Een gigantisch datalek met 2,7 miljard documenten zou persoonlijke gegevens kunnen bevatten van zowat elke persoon in de Verenigde Staten, het Verenigd Koninkrijk en Canada.
Voor de VS zou het bijvoorbeeld gaan om social security nummers waarmee elke Amerikaan geïdentificeerd kan worden. Daarnaast zouden ook namen, adressen en mogelijke aliassen in het lek staan. De verzameling gegevens wordt te koop aangeboden op een hackerforum.
De gegevens zouden komen van National Public Data, een data broker die persoonlijke gegevens verzamelt en verkoopt aan bijvoorbeeld privédetectives. Een gelijkaardige verzameling werd in april al aangeboden door USDoD voor 3,5 miljoen dollar, zo schrijft BleepingComputer.
Ondertussen zijn er al delen van documenten vrijgegeven en nu zou bijna de volledige collectie gratis op een hackingforum staan. De echtheid van enkele gegevens is ondertussen door verschillende personen bevestigd, al zouden er ook veel fouten in de data te staan.
Het gaat om twee tekstbestanden van samen zo’n 277 GB, met 2,7 miljard lijnen plaintext. De kans is groot dat zowat iedereen die in de Verenigde Staten woont of woonde, in de gelekte data voorkomt. Gezien daar ook soms telefoonnummer en mailadressen bij staan, is de kans op phishing- en andere aanvallen daar wel erg groot.
Alles bij de bron; Datanews
Vorige maand verschenen op Telegram allerlei logbestanden met inloggegevens die van de besmette systemen door middel van infostealer-malware waren gestolen. Troy Hunt, oprichter van Have I Been Pwned, ontving in totaal 22 gigabyte aan logbestanden met gestolen inloggegevens.
In de bestanden vond hij meer dan 26 miljoen unieke e-mailadressen die voor meerdere accounts worden gebruikt en waarvan de inloggegevens via infostealer-malware zijn gecompromitteerd. Dergelijke malware steelt gebruikersnamen en wachtwoorden die op het systeem worden gevonden of ingevoerd. De gestolen data wordt dan teruggestuurd naar de aanvallers, die de inloggegevens zelf gebruiken of aan anderen verkopen.
Van de aangetroffen e-mailadressen was negentig procent al via een ander datalek bij Have I Been Pwned bekend. Dat houdt in dat bijna 2,7 miljoen e-mailadressen nieuw voor de zoekmachine zijn, merkt Hunt op.
Alles bij de bron; Security
Burgerrechtenbeweging EFF heeft toezichthouder FTC opgeroepen tot het doen van onderzoek naar de manier waarop autofabrikanten informatie over het rijgedrag en de locatie van de automobilisten verzamelen, gebruiken en doorverkopen. Aanleiding is een brief van de Amerikaanse senatoren Ron Wyden en Edward Markey waaruit blijkt dat Honda en Hyundai gegevens over het rijgedrag voor een paar cent per automobilist aan datahandelaren doorverkopen.
Volgens de EFF stellen voorstanders dat dergelijke dataverzameling een manier is om premiekortingen te krijgen, maar wordt zelden vermeld dat de premie omhoog kan gaan. De EFF merkt op dat de drie autofabrikanten in de brief van de senatoren (GM wilde geen details over de verkoop van rijgedrag geven) niet de enigen zijn die data zonder echte geldige toestemming verkopen.
"En het is waarschijnlijk dat er andere datahandelaren zijn die met dit soort data werken. De FTC zou deze industrie verder moeten onderzoeken, net zoals het heeft gedaan met andere industrieën die dataprivacy bedreigen", aldus de EFF.
Alles bij de bron; Security
Alkmaar wil meer parkeerhandhaving in Alkmaar realiseren zodat de parkeerders beter aan hun betaalverplichting gaan voldoen. Op basis van die business case heeft het college besloten een scanauto in te gaan zetten als handhavingsmiddel.
Na het testen in augustus zal de handhaving per 1 september worden gedaan met behulp van een scanauto. Daarnaast blijft het huidige parkeerbeleid van Alkmaar, inclusief de analoge producten zoals de papieren bezoekersvergunning en de papieren gehandicaptenparkeerkaart, daarbij onverminderd van kracht.
Het college heeft tevens besloten om de medewerkers van P1 die niet meer benodigd zijn voor de parkeerhandhaving in te blijven zetten op toezicht in de binnenstad op het gebied van verkeersfeiten die overlast veroorzaken.
