Verenigde Staten

Biden perkt de online privacy nog verder in dan Trump -column-

Toen Biden Trump opvolgde kondigde hij aan kritisch te zullen kijken naar een ander element uit Trumps ‘extreme vetting’-beleid. Namelijk de bepaling dat bijna 15 miljoen inreizende buitenlanders hun sociale media handles moeten vermelden op hun visumaanvraag. Alles van de afgelopen vijf jaar, van twintig platformen – waaronder Facebook, Twitter en YouTube.

Deze lente werd duidelijk dat de regering-Biden zich, laten we zeggen, heeft bedacht. Het voorstel dat nu op tafel ligt breidt het sociale-mediasleepnet zelfs uit met nog eens 15 miljoen reizigers, dit keer voor mensen die op een ESTA vliegen.

Dat is een versimpelde reisvergunning, gebruikt door vrijwel alle Europeanen die naar de VS reizen. Vooralsnog is het optioneel om de VS je Twitter- of Instagram-account mee te delen, maar dat wordt verplicht als het aan Biden ligt. Met liegen riskeer je „serieuze consequenties”.

Twee advocaten aan het Knight First Amendment Institute te New York, gespecialiseerd in recht en vrijheid van meningsuiting, Anna Diakun en Carrie DeCell vinden de gestage uitbreiding van de surveillance-staat onder Biden zeer zorgwekkend.

Diakun vreest een negatief effect op vrijheid van meningsuiting: dat mensen (bijvoorbeeld activisten) online zelf-censuur toepassen uit angst niet toegelaten te worden tot het land. Waar ze misschien wel asiel willen aanvragen. En wat als landen als Iran of Rusland cyber-aanvallen op de VS uitvoeren om hen deze data te ontfutselen?

Het instituut diende deze zomer een officieel verzoek in om inzage te krijgen in Bidens voorstel. Want waarom breidt hij de surveillance juist uit, in plaats van in te perken, zoals hij had gesuggereerd? Wat is de rechtvaardiging? Op welke effectiviteit beroept de regering zich bij deze uitbreiding van het schenden van de privacy van miljoenen mensen? Het voorkomen van aanslagen? De enige verantwoording die nu in het voorstel staat: het beleid ‘zal het doorlichtingsproces verbeteren en helpen de identiteit van reizigers te bevestigen’. Kennelijk is een paspoort daarvoor niet genoeg.

In augustus plofte het antwoord op het verzoek van de advocaten op de mat: aanvraag afgewezen. De wegen van het Amerikaanse veiligheidsbeleid – Democratisch of Republikeins – zijn ondoorgrondelijk. Met opzet, zo blijkt maar weer.

Frederik Zuiderveen Borgesius, hoogleraar ICT & Recht (Radboud) sluit zich aan bij de Amerikaanse advocaten: als de VS dit doorvoeren is de kans groot dat andere landen volgen. „Het normaliseert griezelige surveillance.” Is er iets dat Nederland of de EU kan ondernemen tegen privacyschendingen bij inreizende Europeanen? „Dat geef ik weinig kans van slagen, je hebt toch elkaars nationale recht en beleid te accepteren.”

Alles bij de bron; NRC

Kans dat Amerikaanse overheid gegevens EU-burgers kan inzien met CLOUD-Act

Het Nationaal Cyber Security Centrum (NCSC) acht de kans dat de Amerikaanse overheid persoonsgegevens van Europeanen kunnen inzien op basis van de CLOUD-Act, in de praktijk heel klein. Dat betekent dat het in principe niet uitmaakt of bedrijven hun gegevens opslaan bij Europese of Amerikaanse leveranciers. Of dat ook geldt voor landen met hun eigen extraterritoriale wetgeving, is niet onderzocht.

Het NCSC vroeg aan een advocatenbureau om te onderzoeken hoe groot het risico is dat informatie in Europa kan worden opgevraagd door de Amerikaanse overheid op basis van de CLOUD-Act.

De CLOUD-Act is een acroniem dat staat voor Clarifying Lawful Overseas Use of Data Act. Daarin beschrijft de Amerikaanse overheid de spelregels voor de opslag, het transport en de verwerking van informatie. Tevens legt de wet afspraken vast over gegevensbescherming en informatiebeveiliging. De CLOUD-Act maakt het voor Amerikaanse inlichtingendiensten mogelijk om, via een bevelschrift of dagvaarding, van techbedrijven te eisen dat ze gegevens van gebruikers overhandigen. Het maakt daarbij niet uit of deze data in de VS of daarbuiten zijn opgeslagen.

Alles bij de bron; VPN-gids

Google schikt zaak over gebruik locatiegegevens voor bijna 400 miljoen dollar

Google-moeder Alphabet heeft een Amerikaanse zaak over ongeoorloofd gebruik van locatiegegevens van gebruikers geschikt voor in totaal 391,5 miljoen dollar.

Google betaalde de boete aan veertig Amerikaanse staten en schond volgens de procureurs-generaal van de staten jarenlang de wetten 'door consumenten te misleiden over zijn locatiebepalingspraktijken'.

