Kledingketen Zoetop moet de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. Volgens de procureur-generaal van de staat New York heeft de kledingketen persoonsgegevens van klanten niet goed beschermd en gelogen over de omvang.
Zoetop ontdekte het datalek niet zelf, maar werd eind 2018 ingelicht door de betalingsverwerker nadat die door een creditcardmaatschappij was gewaarschuwd.
Het ging om de gegevens van 6,42 miljoen klanten, zo stelde het bedrijf in eerste instantie. In juli 2019 bleek dat het om de gegevens van 39 miljoen klanten wereldwijd ging. Twee jaar later ontdekte Zoetop dat de gegevens van nog eens 7 miljoen klanten op internet te koop werden aangeboden. De gegevens waren zeer waarschijnlijk bij dezelfde aanval in 2018 buitgemaakt.
Onderzoek naar het bedrijf wees uit dat het van een zwak algoritme gebruikmaakte voor het hashen van wachtwoorden, dat door een misconfiguratie creditcardgegevens van sommige transacties in plaintext debug-logbestanden terechtkwamen, er niet periodiek op kwetsbaarheden werd gescand, logbestanden niet regelmatig op incidenten werden gecontroleerd en er geen schriftelijk incidentresponsplan was om op aanvallen te reageren.
Alles bij de bron; Security
De Amerikaanse spoorwegmaatschappij BNSF moet 45.000 vrachtwagenchauffeurs bij elkaar 228 miljoen dollar betalen omdat hun vingerafdrukken zonder legitieme toestemming zijn afgenomen toen ze het spoorwegterrein op wilden. Dat heeft een Amerikaanse jury bepaald.
Voor het ophalen of afleveren van vracht moesten vrachtwagenchauffeurs die het BNSF-rangeerterrein in Illinois op wilden hun vingerafdruk afstaan. Volgens een vrachtwagenchauffeur liet de spoorwegmaatschappij niet weten waarom de vingerafdrukken werden opgeslagen en hoe die werden bewaard en vernietigd. Daarmee heeft BNSF de Illinois Biometric Information Privacy Act overtreden, aldus de chauffeur die een massaclaim startte.
Volgens de jury heeft het spoorwegbedrijf van 4 april 2014 tot 25 januari 2020 bijna 46.000 keer de privacywetgeving overtreden. Voor elke overtreding werd de maximale boete van 5.000 dollar vastgesteld, waardoor het totaalbedrag op 228 miljoen dollar uitkomt. BNSF is van plan om in beroep te gaan, zo laat Bloomberg Law weten.
Alles bij de bron; Security
De Amerikaanse president Joe Biden heeft een decreet getekend waarin staat dat de privacy van Europeanen beter beschermd moet worden tegen eventueel misbruik door inlichtingendiensten.
Het presidentiële decreet draagt de Amerikaanse overheid op om bepaalde maatregelen te nemen tegen het gebruik van data van Europese burgers, zo blijkt uit een persbericht. Zo mogen Amerikaanse inlichtingendiensten als de NSA voortaan alleen overzees werken wanneer dit 'vooraf gedefinieerde nationale veiligheidsdoelen' heeft. Ook moeten zij de privacy en burgerlijke rechten van eventuele subjecten waarborgen, ongeacht de nationaliteit of woonplaats van diegene. Het is daarbij belangrijk dat door inlichtingendiensten uitgevoerde acties ook volgens Europese wetgevingen toegestaan is.
Het is nu aan de Europese Commissie om te bepalen of het pact voldoet aan de eisen.
Alles bij de bron; Tweakers
Samsung is in de Verenigde Staten aangeklaagd over twee recente datalekken waarbij broncode en klantgegevens werden gestolen. Het bedrijf zou onnodig gegevens van gebruikers verzamelen en die onvoldoende beschermen.
In maart maakte Samsung bekend dat aanvallers toegang tot systemen hadden gekregen en onder andere algoritmen voor de biometrische authenticatie van Samsung-telefoons en de broncode van de Galaxy-bootloader buit hadden gemaakt.
