Een cyberaanval op een Australische zorgverzekeraar is het werk van Russische hackers. Dat meldt de Australische politie. De hackers slaagden er vorige maand in de data van bijna 10 miljoen mensen te bemachtigen.

Volgens politiecommissaris Reece Kershaw zat de “losjes gelieerde groep” ook achter grote cyberaanvallen in landen over de hele wereld. Australië zegt contact te zoeken met de Russische autoriteiten over de groep.

....Het gaat onder meer om de medische rapporten en behandelingen van de verzekerden, net als hun geboortedata, telefoonnummers en e-mailadressen. Volgens persbureau AAP raakten in eerste instantie gegevens bekend van bijvoorbeeld alcoholisten, mensen met seksueel overdraagbare aandoeningen en vrouwen die een abortus hebben ondergaan.

Alles bij de bron; HLN


 

Door de hack bij een IT-toeleverancier van de rijksoverheid zijn persoonsgegevens van in totaal 4500 mensen in handen van criminelen gekomen, veel meer dan in eerste instantie werd gedacht. Aanvankelijk werd uitgegaan van 3500 mensen die gebruikmaken van de rijkspas en wiens gegevens waren gestolen.

Volgens staatssecretaris Alexandra van Huffelen (Digitalisering) gaat het om 3200 medewerkers van de overheid met een rijkspas en ongeveer 1300 pasgebruikers van de Tweede en Eerste Kamer. Bij deze laatste groep gaat het ook om journalisten.

Alles bij de bron; BNR


 

Ondanks meerdere pop-ups en een volledig menu voor privacy en veiligheid, blijkt uit onafhankelijk onderzoek dat de gegevens van iPhone-gebruikers alsnog met Apple zelf worden gedeeld. 

In iOS 14.5 werd App Tracking Transparency geïntroduceerd. Dat is een privacy-tool waarmee gebruikers per (third-party) app kunnen beslissen of ze die apps willen blokkeren voor het verzamelen van informatie waarmee de gebruikers te identificeren zijn. Dat is opgezet om mensen meer controle te geven over de beveiliging van hun persoonlijke informatie. 

Twee app-ontwikkelaars van het softwarebedrijf Mysk, hebben echter ontdekt dat dit niet voor Apple zelf geldt. Terwijl er nu dus extra gefocust wordt op transparantie en veiligheid, blijven veel apps van Apple zelf alsnog persoonlijke data verzamelen. 

Ze lieten met screenshots en video's op Twitter zien wat voor data er allemaal was verzameld na 10 minuten door de App Store te hebben gebrowset op een apparaat met iOS 14.6. 

De data die Apple had geregistreerd bestond onder andere uit het type apparaat, de resolutie van het scherm, de toetsenborden die geïnstalleerd waren, de netwerkverbinding en andere informatie waarmee gebruikers online geïdentificeerd kunnen worden. Dat zijn nou juist de soort gegevens die je met de App Tracking Transparency van iOS 14.5 privé moet kunnen houden. 

Deze data werd volgens Mysk verzameld terwijl gepersonaliseerde advertenties, gepersonaliseerde aanbevelingen en het delen van gebruiksdata allemaal uit stonden.

Alles bij de bron; TechRadar


 

Bij een cyberaanval op IT-leverancier ID-ware zijn meer gegevens gelekt van pashouders van de TU Eindhoven dat tot nu toe werd aangenomen. Van 2.846 pashouders zijn ook pasfoto's en in sommige gevallen ook telefoonnummers uitgelekt.

Eerder werd al bekend dat gegevens van zo'n 21.000 pashouders van de universiteit zijn getroffen. Het ging toen om namen, adresgegevens en pasnummers van campuspassen. Nu blijkt dat in 2.846 gevallen nog meer informatie is uitgelekt dan verwacht. Per persoon verschilt welke informatie is uitgelekt.

Alles bij de bron; Dutch-IT-Channel


 

Door een fout in de systeemupdate bij het Kadaster waren tussen 18 september en 11 oktober afgeschermde adressen te zien. De Volkskrant meldde het datalek als eerste nadat het de correspondentie tussen Kadaster en een gedupeerde inzag. 

Woordvoerder Suzie van den Hoek van het Kadaster zegt dat de fout is ontstaan in de koppeling tussen het systeem van de BRP (Basis Registratie personen) dat door gemeenten wordt gebruikt en het Kadaster. Na een update bij het Kadaster is het invoerveld 'kenmerk geheim adres' niet meegenomen. Daardoor konden zakelijke klanten van de applicatie Kadaster Online de gegevens zien.

3700 betrokkenen waarvan het adres is geraadpleegd terwijl ze als geheim geregistreerd stonden, zijn aangeschreven. Zij kunnen bij het Kadaster navragen wie hun gegevens heeft bekeken. 

