- Gegevens
- Hoofdcategorie: Nieuws
De Europese Commissie wil technologiebedrijven kunnen dwingen mee te kijken met de chats van hun gebruikers. Misschien wel de grootste bedreigingen voor vertrouwelijke communicatie op het internet op dit moment.
Centraal in het voorstel staat de oprichting van een nieuwe autoriteit, het EU-centrum. Die nieuwe instantie moet hun kantoorruimte gaan delen met Europol, de samenwerking tussen de politie in elk van de lidstaten. Dat is nodig, volgens de wetgever, voor "de betere mogelijkheden voor gegevensuitwisseling" en om er voor te zorgen dat "het personeel [...] meer loopbaanmogelijkheden [heeft] zonder van standplaats te hoeven veranderen." En natuurlijk regelt de wet dat de beide instanties "elkaar van een zo volledig mogelijke toegang tot relevante informatie en informatiesystemen [...]" voorzien.
In de praktijk zal de scheiding tussen de twee diensten dan ook niet meer dan een plantenbak zijn.
Dat EU-centrum heeft als taak meldingen van materiaal van mogelijk misbruik van kinderen te filteren. Die meldingen komen van platforms als WhatsApp of Signal. Om alle berichtjes te kunnen beoordelen, gebruiken die bedrijven kunstmatige intelligentie.
Het EU-centrum moet vervolgens de meldingen van platformen "snel beoordelen en verwerken [...] om te bepalen of die meldingen kennelijk ongegrond zijn." Een afbeelding is alleen "kennelijk ongegrond" als er duidelijk geen sprake is van seksueel misbruik. Dat is heel duidelijk als op de foto twee bejaarden afgebeeld staan. Of als op de video een poesje water drinkt uit een bakje.
Maar op veel van de foto's zal wel iets van blote huid of genitaliën staan. En als niet meteen duidelijk is dat daarbij enkel volwassenen betrokken zijn, dan zou het kunnen dat het met jongeren is. En dan zou het kunnen dat er sprake is van misbruik. En dus is het niet meer "kennelijk ongegrond".
Als de melding naar inschatting van het EU-centrum niet "kennelijk ongegrond" is, moet er ook een kopie van die melding naar Europol. De melding wordt dan dus over de plantenbak gegooid. Europol krijgt daarmee de beschikking over een gigantische set aan intieme foto's, video's en chat's van met name jongeren. Dat zijn stuk voor stuk intieme foto's waar in veel gevallen helemaal niets mis mee is.
Wat Europol daarmee moet doen zegt het wetsvoorstel niet. Dat zal vast wel weer iets zijn als "analyseren" en "in samenhang brengen en verrijken met andere informatie." Het voorstel bepaalt niet hoe lang Europol die foto's mag bewaren. En dat terwijl veel van die intieme foto's, video's en chat's buiten het mandaat van Europol vallen. Dat is namelijk "ernstige internationale criminaliteit en terrorisme".
De enige manier om dat met zekerheid te bepalen, is door de context te kennen. Maar die heeft het EU-centrum niet. En dus is zo'n beetje elke melding van een foto met naakt en jonge mensen erop, en elk gesprek dat niet overduidelijk tussen volwassenen is, niet "kennelijk ongegrond". En dus mogelijk misbruik.
En in dat geval stuurt het centrum de foto door naar de politie van de relevante lidstaat. Is de gebruiker een Nederlandse gebruiker, dan wordt de melding dus doorgestuurd naar de Nederlandse politie. Die zal moeten onderzoeken of er écht sprake is van misbruik. De politie moet vervolgens op zoek naar de context: het verhaal achter de foto of het gesprek.
Kortom, als dit wetsvoorstel aangenomen wordt, zijn de gevolgen desastreus. Als je als jongere je seksualiteit onderzoekt, of gewoon een fijne relatie hebt, moet je de politie vrezen. Je kunt er immers niet langer op vertrouwen dat je meest intieme gesprekken alleen tussen jou en je partner blijven.
En voor politici die nu denken: "Goed punt, we moeten een bewaartermijn toevoegen," jij mist het punt. Om kinderen te beschermen is het helemaal niet nodig dat elke foto, video of chat die misschien wel op seksueel misbruik van jongeren zou kunnen wijzen, naar Europol moet.
Want wat was het doel ook al weer? Kinderen en jongeren beschermen toch? Dat kunnen we veel beter doen door de positie van slachtoffers te versterken, gebruikers eenvoudiger misstanden te laten melden, de capaciteit van de zedenpolitie te vergroten, en door ervoor te zorgen dat daders gestraft worden. Niet door mee te lezen met ieders vertrouwelijke communicatie, of door Europol te laten concurreren met Pornhub.
Alles bij de bron; Bits-of-Freedom
- Gegevens
- Hoofdcategorie: Databases
Wetenschappers van de KU Leuven zijn erin geslaagd om privacygevoelige locaties in de endpoint privacy zones van de Strava-app te achterhalen. Ze hebben dit voor elkaar gekregen door openbaar gedeelde gegevens te analyseren.
