De Amerikaanse toezichthouder FTC heeft datahandelaar Kochava aangeklaagd voor de verkoop van locatiegegevens van honderden miljoenen telefoons, waardoor mensen gevaar zouden lopen. Met de data van Kochava is het mogelijk om te zien dat personen "gevoelige locaties" hebben bezocht, zoals afkickklinieken of daklozen- en crisiopvang, aldus de FTC.

Door de verkoop van deze locatiegegevens heeft Kochava het mogelijk gemaakt voor anderen om personen te identificeren waardoor die aan allerlei risico's konden worden blootgesteld, zo stelt de toezichthouder.

Alles bij de bron; Security


 

Waar gehakt wordt vallen spaanders. Dat blijkt wel uit het meest recente datalek bij de GGD. Een medewerker van GGD IJsselland wilde een lijst met persoonsgegevens opsturen naar een collega. In plaats daarvan belandde de lijst bij iemand buiten de organisatie. Zodoende zijn er persoonsgegevens van 148 Nederlanders bij de verkeerde persoon terecht gekomen.

Op de lijst stonden mensen die GGD IJsselland wilde uitnodigen voor een vaccinatie tegen het apenpokkenvirus. Naast voor- en achternaam bevatte de lijst ook geboortedata, 06-nummers en e-mailadressen.

Om herhaling te voorkomen, heeft GGD IJsselland aanvullende maatregelen genomen. Privacygevoelige bestanden worden voortaan versleuteld met een wachtwoord en e-mailadressen worden niet langer automatisch aangevuld. GGD-medewerkers die gevoelige informatie naar mensen buiten de organisatie willen versturen, moeten dit (beveiligd) via Zorgmail doen.

Tot slot kijkt GGD IJsselland of er technische verbeterpunten kunnen worden toegepast om dit soort fouten in de toekomst te voorkomen.

Alles bij de bron; VPN-Gids


 

De aanvallers achter de phishingaanval op Twilio en Cloudflare hebben bij meer dan 130 organisaties toegeslagen en tienduizend accounts weten te compromitteren. Bij de aanval werden sms-berichten verstuurd waarin gebruikers werd gevraagd om in te loggen. De link in het bericht wees naar een phishingpagina. Ook tientallen Nederlandse gebruikers zijn geraakt.

Via de gegevens van Twilio-medewerkers wisten de aanvallers toegang te krijgen tot gegevens van 125 Twilio-klanten, waaronder versleutelde chatapp Signal. Op deze manier werden telefoonnummers en sms-registratiecodes van 1900 Signal-gebruikers buitgemaakt. De aanval gaat echter veel verder dan alleen Twilio en Cloudflare.

Een securitybedrijf stelt dat bij de aanval meer dan 130 organisaties zijn getroffen en de aanvallers 10.000 accounts hebben weten te compromitteren. Al deze bedrijven maken gebruik van de diensten identiteitsprovider Okta. Aangevallen medewerkers ontvingen een sms-bericht met een link naar een nagemaakte Okta-inlogpagina van hun organisatie.

Naast inloggegevens werden er ook zo'n 5500 MFA-codes bemachtigd. Voor de aanval werden zeker 169 unieke domeinnamen gebruikt. Het grootste deel van de slachtoffers bevindt zich in de Verenigde Staten. Het gaat om vooral om it-dienstverleners, softwarebedrijven en cloudproviders.

Alles bij de bron; Security


 

Dr. Johnny Ryan, senior fellow van de Ierse Raad voor Burgerlijke Vrijheden, beschuldigt samen met twee Amerikaanse privacy-activisten Oracle ervan op grote schaal dossiers over burgers te verkopen. Daarin zou informatie staan over onder meer hun politieke denkbeelden en online aankopen. Oracle zou ook externe ‘makelaars in data’ toestaan allerlei persoonlijke informatie die zonder toestemming van betrokken burgers is verkregen, via de Oracle Data Marketplace te verhandelen.

De privacy-activisten wijzen op claims van Oracle in het verleden. Al in 2016 zei Oracle-topman Larry Ellison dat over vijf miljard burgers gedetailleerde dossiers zijn vergaard. En momenteel claimt Oracle van 115 miljoen huishoudens precies te weten hoe ze leven. 

Oracle’s dossiers over mensen bevatten namen, thuisadressen, e-mails, online aankopen en in de fysieke wereld bewegingspatronen, inkomensgegevens, politieke standpunten en gedetailleerde overzichten van iemands online activiteiten.