Alles bij de bron; Computable


 

Onlangs werd bekend dat verschillende mediabedrijven gaan samenwerken voor de ontwikkeling van een zogenoemde ‘persoonlijke datakluis’ voor de gegevens van hun klanten en gebruikers. Ik vind het toe te juichen dat publieke en private partijen een Nederlands perspectief gaan inbrengen in een zo belangrijk onderdeel van onze digitale infrastructuur: namelijk de opslag van data.

Zo'n kluis voor alle gegevens over jezelf en je online gedrag veronderstelt rationele wezens, en dat zijn we niet, aldus .

...In de praktijk bestaat zo’n rationeel handelende mens niet. Als we een Fitbit of smartwatch dragen, delen we nu al met verbijsterend gemak onze meest private data over onze slaapgewoonten, hartslag, inspanningen met Google of Apple.  Stel je de goudmijn voor die een persoonlijke datakluis is voor de datarovers die we kennen uit Silicon Valley...

...Om nog maar te zwijgen over de situaties waarin dwang kan worden uitgeoefend. Je komt de VS, of China, voortaan alleen maar in als je de kluisdeuren wagenwijd open zet.

Hoe dan ook moeten we af van het idee dat de datakluis een persoonlijk bezit kan zijn. Dat is een te simpele voorstelling van zaken. Als het consortium van publieke en private media dit onder ogen ziet, kunnen we misschien een écht feestje gaan organiseren.

Alles bij de bron; NRC


 

GGD Hollands NoordenGGD Twente en GGD regio Utrecht hebben besloten om de ontwikkeling van een digitaal jeugddossier stop te zetten, ook al is er bijna 13 miljoen euro in het project geïnvesteerd.

Vanaf 2008 zijn gemeenten wettelijk verplicht om binnen de Jeugdgezondheidszorg cliëntgegevens digitaal vast te leggen. In 2015 is gestart met de voorbereiding om te komen tot een nieuw digitaal dossier. Tijdens de start van het project bestond er nog geen enkel digitaal dossier dat aan alle eisen voldeed. Dit was de reden voor de drie betrokken GGD’en om een nieuw digitaal dossier te laten ontwikkelen.

Het was de bedoeling dat het een "nieuwe eigentijdse dossierapplicatie" voor de jeugdgezondheidszorg zou worden, waarbij ouders en kinderen toegang tot onderdelen van het dossier zouden hebben. Er is echter een "verschil van inzicht" ontstaan over de kwaliteit en functionaliteit van het digitaal jeugddossier. Vanwege de ontstane impasse is nu besloten om de stekker eruit te trekken. 

Alles bij de bron; Security


 

Tal van Nederlandse zorginstellingen hebben een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een aanvaller wist in te breken op het digitale zorgplatform Carenzorgt. Ruim negenduizend zorgaanbieders en bijna een half miljoen mensen maken van de digitale gezondheidsomgeving gebruik...

...Het gaat onder andere om IcarePCSOHKwadrantGroepLibertas LeidenGB AutismeReinier van Arkel en YpseHet LaarAltrechtCareazLEVANTOgroepGGZ Drenthezorginstelling TragelVughterstedezorgorganisatie ZorgstroomCarinovazorginstelling De ZijlenTangenborghOROSavant Zorg.

De aanvaller maakte naar verluidt misbruik van een kwetsbaarheid in het systeem om de bestanden te downloaden. Er zijn vooralsnog geen aanwijzingen dat de documenten verspreid zijn. 

Alles bij de bron; Security


 

De Europese Commissie wil technologiebedrijven kunnen dwingen mee te kijken met de chats van hun gebruikers. Misschien wel de grootste bedreigingen voor vertrouwelijke communicatie op het internet op dit moment.

Centraal in het voorstel staat de oprichting van een nieuwe autoriteit, het EU-centrum. Die nieuwe instantie moet hun kantoorruimte gaan delen met Europol, de samenwerking tussen de politie in elk van de lidstaten. Dat is nodig, volgens de wetgever, voor "de betere mogelijkheden voor gegevensuitwisseling" en om er voor te zorgen dat "het personeel [...] meer loopbaanmogelijkheden [heeft] zonder van standplaats te hoeven veranderen." En natuurlijk regelt de wet dat de beide instanties "elkaar van een zo volledig mogelijke toegang tot relevante informatie en informatiesystemen [...]" voorzien.

In de praktijk zal de scheiding tussen de twee diensten dan ook niet meer dan een plantenbak zijn.

Dat EU-centrum heeft als taak meldingen van materiaal van mogelijk misbruik van kinderen te filteren. Die meldingen komen van platforms als WhatsApp of Signal. Om alle berichtjes te kunnen beoordelen, gebruiken die bedrijven kunstmatige intelligentie

Het EU-centrum moet vervolgens de meldingen van platformen "snel beoordelen en verwerken [...] om te bepalen of die meldingen kennelijk ongegrond zijn." Een afbeelding is alleen "kennelijk ongegrond" als er duidelijk geen sprake is van seksueel misbruik. Dat is heel duidelijk als op de foto twee bejaarden afgebeeld staan. Of als op de video een poesje water drinkt uit een bakje.