Alles bij de bron; BeatFM
Telecomgigant AT&T heeft de telefoongegevens van 'bijna alle' klanten gelekt, zo laat het in een melding aan de Amerikaanse beurswaakhond SEC weten.
Het gaat om telefoonnummers, gespreks- en sms-gegevens en locatiegerelateerde data die door criminelen uit de Snowflake-omgeving van het bedrijf zijn gestolen, aldus het bedrijf. Naast gegevens van AT&T-klanten gaat het ook om data van andere telecomproviders die van het netwerk van AT&T gebruikmaken.
AT&T stelt dat de gestolen data niet de inhoud van gesprekken of sms-berichten bevat, maar wel gegevens hierover, zoals welke telefoonnummers contact met elkaar hadden. Het betreft data over een periode van zes maanden, van 1 mei 2022 tot en met 31 oktober 2022. Een deel van de gestolen data zijn 'cell site identification' nummers, die gelinkt zijn aan telefoongesprekken en sms-berichten.
In totaal zal AT&T 110 miljoen klanten over dit nieuwe datalek waarschuwen, dat het op 19 april ontdekte. Eerder dit jaar waarschuwde AT&T ook al voor een ander datalek, waarbij het de gegevens van ruim 51 miljoen voormalige en huidige klanten had gelekt.
Alles bij de bron; Security
De schoolboekenleverancier Iddink meldt dat er een mogelijk datalek heeft plaatsgevonden. In april van dit jaar werd Iddink ook al slachtoffer van een ransomwareaanval.
De schoolbesturenorganisatie Sivon meldt dat een inloglink voor het inleveren van schoolboeken bij Iddink 'eenvoudig aan te passen' was. Hierdoor kon een kwaadwillende in theorie toegang verkrijgen tot informatie van leerlingen, waaronder namen, straatnamen, postcodes, woonplaatsen en informatie over de school en schoolboeken van de persoon.
Meerdere ouders van kinderen hebben de kwetsbaarheid opgemerkt en dit bij Sivon gemeld. Iddink meldde desondanks het datalek bij de Autoriteit Persoonsgegevens, wat verplicht is.
Volgens het bedrijf is er een overlap tussen de gegevens die bij het betreffende datalek toegankelijk waren en de gegevens die bij de cyberaanval van april dit jaar werden buitgemaakt. In dat laatste geval ging het daarnaast ook om bankgegevens. Iddink levert naar eigen zeggen lesmateriaal aan 300.000 middelbareschoolleerlingen in Nederland en 120.000 scholieren in België
Alles bij de bron; Tweakers
Het ministerie van Financiën heeft in twee internetconsultaties voorgesteld dat de financiële toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) op grote schaal persoonsgegevens van klanten mogen gaan opvragen bij financiële instellingen zoals banken.
Privacy First heeft deelgenomen aan beide consultaties en heeft zware kritiek op de voorstellen, nu beide toezichthouders al op grote schaal persoonsgegevens verwerken zonder dat daar publieke verantwoording over wordt afgelegd.
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.
Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers.
DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek.
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.
Verder achten wij het ongewenst dat de uitwerking van het type persoonsgegevens dat financiële instellingen moeten verschaffen niet plaatsvindt in een wet, maar in een algemene maatregel van bestuur. Voorts is niet transparant hoe de toezichthouders de van financiële instellingen verkregen gegevens gaan koppelen aan andere datasets waarover zij beschikken en dient daar helderheid over te komen. Verschaffing van granulaire data aan internationale organisaties hoort naar de mening van Privacy First niet plaats te vinden.
Tot slot is gewenst dat er onafhankelijk gegevensverwerkingstoezicht op AFM en DNB wordt gecreëerd en dat wordt gezorgd voor andere waarborgen om te voorkomen dat de financiële toezichthouders verkeerd omgaan met persoonsgegevens en andere granulaire data.
Alles bij de bron; PrivacyFirst
Het Europese Hof van Justitie stelde in 2022 dat een openbaar register van begunstigden de privacy van bestuurders schond. Nu is een nieuw register in de maak, met gevolgen voor familiebedrijven en stichtingen.
In het nieuwe pakket met antiwitwasmaatregelen wil de Europese Unie opnieuw toegang geven tot het UBO-register aan een groot aantal partijen. Dat betreft, naast overheidsinstanties, ook journalisten, verslaggevers en ‘anderen die zich uiten in de media’ – wat dus de vraag oproept of naast echte journalisten straks ook gewoon iedereen met een socialemedia-account een aanvraag kan doen.