TechCrunch kwam er achter dat Oracle zelfs wist dat een Duitser met een prepaid debit card op een bepaalde datum tien euro inzette op een site voor esports-weddenschappen. Volgens Johnny Ryan schendt Oracle de privacy van miljarden wereldburgers. Hij zegt dat Oracle op een gevaarlijke missie zit om precies te volgen hoe mensen bewegen en wat ze doen en wil Oracle’s wereldwijde surveillance-machine tot staan brengen.

Alles bij de bron; Computable


 

Door een verkeerd geconfigureerde Meta-trackingpixel zijn de privégegevens van ruim 1,3 miljoen Amerikanen in handen van Meta gekomen, zo waarschuwt een Amerikaanse zorgverlener die meerdere ziekenhuizen en medische centra beheert. De zorgverlener startte in mei 2020 een advertentiecampagne op Facebook en maakte daarbij ook gebruik van een trackingpixel op de eigen website om zo het succes van de campagne te meten.

De Meta-pixel was echter verkeerd ingesteld waardoor privégegevens van meer dan 1,36 miljoen patiënten afkomstig van de Novant Health-website en patiëntenportaal zo'n twee jaar lang naar Meta werden gestuurd.

Via de portaal kunnen patiënten onder andere afspraken maken en herhaalrecepten aanvragen. De gelekte data bestaat uit demografische informatie zoals e-mailadres, telefoonnummer, ip-adresen ingevulde contactgegevens en informatie over afspraken, zoals datum, arts en door patiënten zelf ingevulde informatie. Dit kan letterlijk van alles zijn, zoals klachten of aandoeningen.

Novant Health zegt dat het Meta meerdere keren en op verschillende manieren heeft gevraagd om de gevoelige gegevens te verwijderen, maar nooit een reactie van het bedrijf heeft ontvangen. 

Alles bij de bron; Security


 

De meerderheid van de apps die de menstruatiecyclus tracken, verzamelen grote hoeveelheden gevoelige data en delen die vervolgens met derde partijen. Dat moet blijken uit een studie van Mozilla, de non-profit die je vooral kent van de Firefox browser. In de studie bekeken de onderzoekers tien zwangerschapsapps, tien menstruatietrackers en vijf wearables.

Van de onderzochte apps waren er zeven die zich aan de nodige regels rond veiligheid van gebruikersdata en privacy hielden. De meerderheid verzamelden echter persoonlijke gegevens en verkochten die dan door aan data brokers en adverteerders. Nog uit de studie moet blijken dat acht van de apps niet aan de minimumvereisten voor beveiliging voldeden en bijvoorbeeld zwakke wachtwoorden zoals '1' toelieten. De meeste apps maakten bovendien niet duidelijk of ze die gevoelige data ook met de politie zouden delen als daarom gevraagd wordt.

Bij de toestellen en apps die redelijk uit de test komen zitten onder meer de wearables van Garmin, Apple en Fitbit. De app Euki, van een non-profit voor vrouwen, krijgt ook de volledige goedkeuring. Daar wordt alle data lokaal opgeslagen. De app laat zelfs toe om een vals wachtwoord in te geven, waarna de gebruiker een set valse gegevens te zien krijgt. Andere apps, zoals Glow&Eve en Sprout krijgen dan weer het label 'super eng'. Die laatste lijkt zelfs helemaal geen privacybeleid te hebben.

Alles bij de bron; DataNews


 

Het datalek bij Twitter dat vorig maand aan het licht kwam en onlangs door het bedrijf werd bevestigd is veel groter dan in eerste instantie gemeld.

Een aanvaller wist niet de gegevens van 5,4 miljoen accounts te stelen zoals eerst werd gemeld, maar van 6,7 miljoen accounts. Het gaat namelijk ook om gegevens van geschorste accounts. Het lek bevat profieltekst, e-mailadressen, geografische locaties, namen, telefoonnummers, profielfoto's en gebruikersnamen.

De gestolen profielinformatie is zowel van actieve als geschorste accounts, waarbij de 1,4 miljoen e-mailadressen van geschorste accounts op een aparte lijst werden aangeboden. De in totaal 6,7 miljoen unieke e-mailadressen van de getroffen Twitter-accounts zijn nu aan Have I Been Pwned toegevoegd.

Alles bij de bron; Security


 

Bij een aanval op Twitter zijn gegevens van 5,4 miljoen gebruikers gestolen, die vervolgens op internet te koop werden aangeboden, zo heeft het bedrijf bevestigd.