Begin deze maand bleek dat aanvallers toegang tot "Amerikaanse systemen" van Samsung hadden gekregen, waarbij gegevens van klanten waren gestolen. Twee Amerikaanse Samsung-gebruikers zijn nu een massaclaim tegen de elektronicagigant gestart. Ze stellen dat Samsung onnodig persoonlijke data van klanten verzamelt en die niet goed beveiligt. Daarmee zou Samsung de Amerikaanse consumentenwetgeving hebben overtreden.
Volgens de klagers heeft Samsung bepaalde onderdelen van de elektronica die het biedt uitgeschakeld en zijn die pas te gebruiken als gebruikers persoonlijke informatie opgeven. Deze informatie werd vervolgens zonder adequate beveiliging opgeslagen, gemonitord en verkocht, ook al claimde het bedrijf tegenover klanten dat de gegevens veilig waren, zo staat in de aanklacht.
Alles bij de bron; Security
Meta Platforms, het moederbedrijf van Facebook, is aangeklaagd door twee gebruikers van Facebook voor het stiekem omzeilen van een beveiliging van Apple op iPhones. Volgens de aanklacht heeft het bedrijf hiermee regelgeving tegen het verzamelen van persoonlijke gegevens geschonden.
...De zaken zijn gebaseerd op een rapport van dataprivacyonderzoeker Felix Krause. Volgens hem plaatsen Facebook en Instagram-apps bepaalde codes op websites die door gebruikers worden bezocht. Dit zou ze in staat stellen om "alles wat je op een website doet" bij te houden, inclusief het typen van wachtwoorden.
In een reactie op het rapport heeft Meta toegegeven dat de Facebook-app de browseractiviteit controleert, maar ontkende dat het illegaal gebruikersgegevens heeft verzameld.
Alles bij de bron; MSN
Techbedrijven moeten zich in de Verenigde Staten aan zes basisprincipes gaan houden die gaan over eerlijke concurrentie, privacybescherming, online veiligheid van kinderen, juridische verantwoordelijkheid van grote bedrijven, transparantie en het voorkomen van discriminerende algoritmes.
Grote techbedrijven worden in de VS op dit moment beschermd door wetgeving. Daardoor kunnen ze niet aansprakelijk gesteld worden als er illegale content op hun platforms wordt geplaatst. Die bescherming moet gaan verdwijnen.
Privacy is ook een belangrijk onderdeel van de basisprincipes. Techbedrijven worden verplicht om het verzamelen van privacygevoelige informatie tot een minimum te beperken. Het gaat daarbij met name om locatiedata en informatie over de gezondheid van mensen.
Verder moet de veiligheid en gezondheid van kinderen de hoogste prioriteit krijgen bij techbedrijven. Dat zou belangrijker moeten zijn dan de omzet en winst. Tot slot moeten techbedrijven transparant zijn over hun algoritmes, die niet mogen discrimineren.
Alles bij de bron; NU
Philips betaalt openbaar aanklagers in de VS om vermeende misleiding van Amerikaanse zorgorganisaties. Met de schikking zetten het bedrijf en justitie een punt achter de kwestie. Aanklagers beschuldigden een dochteronderneming van Philips ervan leveranciers van medische apparatuur te hebben omgekocht.
Het dochterbedrijf wordt ervan verdacht leveranciers van medische apparatuur te hebben 'betaald' door ze gratis data aan te leveren over artsen. Die gegevens konden de leveranciers dan gebruiken in hun marketing richting diezelfde dokters.
In ruil voor de gegevens zouden de leveranciers er bij zorgverzekeraars op hebben aangedrongen voor de beademingsapparatuur van een bepaald merk te kiezen. Dat zou neerkomen op misleiding.
Alles bij de bron; NU [thnx-2-Niek]
Opnieuw is een Amerikaans bedrijf in opspraak geraakt dat locatiegegeven van miljoenen telefoons verhandelt. Fog Data Science claimt over miljarden datapunten van meer dan 250 miljoen telefoons te beschikken en deelt deze gegevens met opsporingsdiensten, zo stelt de Amerikaanse burgerrechtenbeweging EFF.
