Twee voormalige medewerkers van een Amerikaanse datahandelaar en marketingbedrijf hebben bewust de gegevens van miljoenen ouderen en kwetsbare personen aan oplichters verkocht die ze gebruikten voor het plegen van fraude.
Het gaat om een voormalige sales manager en leidinggevende van de datahandelaar.
Het bedrijf gebruikt transactiegegevens van marketingklanten, alsmede algoritmes en een database van honderd miljoen Amerikaanse huishoudens, om nieuwe 'ontvankelijke kopers' te voorspellen.
De twee verdachten gebruikten destijds de algoritmes om te bepalen welke personen het waarschijnlijkst gevoelig voor oplichting zouden zijn. Daarbij werkte de afdeling van de verdachten met tientallen oplichters samen die personen via 'mass mailings' grote geldbedragen beloofden.
Slachtoffers werden zo voor tientallen miljoenen dollars opgelicht. De datahandelaar zelf besloot een aanklacht over het faciliteren van fraude door het leveren van data aan oplichters in 2021 voor een bedrag van 150 miljoen dollar te schikken.
De twee verdachten zijn nu meerdere keren door een jury schuldig bevonden en kunnen een maximale gevangenisstraf van respectievelijk 260 en 380 jaar krijgen. De rechter wijst op 30 september vonnis.
Alles bij de bron; Security
Autoriteiten in Texas maken gebruik van technologie om wifi- en bluetooth-signalen van voorbijrijdende auto's te verzamelen, om die zo te volgen. Daarvoor waarschuwt de Amerikaanse burgerrechtenbeweging EFF. Het product dat de autoriteiten inzetten heet TraffiCatch en combineert bluetooth-gegevens met gegevens van ANPR (Automatic Number Plate Recognition) camera's.
Volgens de burgerrechtenbeweging is bluetooth een beruchte aanvalsvector voor 'hacks en exploits'. "Zoals TraffiCatch laat zien dat zelfs wanneer de bluetooth van je apparaat niet actief wordt gehackt, kan het unieke identificeerbare informatie uitzenden waardoor je een doelwit voor tracking wordt."
De EFF stelt dat dergelijke surveillance ervoor zorgt dat het publiek technologie en techbedrijven wantrouwt. "Handsfree bellen in auto's is een fantastische technologie, maar het feit dat het de hele samenleving opent voor surveillance is schadelijk voor ons allemaal."
Alles bij de bron; Security
Amerikaanse senatoren hebben de Amerikaanse toezichthouder FTC opgeroepen een onderzoek naar autofabrikanten in te stellen, omdat die hun belofte over het delen van locatiegegevens met politie hebben gebroken.
De autofabrikanten hadden aangegeven dat ze locatiegegevens van de voertuigen van hun klanten alleen na een gerechtelijk bevel met opsporingsdiensten zouden delen, maar dat blijkt in de praktijk niet te gebeuren.
De Amerikaanse senator Ron Wyden deed onderzoek naar dit beleid en ontdekte dat Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz en Kia locatiegegevens zonder gerechtelijk bevel delen. Deze autofabrikanten verstrekken de data na een dagvaarding, waar geen goedkeuring van een rechter voor is vereist, aldus Wyden.
Fabrikanten GM, Ford, Honda, Stellantis en Tesla vereisen wel een gerechtelijk bevel om locatiegegevens aan politie te verstrekken en alleen Tesla informeert eigenaren over dergelijke dataverzoeken.
Volgens de senatoren kan het niet beschermen van de privacy van Amerikanen gevaarlijke gevolgen hebben. "Voertuiglocatiegegevens kunnen intieme details over het leven van iemand prijsgeven, waaronder van personen die in andere staten zorg zoeken, demonstraties bijwonen, geestelijke gezondheidszorgprofessionals bezoeken of behandeld willen worden voor hun verslaving", voegt Wyden toe.
Alles bij de bron; Security
Telecomtoezichthouder FCC heeft verschillende Amerikaanse telecomproviders een boete van bij elkaar bijna tweehonderd miljoen dollar opgelegd wegens het illegaal verkopen van locatiegegevens van klanten. AT&T, Sprint, T-Mobile en Verizon verkochten de locatiedata aan 'aggregators', die toegang tot de informatie vervolgens doorverkochten aan third-party locatiegebaseerde serviceproviders.
"Onze communicatieproviders hebben toegang tot de meest gevoelige informatie over ons. Deze providers faalden in het beschermen van de informatie die aan hen was toevertrouwd. We hebben het hier over zeer gevoelige data die ze in hun bezit hebben: real-time locatiegegevens van klanten, wat laat weten waar ze naartoe gaan en wie ze zijn", zegt FCC-voorzitter Jessica Rosenworcel.
Het onderzoek naar de telecomproviders begon na berichtgeving dat de grootste telecomproviders in de VS zonder toestemming locatiegegevens deelden waarmee andere partijen personen volgden. Desondanks bleven de providers hiermee doorgaan, zonder maatregelen te nemen om ervoor te zorgen dat de locatiegebaseerde serviceproviders die ze toegang tot de locatiedata gaven, toestemming van klanten hadden, zo stelt de FCC.