Het bijhouden van locatiedata ligt in de VS extra gevoelig nadat het Amerikaanse Hooggerechtshof in juni het landelijke recht op abortus ongedaan heeft gemaakt. Autoriteiten zouden de gegevens kunnen gebruiken om bijvoorbeeld vrouwen te volgen die daarom kiezen een abortus te laten doen in een andere staat.

Vanwege die zorgen beloofde Google deze zomer gegevens van mensen die op gevoelige locaties waren geweest, waaronder abortusklinieken, automatisch te verwijderen.

Alles bij de bron; RTL-Nieuws

Boekenbedrijf in de VS op vingers getikt wegens datalek met 40 miljoen klanten

De Amerikaanse toezichthouder FTC heeft boekenbedrijf Chegg op de vingers getikt wegens een datalek waarbij de persoonlijke gegevens van veertig miljoen klanten op straat kwamen te liggen. Het ging onder andere om namen, e-mailadressen, met het zwakke MD5-algoritme gehashte wachtwoorden en voor sommige gebruikers ook informatie met betrekking tot onderwijsbeurzen, zoals geboortedata, informatie over het inkomen van de ouders, seksuele geaardheid en handicaps.

Chegg kreeg vanaf eind 2017 met meerdere datalekken te maken waardoor aanvallers toegang tot persoonlijke informatie kregen. Drie van de datalekken werden veroorzaakt door phishingaanvallen.

Het grootste datalek deed zich voor toen een voormalige contractor inloggegevens van Chegg gebruikte voor het downloaden van een database met de gegevens van veertig miljoen klanten. Een deel van de klantgegevens verscheen later op internet. Zo was het aanvallers gelukt om 25 miljoen wachtwoordhashes te kraken en het bijbehorende wachtwoord te achterhalen.

De FTC stelt dat Chegg geen gepaste beveiligingsmaatregelen heeft genomen om klantgegevens te beschermen. De Amerikaanse toezichthouder is van plan om Chegg geen boete op te leggen, maar gaat wel eisen aan het bedrijf stellen.

Alles bij de bron; Security

Verdachte achter marktplaats voor gestolen inloggegevens aangeklaagd in VS

Een Brit is in de Verenigde Staten aangeklaagd voor het beheer van een online marktplaats waarop gestolen inloggegevens en persoonlijke informatie, verboden drugs, botnets, creditcardgegevens, exploits en "hackingtools" werden aangeboden.

Volgens de aanklacht werden op The Real Deal onder andere inloggegevens voor systemen van de Amerikaanse overheid aangeboden. Het ging dan om systemen van de U.S. Postal Service, de National Oceanic and Atmospheric Administration, de Centers for Disease Control and Prevention, de National Aeronautics and Space Administration (NASA) en Amerikaanse marine.

Verder beweert de openbaar aanklager dat de Brit handelde in gestolen social-securitynummers en dat hij meer dan vijftien gestolen inloggegevens voor Twitter en LinkedIn in bezit had.

Alles bij de bron; Security

Biden ondertekent decreedt in aanloop naar Privacy Shield 2.0. Wat betekent dit concreet?

De Amerikaanse president Biden heeft op 7 oktober een presidentieel decreet (of ‘Executive Order’) ondertekend met daarin aanvullende waarborgen voor veilige datadoorgifte naar de VS.

Deze nieuwe ontwikkeling is niet de directe oplossing voor de huidige juridische problematiek bij datadoorgifte naar de VS. Dit presidentiële decreet omvat dwingende instructies waar overheidsinstanties in de VS zich aan moeten houden en hun beleid op dienen aan te passen. Er is meer tijd nodig om daadwerkelijk invulling te geven aan deze instructies....

....Op het eerste oog lijken deze instructies een stap vooruit, maar het is uiteindelijk de vraag of de genoemde maatregelen ook voldoende gaan zijn om een passend beschermingsniveau voor persoonsgegevens van EU-burgers te garanderen. Hoe beperkend werken deze aanvullende waarborgen voor inlichtingendiensten en zijn zij daadwerkelijk gebonden aan eventuele beslissingen van het Data Protection Review Court? Alleen het Hof kan deze vragen uiteindelijk beantwoorden....

....Meerdere burgerrechtelijke organisaties, waaronder de privacystichting van Max Schrems, hebben al laten weten in het getekende decreet geen blijvende oplossing te zien. De kans is dan ook groot dat een eventueel nieuw Privacy Shield opnieuw zal worden aangevochten tot aan het Hof. De behandelingsprocedure bij het Hof duurt in veel gevallen minimaal 2 jaar, wat betekent dat het onduidelijke juridische vacuüm waarin we verkeren mogelijk nog tot ergens in 2025 zal aanhouden.

Alles bij de bron; Emerce

Kledingketen betaalt 1,9 miljoen dollar wegens liegen over omvang datalek

Kledingketen Zoetop moet de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. Volgens de procureur-generaal van de staat New York heeft de kledingketen persoonsgegevens van klanten niet goed beschermd en gelogen over de omvang.