Volgens Fog Data Science is het mogelijk met de data om te zien waar individuen werken, leven en samenkomen. De gegevens waar het bedrijf over beschikt zijn vermoedelijk afkomstig van duizenden Android- en iOS-apps die toegang tot de locatie van gebruikers hebben. Het bedrijf richt zich vooral op de Amerikaanse markt, maar zegt ook over "internationale data te beschikken...
...De EFF spreekt van een "panoptisch surveillanceapparaat" dat aan allerlei politie- en opsporingsdiensten wordt aangeboden voor nog geen tienduizend dollar per jaar. Fog zou inmiddels met achttien politiediensten overeenkomsten hebben gesloten.
Politiediensten gebruiken de data om te kijken wie erop een gegeven moment in een bepaalde buurt was, of om meer informatie over een bepaald toestel op te vragen. Zo kan er bijvoorbeeld gekeken worden welke "interessante locaties" iemand bezoekt of waar iemand slaapt. Daarbij bewaart Fog maanden aan informatie over een smartphone, die met een enkele opdracht is op te vragen.
Alles bij de bron; Security
Facebook-moeder Meta heeft een voorlopige schikking getroffen over het al dan niet delen van gegevens met onderzoeksbureau Cambridge Analytica voorafgaand aan de Amerikaanse presidentsverkiezingen in 2016.
Het politiek consultingbureau had via omwegen persoonlijke data verzameld over 87 miljoen Amerikanen en gebruikte die om campagnes te voeren voor de toenmalige presidentskandidaat Donald Trump. De sociaalnetwerksite zou destijds illegaal gegevens hebben gedeeld.
De aanklager van de staat Washington DC, Karl Racine, daagde in mei van dit jaar de oprichter en ceo van Meta, Mark Zuckerberg, persoonlijk voor de rechter omdat hij te laks zou omgesprongen zijn met gebruikersgegevens waardoor Cambridge Analytica op grote schaal informatie in handen kreeg. Volgens Racine was Zuckerberg persoonlijk betrokken bij het falen van Facebook om de privacy van zijn gebruikers te beschermen.
De aanklager noemde het incident 'het grootste privacyschandaal voor consumenten in de geschiedenis van de natie'.
Alles bij de bron; deTijd
Procureur-generaal van Californië en Sephora zijn tot overeenstemming gekomen een schikking van 1,2 miljoen dollar te betalen.
De cosmeticaketen overtrad de California Consumer Privacy Act (CCPA), onder meer door klanten niet te vertellen dat hun persoonsgegevens werden verkocht aan derden. Bonta hoopt hiermee een duidelijk signaal af te geven aan andere Amerikaanse bedrijven om zich aan de geldende privacywetgeving van Californië te houden.
Volgens de procureur-generaal beging Sephora meerdere privacyovertredingen. Om te beginnen gebruikte het cosmeticabedrijf op haar website diverse third party tracking cookies. Deze hielden nauwlettend bij wat consumenten deden op de site. Zo analyseerden de cookies onder meer met welke merken eyeliner en zwangerschapsvitaminen ze in hun winkelmandje stopten en locatiegegevens. Met deze gebruikersdata is het voor Sephora eenvoudig om gerichte advertenties aan te bieden op andere plekken op het internet, zoals sociale media, zoekmachines, andere websites.
Het is niet verboden om tracking cookies op je website te plaatsen en de data die ze verzamelen te delen met derde partijen. Bedrijven hebben echter wel de wettelijke plicht om klanten van deze praktijken op de hoogte te brengen. Dat deed Sephora niet. Daarmee overtrad het bedrijf de Californische privacywetgeving.
Daarnaast weigerde Sephora om opt-out verzoeken van bezoekers te verwerken. Hiermee geven klanten aan dat ze zich willen afmelden voor alle online verkopen van het bedrijf op andere sites, zonder dat ze iedere keer opnieuw op een afmeldlink hoeven te drukken.
Alles bij de bron; VPN-Gids