Alles bij de bron; Security
Kaiser Permanente, één van de grootste zorgaanbieders in de Verenigde Staten, heeft gegevens van 13,4 miljoen patiënten met Google, Microsoft, X en andere adverteerders gedeeld, zo heeft het zelf bekendgemaakt.
Het gaat om namen, ip-adressen, zoekopdrachten en hoe men van de apps en websites van de zorgaanbieder gebruikmaakte. Kaiser Permanente is de grootste not-for-profit zorgverlener in de VS, met veertig ziekenhuizen, 618 praktijken en bijna honderdduizend artsen en verplegers.
Trackingtechnologie die binnen de apps en op de websites werden gebruikt zorgden ervoor dat gegevens van patiënten naar advertentiebedrijven gingen, waaronder Google, Microsoft en X. De zorgverlener beschikt over een zoekmachine waarin patiënten allerlei informatie over symptomen, medicijnen, letsels en oefeningen kunnen opzoeken. Ook die data is mogelijk bij adverteerders terechtgekomen.
Alles bij de bron; Security
Het Amerikaanse bedrijf Cerebral, dat online geestelijke gezondheidszorg en gerelateerde diensten biedt, heeft van meer dan drie miljoen cliënten gevoelige persoonlijke informatie gedeeld met LinkedIn, TikTok en Snapchat. De gegevens werden vervolgens voor advertenties gebruikt.
Cliënten die zich aanmelden voor de diensten van Cerebral moeten allerlei persoonlijke data verstrekken, waaronder adresgegevens, e-mailadressen, geboortedata, medisch verleden, medicijngebruik, rekeninggegevens en rijbewijsnummer, alsmede informatie over hun behandelplannen, apotheek, zorgverzekering, geloofsovertuiging en seksuele geaardheid.
Volgens de Amerikaanse toezichthouder FTC claimde Cerebral dat het gegevens van cliënten veilig zou houden, maar in werkelijkheid werden die met allerlei derde partijen voor advertentiedoeleinden gedeeld. Disclaimers over het delen van de data stonden in het moeilijk leesbare privacybeleid, maar het bedrijf stelde geregeld dat het gebruikersgegevens niet zonder toestemming voor marketing zou delen.
Door middel van trackingpixels en andere software op de websites van Cerebral en in de apps van het bedrijf, werden gegevens van bijna 3,2 miljoen cliënten gedeeld met LinkedIn, Snapchat en TikTok. Via de trackingtools kregen derde partijen toegang tot allerlei persoonlijke gegevens van Cerebral-cliënten, waaronder namen, medisch verleden, medicijngebruik, adresgegevens, e-mailadressen, telefoonnummers, geboortedata, demografische informatie, ip-adressen, apotheek, zorgverzekeringsinformatie en andere gezondheidsgegevens.
De FTC stelt ook dat het bedrijf zich schuldig heeft gemaakt aan 'roekeloze marketing'. Zo verstuurde Cerebral naar meer dan zesduizend cliënten briefkaarten, die niet in een envelop zaten, met daarop hun namen en taalgebruik waaruit het mogelijk was om de diagnose en behandeling te achterhalen door iedereen die de briefkaart te zien kreeg.
De toezichthouder laat verder weten dat het bedrijf toegang tot cliëntgegevens niet beperkte tot medewerkers die er toegang tot moesten hebben, ex-medewerkers nog steeds toegang tot dossiers hadden en procedures en training met betrekking tot het omgaan met gevoelige data ontbraken.
Cerebral en de FTC zijn een schikking overeengekomen, waarbij het bedrijf 7,1 miljoen dollar betaalt. De FTC diende ook een aanklacht in tegen de ceo, maar die besloot niet te schikken. De rechter zal zich nu over deze zaak buigen.
Alles bij de bron; Security
Twee Amerikaanse politici dienen een wetsvoorstel in dat Amerikaanse burgers voor het eerst een basisrecht op privacy geeft voor hun online data. Als het wetsvoorstel, dat door een Democraat en een Republikein werd ingediend, wordt aangenomen, zouden Amerikaanse burgers voor het eerst een federaal recht op privacy krijgen.
Het wetsvoorstel komt er zo’n vierentwintig jaar nadat de telecomwaakhond FTC voor het eerst vroeg om een privacywetgeving in te voeren. De data van veel Amerikanen kan momenteel makkelijk worden gedeeld en verkocht aan de hoogste bieder.
De nieuwe federale standaard zou dataverkopers aan banden leggen, maar ook techplatformen, telecomproviders en andere organisaties waarmee je op het internet interactie hebt. Alleen kleine bedrijven en overheidsorganisaties vallen buiten de regelgeving.
Alles bij de bron; DutchITChannel
Het Amerikaanse bedrijf MedData heeft een datalek waarbij de gegevens van 136.000 patiënten door een medewerker op GitHub.com werden geplaatst geschikt voor een bedrag van 7 miljoen dollar.