Zoetop ontdekte het datalek niet zelf, maar werd eind 2018 ingelicht door de betalingsverwerker nadat die door een creditcardmaatschappij was gewaarschuwd.

Het ging om de gegevens van 6,42 miljoen klanten, zo stelde het bedrijf in eerste instantie. In juli 2019 bleek dat het om de gegevens van 39 miljoen klanten wereldwijd ging. Twee jaar later ontdekte Zoetop dat de gegevens van nog eens 7 miljoen klanten op internet te koop werden aangeboden. De gegevens waren zeer waarschijnlijk bij dezelfde aanval in 2018 buitgemaakt.

Onderzoek naar het bedrijf wees uit dat het van een zwak algoritme gebruikmaakte voor het hashen van wachtwoorden, dat door een misconfiguratie creditcardgegevens van sommige transacties in plaintext debug-logbestanden terechtkwamen, er niet periodiek op kwetsbaarheden werd gescand, logbestanden niet regelmatig op incidenten werden gecontroleerd en er geen schriftelijk incidentresponsplan was om op aanvallen te reageren.

Alles bij de bron; Security

Spoorwegbedrijf VS moet 228 miljoen dollar betalen voor afname vingerafdrukken

De Amerikaanse spoorwegmaatschappij BNSF moet 45.000 vrachtwagenchauffeurs bij elkaar 228 miljoen dollar betalen omdat hun vingerafdrukken zonder legitieme toestemming zijn afgenomen toen ze het spoorwegterrein op wilden. Dat heeft een Amerikaanse jury bepaald.

Voor het ophalen of afleveren van vracht moesten vrachtwagenchauffeurs die het BNSF-rangeerterrein in Illinois op wilden hun vingerafdruk afstaan. Volgens een vrachtwagenchauffeur liet de spoorwegmaatschappij niet weten waarom de vingerafdrukken werden opgeslagen en hoe die werden bewaard en vernietigd. Daarmee heeft BNSF de Illinois Biometric Information Privacy Act overtreden, aldus de chauffeur die een massaclaim startte.

Volgens de jury heeft het spoorwegbedrijf van 4 april 2014 tot 25 januari 2020 bijna 46.000 keer de privacywetgeving overtreden. Voor elke overtreding werd de maximale boete van 5.000 dollar vastgesteld, waardoor het totaalbedrag op 228 miljoen dollar uitkomt. BNSF is van plan om in beroep te gaan, zo laat Bloomberg Law weten.

Alles bij de bron; Security

President VS tekent decreet ter bescherming van data Europese burgers

De Amerikaanse president Joe Biden heeft een decreet getekend waarin staat dat de privacy van Europeanen beter beschermd moet worden tegen eventueel misbruik door inlichtingendiensten.

Het presidentiële decreet draagt de Amerikaanse overheid op om bepaalde maatregelen te nemen tegen het gebruik van data van Europese burgers, zo blijkt uit een persbericht. Zo mogen Amerikaanse inlichtingendiensten als de NSA voortaan alleen overzees werken wanneer dit 'vooraf gedefinieerde nationale veiligheidsdoelen' heeft. Ook moeten zij de privacy en burgerlijke rechten van eventuele subjecten waarborgen, ongeacht de nationaliteit of woonplaats van diegene. Het is daarbij belangrijk dat door inlichtingendiensten uitgevoerde acties ook volgens Europese wetgevingen toegestaan is.

Het is nu aan de Europese Commissie om te bepalen of het pact voldoet aan de eisen.

Alles bij de bron; Tweakers

Samsung in Verenigde Staten aangeklaagd over recente datalekken

Samsung is in de Verenigde Staten aangeklaagd over twee recente datalekken waarbij broncode en klantgegevens werden gestolen. Het bedrijf zou onnodig gegevens van gebruikers verzamelen en die onvoldoende beschermen.

In maart maakte Samsung bekend dat aanvallers toegang tot systemen hadden gekregen en onder andere algoritmen voor de biometrische authenticatie van Samsung-telefoons en de broncode van de Galaxy-bootloader buit hadden gemaakt.

Begin deze maand bleek dat aanvallers toegang tot "Amerikaanse systemen" van Samsung hadden gekregen, waarbij gegevens van klanten waren gestolen. Twee Amerikaanse Samsung-gebruikers zijn nu een massaclaim tegen de elektronicagigant gestart. Ze stellen dat Samsung onnodig persoonlijke data van klanten verzamelt en die niet goed beveiligt. Daarmee zou Samsung de Amerikaanse consumentenwetgeving hebben overtreden.

Volgens de klagers heeft Samsung bepaalde onderdelen van de elektronica die het biedt uitgeschakeld en zijn die pas te gebruiken als gebruikers persoonlijke informatie opgeven. Deze informatie werd vervolgens zonder adequate beveiliging opgeslagen, gemonitord en verkocht, ook al claimde het bedrijf tegenover klanten dat de gegevens veilig waren, zo staat in de aanklacht.

Alles bij de bron; Security