wettelijke verplichtingen van de Wwft wil voldoen. Wat betreft de bewaarduur stelt dat de Wwft dat documenten en gegevens die voor het klantenonderzoek zijn gebruikt minimaal vijf jaar na het beëindigen van de relatie met de klant of vijf jaar na de transactie worden bewaard Het Kifid stelt dat de klacht van de klant ongegrond is en wijst zijn vordering af.
Alles bij de bron; Security
Bunq moet de drieduizend euro schade die een klant als gevolg van creditcardfraude leed vergoeden, zo heeft het financiële klachteninstituut Kifid geoordeeld.
De klant ontving vorig jaar april een phishing-sms waarin werd gesteld dat hij één euro moest betalen om een pakket te ontvangen. De klant verwachtte op dat moment meerdere pakketjes. De link in het sms-bericht wees naar een phishingpagina waar de klant zijn creditcardgegevens invulde. Daarna kwam de melding dat zijn creditcard was toegevoegd aan een Google Wallet. Vervolgens zijn er via de creditcard voor drieduizend euro aan transacties uitgevoerd.
Volgens bunq had de klant grof nalatig gehandeld en was dat de reden om de schade niet te vergoeden. De klant stapte vervolgens naar het Kifid. Het klachteninstituut stelt dat bunq onvoldoende heeft onderbouwd waarom de klant grof nalatig gehandeld zou hebben.
De klant maakte het volgens het Kifid duidelijk dat hij alleen de bedoeling had om een bedrag van één euro te betalen en daarvoor zijn creditcardgegevens invulde. "De bank heeft voorts niet gesteld of duidelijk gemaakt waarom de consument zijn creditcard daarbij op een manier heeft gebruikt die in strijd is met de voorwaarden van de bank", stelt het klachteninstituut verder.
Het klachteninstituut komt dan ook tot de conclusie dat niet vast is komen te staan dat de klant (veiligheids)verplichtingen, zoals opgenomen in de voorwaarden van de bank voor het gebruik van de creditcard (met grove nalatigheid) niet is nagekomen. Bunq moet daarom de schade van de klant als gevolg van de niet-toegestane transacties vergoeden.
Alles bij de bron; Security
In de haast de privacy van EU-burgers beter te beschermen en de macht van Amerikaanse ‘Big Tech’ in te perken, worden volgens experts ontwerpfouten gemaakt bij de ontwikkeling van de Europese digitale identiteit.
Denis Roio gaat de Europese digitale identiteit, die hij zelf heeft helpen ontwikkelen, niet gebruiken. De Italiaanse softwareontwikkelaar en ondernemer is zijn vertrouwen kwijt in het ambitieuze Europese project...
...In principe is Roio, zoals veel privacy-activisten en softwaredeskundigen, groot voorstander van een Europese digitale identiteit. „Het is bedoeld om ons te beschermen tegen de dataroof door Big Tech.” Hij is een overtuigd Europeaan.
Zoals meer experts neemt hij actief deel aan discussies over hoe het EU-ID gebouwd zou moeten worden.
Veel cryptografen, onder wie Roio, gaven feedback en hebben in grote lijnen dezelfde fundamentele bezwaren. De belangrijkste is dat de zogeheten cryptografische bescherming te zwak is.
Ook Jaap-Henk Hoepman, universitair hoofddocent aan de Radboud Universiteit en gespecialiseerd in online privacy, constateerde met een groep van vijftien gerenommeerde Europese collega’s dat de beoogde anonimiteit van gebruikers nu niet goed geregeld is. In de ogen van de cryptografen moet het EU-ID gebruik maken van wat ze zero knowledge cryptografie noemen, in plaats van de gekozen manier van versleutelen.
Anonieme identiteitsbewijzen met zero knowledge proof, die Hoepman en zijn collega’s het liefst ingevoerd zien worden, laten bij gebruik geen digitale sporen achter. Je kunt het wegwerpbewijzen noemen, voor eenmalig gebruik. „Een gokwebsite die mijn leeftijd moet controleren kan dan niet zien of ík het ben die honderd keer per dag komt gokken. Of dat het honderd verschillende mensen zijn die allemaal meerderjarig zijn”, geeft Hoepman als voorbeeld.
Een tweede zorg van Hoepman en zijn collega’s is dat er geen mechanisme wordt ingebouwd om te voorkomen dat gebruikers om overbodige informatie wordt gevraagd, die dat in de regel klakkeloos geven. Ook dat raakt de privacy. Als het EU-ID online privacy écht hoog in het vaandel heeft, worden consumenten automatisch beschermd tegen het delen van onnodig veel gegevens, betogen de cryptografen.
Er bestaan alternatieven voor het voorstel van de werkgroep van de Europese Commissie. Hoogleraar Bart Jacobs, een collega van Hoepman aan de Radboud Universiteit, ontwikkelde in Nederland ruim tien jaar geleden bijvoorbeeld al een app waarmee het mogelijk is in te loggen en alleen het hoogst noodzakelijke ‘bewijs’ te delen. Die app heette eerst IRMA en inmiddels Yivi. Zo’n honderdduizend Nederlanders hebben hem op hun telefoon. „Het kan dus wel degelijk”, zegt de hoogleraar, een pionier op dit terrein in Nederland. „Wij gebruiken het al tien jaar.” Hij noemt het „onbegrijpelijk” dat de EU daar niet ook voor kiest.
Alles bij de bron; NRC
Bij de ransomware-aanval op de Amerikaanse zorggigant Ascension Health zijn de gegevens van 5,6 miljoen mensen gestolen, zo heeft de organisatie aan de procureur-generaal van de Amerikaanse staat Maine laten weten. Het is daarmee één van de grootste datalekken van de afgelopen twee jaar in de Amerikaanse gezondheidszorg.