Eind 2020 werd MedData door de Nederlandse beveiligingsonderzoeker Jelle Ursem ingelicht dat data van het bedrijf op GitHub stond. Het ging om namen, adresgegevens, geboortedata, social-securitynummers, diagnoses, medische aandoeningen, verzekeringsclaims en nog veel meer informatie.
Slachtoffers van het datalek werden op 31 maart 2021 ingelicht. Daarnaast besloot MedData om het gebruik van file sharing websites op het eigen netwerk te blokkeren, werden beleid en procedures aangepast, een security operations center geïmplementeerd en een managed detection and response uitgerold. MedData bevestigde dat de bestanden van GitHub zijn verwijderd.
Het is echter onduidelijk of de data ook veilig is. De medewerker had ze geüpload naar GitHub Arctic Code Vault, een publieke data repository voor de langetermijnopslag van bestanden. Daarbij wordt opgeslagen data ook op fysieke opslagmedia geplaatst.
Naar aanleiding van het datalek besloten verschillende gedupeerden een massaclaim tegen MedData te starten. Deelnemers aan de massaclaim hebben tot 21 mei om een claim in te dienen. Daarbij kan elke deelnemer een bedrag van maximaal 5.000 dollar claimen, afhankelijk van de geleden schade.
Alles bij de bron; Security
Autofabrikanten delen gegevens over het rijgedrag van bestuurders met verzekeringsmaatschappen wat tot hogere premies leidt, zo meldt The New York Times. Een Amerikaan laat tegenover de krant weten hoe zijn autoverzekering door het nauwkeurig analyseren van zijn rijgedrag met 21 procent omhoog was gegaan. Ook premievoorstellen van andere verzekeraars waren veel hoger dan hij eerst betaalde. Dit leidde de bestuurder naar LexisNexis, een datahandelaar die autoverzekeraars van allerlei data voorziet.
De Amerikaan vroeg informatie bij LexisNexis op en kreeg een 258 pagina's tellend rapport, met 130 pagina's waarin stond hoe vaak hij en zijn vrouw in de auto hadden gereden. Het ging om gegevens over 640 autoritten, hun start- en eindtijden, afgelegde afstand en gevallen van snelheidsovertredingen, te hard remmen of plotselinge versnellingen. Het enige wat ontbrak was waar het koppel precies had gereden.
Autobedrijven hebben relaties met verzekeringsmaatschappijen. Zo hebben autofabrikanten, waaronder General Motors, Honda, Kia en Hyundai, allerlei optionele features in hun 'connected-car apps'. Wanneer bestuurders deze features inschakelen delen de autofabrikanten informatie over het rijgedrag met datahandelaren zoals LexisNexis.
Volgens The New York Times is deze samenwerking tussen fabrikant en verzekeraar voor veel bestuurders onzichtbaar en wordt de toestemming verkregen via de kleine lettertjes in het privacybeleid dat maar weinigen lezen. De krant noemt het met name verontrustend dat meerdere bestuurders van auto's gemaakt door General Motors aangeven dat hun rijgedrag getrackt werd, ook als ze de betreffende feature niet hadden ingeschakeld en als gevolg daarvan een hogere premie moesten betalen.
Volgens Jen Caltrider, een onderzoeker van Mozilla die het privacybeleid van 25 autofabrikanten analyseerde, hebben bestuurders geen idee waar ze toestemming voor geven als het aankomt op dataverzameling. "Het is onmogelijk voor consumenten om te begrijpen." Volgens Caltrider zijn moderne auto's dan ook een 'privacynachtmerrie op wielen.'
Alles bij de bron; Security
De FTC en het toenmalige Facebook sloten in 2020 een privacyovereenkomst in een rechtszaak over Meta's rol in het Cambridge Analytics-schandaal. Onderdeel van die overeenkomst was een boete van 5 miljard dollar. Ook moest Meta voldoen aan een aantal strikte regels voor de privacy van gebruikers.
De Amerikaanse toezichthouder concludeerde afgelopen mei dat Meta die regels geschonden heeft. De FTC wil daarom de rechtszaak heropenen en de regels strenger maken. Zo zou Meta niet mogen profiteren van data die het verzamelt van gebruikers onder de achttien en moet het nadrukkelijk toestemming van de gebruiker hebben voor toekomstig gebruik van gezichtsherkenningstechnologie.
De FTC wil verder dat Meta eerst schriftelijke toestemming van een onafhankelijke privacybeoordelaar moet krijgen voordat het nieuwe of gewijzigde producten, diensten of functies op de markt mag brengen. Op die manier moet verzekerd worden dat Meta voldoet aan het privacybevel uit 2020.
Volgens de rechter impliceren de zorgen van de FTC 'belangrijke publieke belangen'. Ook benadrukt de rechter dat Meta bezwaar kan maken tegen de beslissingen van de FTC.
Alles bij de bron; Tweakers