Maar op veel van de foto's zal wel iets van blote huid of genitaliën staan. En als niet meteen duidelijk is dat daarbij enkel volwassenen betrokken zijn, dan zou het kunnen dat het met jongeren is. En dan zou het kunnen dat er sprake is van misbruik. En dus is het niet meer "kennelijk ongegrond".

Als de melding naar inschatting van het EU-centrum niet "kennelijk ongegrond" is, moet er ook een kopie van die melding naar Europol. De melding wordt dan dus over de plantenbak gegooid. Europol krijgt daarmee de beschikking over een gigantische set aan intieme foto's, video's en chat's van met name jongeren. Dat zijn stuk voor stuk intieme foto's waar in veel gevallen helemaal niets mis mee is.

Wat Europol daarmee moet doen zegt het wetsvoorstel niet. Dat zal vast wel weer iets zijn als "analyseren" en "in samenhang brengen en verrijken met andere informatie." Het voorstel bepaalt niet hoe lang Europol die foto's mag bewaren. En dat terwijl veel van die intieme foto's, video's en chat's buiten het mandaat van Europol vallen. Dat is namelijk "ernstige internationale criminaliteit en terrorisme".

De enige manier om dat met zekerheid te bepalen, is door de context te kennen. Maar die heeft het EU-centrum niet. En dus is zo'n beetje elke melding van een foto met naakt en jonge mensen erop, en elk gesprek dat niet overduidelijk tussen volwassenen is, niet "kennelijk ongegrond". En dus mogelijk misbruik.

En in dat geval stuurt het centrum de foto door naar de politie van de relevante lidstaat. Is de gebruiker een Nederlandse gebruiker, dan wordt de melding dus doorgestuurd naar de Nederlandse politie. Die zal moeten onderzoeken of er écht sprake is van misbruik. De politie moet vervolgens op zoek naar de context: het verhaal achter de foto of het gesprek.

Kortom, als dit wetsvoorstel aangenomen wordt, zijn de gevolgen desastreus. Als je als jongere je seksualiteit onderzoekt, of gewoon een fijne relatie hebt, moet je de politie vrezen. Je kunt er immers niet langer op vertrouwen dat je meest intieme gesprekken alleen tussen jou en je partner blijven.

En voor politici die nu denken: "Goed punt, we moeten een bewaartermijn toevoegen," jij mist het punt. Om kinderen te beschermen is het helemaal niet nodig dat elke foto, video of chat die misschien wel op seksueel misbruik van jongeren zou kunnen wijzen, naar Europol moet.

Want wat was het doel ook al weer? Kinderen en jongeren beschermen toch? Dat kunnen we veel beter doen door de positie van slachtoffers te versterken, gebruikers eenvoudiger misstanden te laten melden, de capaciteit van de zedenpolitie te vergroten, en door ervoor te zorgen dat daders gestraft worden. Niet door mee te lezen met ieders vertrouwelijke communicatie, of door Europol te laten concurreren met Pornhub.

Alles bij de bron; Bits-of-Freedom


 

Wetenschappers van de KU Leuven zijn erin geslaagd om privacygevoelige locaties in de endpoint privacy zones van de Strava-app te achterhalen. Ze hebben dit voor elkaar gekregen door openbaar gedeelde gegevens te analyseren.

De onderzoekers hebben naar verluidt 1,4 miljoen activiteiten op het platform van Strava geanalyseerd. In 85 procent van de gevallen konden ze de verborgen locaties achterhalen die gebruikers verbergen via de zogenaamde endpoint privacy zones. Via deze endpoint privacy zones worden de eerste en laatste 200 meter van een afgelegde route automatisch verborgen voor andere gebruikers. Hierdoor zouden er geen privacygevoelige locaties, zoals het huisadres of een werkplek, worden gedeeld.

Maar aan de hand van metadata konden de onderzoekers deze privacygevoelige locaties wel achterhalen. De metadata omvat onder andere de afgelegde afstand van een Strava-gebruiker, de gevolgde route en de locatie waarop een Strava-gebruiker de endpoint privacy zone binnenkomt of buitengaat. In combinatie met een stratenplan kan deze gegevens volgens onderzoekers je vertrek- of aankomstpunt zelfs vrijgeven.

“De endpoint privacy zones geven een vals gevoel van veiligheid”, zegt Karel Dhondt, een van de onderzoekers van de KU Leuven, aan de VRT. "Gebruikers moeten zich ervan bewust zijn dat hun locatiegegevens nooit echt privé zijn", klinkt het.

Alles bij de bron; Tweakers


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!