Vorige maand meldde Restore Privacy dat een aanvaller via een kwetsbaarheid in Twitter accountgegevens van 5,4 miljoen gebruikers had bemachtigd. Het beveiligingslek maakte het mogelijk om telefoonnummers en e-mailadressen van Twitter-accounts te achterhalen, ook al had de gebruiker deze velden via de privacyinstellingen afgeschermd.

In een verklaring bevestigt Twitter de datadiefstal en dat hierbij misbruik van een kwetsbaarheid is gemaakt. Twitter gaat getroffen gebruikers over het datalek informeren. Daarnaast adviseert het bedrijf gebruikers van een pseudoniem Twitter-account om geen publiek bekend telefoonnummer of e-mailadres aan het account te koppelen.

Alles bij de bron; Security


 

De techindustrie is altijd bezig om de samen­leving het Volgende Grote Idee te verkopen. Eén daarvan is de smart city. Volgens IBM is de utopische slimme stad er één van “instrumentatie, interconnectiviteit en intelligentie”, of in normale mensentaal: een stad die (automatisch) bestuurd wordt op basis van data die continu verzameld worden door een uitgebreid netwerk van sensoren. Opvallend is dat in deze stad geen mensen, maar data centraal staan. Waar komt dit misplaatste vertrouwen in data toch vandaan?,..

...de term smart city werd door IBM in een marketingcampagne geïntroduceerd, en is dus niet veel meer dan een excuus om hun technologie te verkopen aan overheden...

...Ik vermoed dat de smart city zo aantrekkelijk is, omdat het op zich geen gek idee is om meetgegevens te gebruiken om tot betere beslissingen te komen.

Het was bijvoorbeeld slim toen er in 2020 kleinschalig werd begonnen met rioolwateronderzoek om de verspreiding van het coronavirus te meten. Die informatie bleek zo nuttig te zijn dat inmiddels in opdracht van het ministerie van VWS rioolwater uit heel Nederland op deze manier onderzocht wordt.

Jammer genoeg wordt er door zulke successen al gauw gedacht dat het ook nuttig zal zijn om doelloos van alles en nog wat te gaan meten. Zo staat er nu op de website van het RIVM: “Rioolwater kan mogelijk in de toekomst op lokaal, regionaal en landelijk niveau informatie leveren over obesitas, diabetes, bepaalde vormen van kanker, medicijn- en drugsgebruik, microplastics en bestrijdingsmiddelen”.

Wat zou precies het doel van deze dataverzameling zijn? Wil het ministerie van VWS een dikke-mensenalarm gaan maken? Gaan er hele wijken gescreend worden als er sporen van kanker in het rioolwater gevonden worden? 

Dit is niets anders dan de nutteloze datahonger die Google al in Toronto tentoonstelde. En juist daarom put ik hoop uit de overwinning van Toronto op Google. Want heel misschien is het Volgende Grote Idee wel dat mensen belangrijker zijn dan data.

Alles bij de bron; Trouw


 

Verschillende Nederlandse woningcorporaties waarschuwen huurders voor een datalek nadat energiedienstverlener ista vorige week het slachtoffer van een cyberaanval is geworden. Ista verzorgt voor woningcorporaties de plaatsing van energie- en watermeters, de registratie van de meterstanden, het onderhoud van de meters en het maken van de individuele afrekeningen.

Aanvallers wisten vorige week toegang tot de systemen van ista te krijgen. Vervolgens zijn alle mogelijk getroffen systemen door het bedrijf offline gehaald, zo blijkt uit een verklaring over het incident. Daardoor zijn allerlei diensten niet meer bereikbaar, waaronder het klantenportaal. Ook is nog onduidelijk of de aanvallers gegevens hebben buitgemaakt. Ista beschikt over de gegevens van huurders van woningcorporaties...

...Of er sprake is van een ransomware-aanval laat ista niet weten. Ook is onduidelijk wanneer alle systemen weer online zijn. Het onderzoek naar de aanval is nog gaande. "Nadat we de Nederlandse it-omgeving grondig hebben gecontroleerd, hebben we besloten dat het veilig is om onze lokale applicaties langzaam weer op te starten en op bepaalde gebieden weer te gaan werken. Gezien het internationale karakter van bepaalde applicaties is het niet te voorkomen dat het meer tijd zal kosten voordat we weer volledig up and running zijn", aldus ista.

Alles bijde bron; Security


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!