Daarnaast kan, zonder goede definitie en restrictie, iedereen onder een van de andere groepen vallen die straks toegang moet krijgen tot het UBO-register. Zo krijgt iedereen die een transactie wil aangaan met een rechtspersoon én betrokkenheid met witwassen en terrorismefinanciering wil voorkomen toegang. En termen als ‘maatschappelijke organisaties’ en ‘wetenschappers’ zijn bijzonder vaag.
Ironie ten top is dat de geregistreerde zelf niet in mag zien wie in zijn of haar gegevens heeft gekeken, vanwege de privacy van de persoon die deze gegevens heeft willen inzien. Dat is in afwijking van een eerdere uitspraak van het Europees Hof. Bovendien is het onacceptabel.
Eigenaren van familiebedrijven, ondernemers en bestuurders van stichtingen en verenigingen zijn óók burgers, met grondrechten én belang bij privacy en veiligheid. Wij vragen de politiek in Brussel én in Den Haag om die grondrechten te beschermen, en de verleiding te weerstaan om deze opzij te zetten.
Alles bij de bron; FD [inloggen noodzakelijk]
Een bedrijf dat identiteiten verifieert van TikTok-, Uber- en X-gebruikers, heeft identiteitsdocumenten gelekt die door gebruikers waren geüpload. De gegevens waren zeker een jaar toegankelijk.
Het gaat om het Israëlische bedrijf AU10TIX, dat niet alleen identiteiten verifieert, maar ook aan leeftijdsverificatie doet. Een beveiligingsonderzoeker ontdekte dat de inloggegevens voor een loggingplatform van het bedrijf online stonden.
Op dat platform staan links naar data gerelateerd aan specifieke mensen die hun identiteitsdocumenten hadden geüpload. Onbevoegden kunnen daar namen, geboortedata, nationaliteiten en identificatienummers inzien. Daarnaast was zichtbaar wat voor soort document was geüpload, zoals een rijbewijs of ID-kaart. Ook bevat het platform een link naar een afbeelding van het document zelf en het resultaat van het verificatieproces.
AU10TIX bevestigt dat er een incident is geweest waarbij iemand in het account van een werknemer is gekomen. Dat incident speelde zich anderhalf jaar geleden af, waarop de inloggegevens werden ingetrokken. De beveiligingsonderzoeker zegt echter dat de inloggegevens een maand geleden nog werkten. AU10TIX zegt daarop dat het systeem in kwestie wordt uitgefaseerd.
Alles bij de bron; Tweakers
Demissionair Helder van Volksgezondheid wil dat medische gegevens van Nederlanders via het Nationaal Contactpunt voor eHealth (NCPeH-NL) in Europa kunnen worden uitgewisseld en heeft het wetsvoorstel gepresenteerd dat hiervoor moet zorgen.
Het wetsvoorstel regelt de wettelijke taak en de grondslagen voor gegevensverwerking voor het Nationaal Contactpunt voor eHealth. De European Health Data Space (EHDS) zal straks van het contactpunt gebruikmaken.
De EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. Burgers die niet willen dat hun medische gegevens via dit systeem worden uitgewisseld moeten hier actief bezwaar tegen maken.
Stichting Privacy First is kritisch over het contactpunt. "Voor iedere aangesloten patiënt wordt er een index bijgehouden met de locaties van diens medische gegevens. Een arts mag die gegevens alleen opvragen binnen de context van een ‘behandelrelatie’, maar die behandelrelatie ontstaat pas wanneer je bij de arts binnenloopt. Het NCPeH-NL kan dus enkel achteraf (via ‘logging’) controleren of de opvraging terecht was. In beginsel kan dus iedere arts (of hacker) in heel Europa voor ieder geldig BSN medische gegevens opvragen."
Volgens Privacy First komt daarbij dat het NCPeH-NL ook binnen Nederland gebruikt kan worden en er maar één partij is die een landelijke index levert: de ontwikkelaar van het Landelijk Schakelpunt (LSP) en Mitz! Het NCPeH-NL fungeert hiermee als een nieuw Landelijk EPD, zonder dat het duidelijk is welke zeggenschap je daar straks in hebt", aldus de stichting, die burgers oproept om aan hun opt-out te denken.
Het publiek kan via Internetconsultatie.nl tot 2 augustus op het voorstel reageren.
Alles bij de bron; Security