Ascension beheert honderdveertig ziekenhuizen in negentien Amerikaanse staten. Begin mei werd het netwerk van de organisatie getroffen door een ransomware-aanval.
Bij die aanval zijn ook "bepaalde bestanden" met persoonlijke informatie van patienten en medewerkers buitgemaakt. Het gaat om naam, adresgegevens, geboortedatum, medische informatie (laboratoriumuitslagen, behandelcodes, behandeldatum en medisch dossiernummer). betaalinformatie (creditcardgegevens of bankrekeningnummer), verzekeringsinformatie en overheidsidentificatie (social-securitynummer, belastingidentificatienummer, rijbewijsnummer of paspoortnummer).
Alles bij de bron; Security
Het besluit van Biden is de eerste concrete reactie op de recente Chinese cyberaanval, die begin oktober aan het licht kwam.
China Telecom is een van de grootste Chinese telecomleveranciers, in bezit van de Chinese staat. Er is geen bewijs dat het bedrijf betrokken was bij de hack. Hoewel de VS niet kunnen bewijzen dat China Telecom betrokken was bij de aanval, vormt alleen al de aanwezigheid van het bedrijf volgens Bidens regering een risico voor de nationale veiligheid.
De Chinese hack kwam in oktober aan het licht. Volgens de FBI wist een door de Chinese overheid gesteunde hackersgroep toegang te krijgen tot de systemen van onder meer Verizon en AT&T, de twee grootste telecomproviders van de VS. Het is nog niet bekend in hoeverre de hackers uit deze systemen zijn verdrongen. Bekend is dat telefoonnummers en de zoekgeschiedenis van zowel burgers als overheidsambtenaren zijn buitgemaakt.
Dit kon gebeuren doordat de aanvallers maandenlang in de afluisternetwerken van de Amerikaanse overheid konden rondneuzen. De Amerikaanse autoriteiten gebruiken die netwerken om misdaad en terrorisme te bestrijden. Voor de Chinese hackers was het systeem een goudmijn, waarmee ze opnames en metadata van telefonie en internetgebruik konden aftappen. Ook het telefoonnetwerk dat Donald Trump en zijn aanstaande vicepresident JD Vance gebruikten voor onversleutelde communicatie, is getroffen.
Alles bij de bron; deMorgen [inloggen noodzakelijk]
Digitalisering heeft het betalingsverkeer weliswaar sneller dan ooit gemaakt, die ontwikkeling maakt de financiële sector tegelijkertijd kwetsbaarder voor kwaadwillenden, zo constateert de hoeder van het Nederlandse bankwezen.
Cyberaanvallen vormen een groeiend gevaar voor het financiële systeem. Met gijzelsoftware, DDoS-aanvallen en andere wapens kunnen computercriminelen en vijandelijke staten het betalingsverkeer ontwrichten.
Zo houdt de centrale bank rekening met een (vooralsnog) fictief scenario waarbij een aanval met gijzelsoftware een van de drie Nederlandse telecomaanbieders lamlegt...
...Geen fictie was de frontale aanval op het financiële stelsel door de criminele hackersbende LockBit. In november legde die bende met behulp van gijzelsoftware de Amerikaanse dochter plat van de Industrial and Commercial Bank of China, ’s werelds grootste bank.
De dochterbank speelt een sleutelrol als dienstverlener aan overheden, hedgefondsen en handelaren die Amerikaanse staatsobligaties willen kopen of verkopen.
Door de Lockbit-aanval kon de bank tijdelijk geen Amerikaanse staatsobligaties verhandelen. Er moesten miljarden dollars noodsteun van moederbedrijf ICBC aan te pas komen om wanbetaling te voorkomen.
‘Het voorval illustreert het potentiële domino-effect dat deze aanval in het financiële stelsel had kunnen veroorzaken’, aldus DNB....
....Olaf Sleijpen, directeur monetaire zaken bij DNB, doet een beroep op de bevolking om zich bewust te zijn van de gevaren van cyberaanvallen, zeker in tijden van oplopende geopolitieke spanningen. ‘Je moet er niet vanuit gaan dat het betalingsverkeer altijd werkt. Er kunnen zich situaties voordoen waarin de financiële dienstverlening gedurende langere tijd verstoord raakt.’
Voor de zekerheid wat contant geld achter de hand houden, desnoods in een oude sok, is wellicht geen overbodige luxe, adviseert Sleijpen.
Alles bij de bron; Volkskrant
De Amerikaanse datahandelaar National Public Data (NPD) heeft na een groot datalek waarbij de gegevens van zeker 1,3 miljoen mensen werden gestolen faillissement aangevraagd. Het bedrijf, dat met een golf aan claims te maken heeft, stelt NPD dat het niet de middelen heeft om kredietmonitoring voor 'honderden miljoenen' van mogelijk getroffen personen te betalen.
NPD voerde screenings van personen uit. Daarvoor werden gegevens uit openbare databronnen verzameld, waaronder strafbladen, adresgegevens en werknemersverleden. Vervolgens werd die informatie te koop aangeboden. De data die aanvallers bij het bedrijf wisten te stelen bestaat uit namen, adresgegevens, telefoonnummers, kopieën van identiteitsbewijzen, e-mailadressen en social-securitynummers.
De database met gegevens kon worden gestolen omdat de website een zip-bestand bevatte met daarin de back-end wachtwoorden om toegang tot de database te krijgen De gestolen data bevatte 2,9 miljard records. Zo'n 134 miljoen e-mailadressen uit de dataset zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Troy Hunt, oprichter van de zoekmachine, vermoedt dat de dataset ook 899 miljoen unieke socialsecurity-nummers bevat.
Alles bij de bron; Security