De onderzoekers hebben naar verluidt 1,4 miljoen activiteiten op het platform van Strava geanalyseerd. In 85 procent van de gevallen konden ze de verborgen locaties achterhalen die gebruikers verbergen via de zogenaamde endpoint privacy zones. Via deze endpoint privacy zones worden de eerste en laatste 200 meter van een afgelegde route automatisch verborgen voor andere gebruikers. Hierdoor zouden er geen privacygevoelige locaties, zoals het huisadres of een werkplek, worden gedeeld.
Maar aan de hand van metadata konden de onderzoekers deze privacygevoelige locaties wel achterhalen. De metadata omvat onder andere de afgelegde afstand van een Strava-gebruiker, de gevolgde route en de locatie waarop een Strava-gebruiker de endpoint privacy zone binnenkomt of buitengaat. In combinatie met een stratenplan kan deze gegevens volgens onderzoekers je vertrek- of aankomstpunt zelfs vrijgeven.
“De endpoint privacy zones geven een vals gevoel van veiligheid”, zegt Karel Dhondt, een van de onderzoekers van de KU Leuven, aan de VRT. "Gebruikers moeten zich ervan bewust zijn dat hun locatiegegevens nooit echt privé zijn", klinkt het.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
Een Australische pathologisch laboratorium heeft 223.000 patiënten pas na acht maanden gewaarschuwd voor een datalek met hun persoonlijke informatie. Medlab Pathology werd in februari het slachtoffer van een ransomware-aanval waarbij er ook gegevens van 223.000 patiënten werden gestolen. Dit werd echter niet ontdekt door de forensisch specialisten die destijds waren ingehuurd, aldus Medlab (pdf).
In juni werd het bedrijf gewaarschuwd door het Australische Cyber Security Centre (ACSC) dat gegevens van patiënten op internet waren geplaatst. Volgens Medlab was de aangeboden dataset "complex en ongestructureerd" en daardoor zou het zo lang hebben geduurd voordat het bedrijf patienten kon waarschuwen.
Van ruim 28.000 patiënten zijn ook creditcardgegevens en namen buitgemaakt, waaronder ook duizenden CVV-nummers. Verder kregen de aanvallers van ruim 17.000 patiënten de gezondheidsdossiers met betrekking tot het laboratoriumonderzoek in handen en werden ook meer dan 128.000 zorgverzekeringsnummers met namen gestolen. Hoe de aanvallers precies toegang konden krijgen laat Medlab niet weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Criminelen zijn erin geslaagd om bij de Australische zorgverzekeraar Medibank allerlei gevoelige gegevens van klanten te stelen, waaronder informatie over diagnoses en behandelingen. Dat heeft het bedrijf vandaag bekendgemaakt. Vorige week liet Medibank weten dat het "ongewone activiteit" op het netwerk had ontdekt. Bij het "cyberincident" zouden echter geen gegevens van klanten zijn buitgemaakt....
....Gisteren meldde Medibank dat het was benaderd door de aanvallers, die claimden tweehonderd gigabyte aan data in bezit te hebben. Als bewijs hebben de aanvallers informatie over honderd polishouders gedeeld, zo laat de verzekeraar weten.
Het gaat om namen, adresgegevens, geboortedata, zorgverzekeringsnummer, polisnummer, telefoonnummers en gegevens over declaraties, zoals de locatie waar een klant medische zorg heeft ontvangen en codes met betrekking tot de diagnoses en behandeling.
Medibank bevestigt dat die gegevens bij het bedrijf zijn gestolen. De aanvallers claimen ook creditcardgegevens in bezit te hebben, maar dat is nog niet bevestigd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Microsoft heeft via een verkeerd geconfigureerde server de gegevens van klanten gelekt. Het gaat om zakelijke transactiegegevens, zoals namen, e-mailadressen, inhoud van e-mails, bedrijfsnaam, telefoonnummers en bestanden met betrekking tot de zaken tussen klanten en Microsoft of een geautoriseerde Microsoft-partner. Door de fout aan de kant van het techbedrijf waren de klantgegevens zonder enige inloggegevens voor iedereen op internet toegankelijk.
Securitybedrijf SOCRadar ontdekte de server en waarschuwde Microsoft. Volgens het securitybedrijf bevatte de verkeerd geconfigureerde server 2,4 terabyte aan data van 65.000 entiteiten in 111 landen. Het ging bij elkaar om 335.000 e-mails, informatie over 133.000 projecten en data van 548.000 gebruikers. Het gaat dan bijvoorbeeld om facturen, getekende klantdocumenten, verkoopstrategieën, prijslijsten, productbestellingen en documenten.
SOCRadar claimt dat het om één van de grootste B2B-datalekken van de afgelopen jaren gaat ook biedt het bedrijf een zoektool aan waarmee organisaties kunnen kijken of ze onderdeel van het datalek zijn. Microsoft stelt dat deze tool niet in het belang van de privacy en security van klanten is en hen aan onnodige risico's blootstelt. De betreffende server is inmiddels beveiligd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Een Eindhovense huisartsenpraktijk heeft door een fout bij het versturen van twee e-mails de gegevens van vijfhonderd patiënten gelekt. Vorige week verstuurde de huisartsenpraktijk een e-mail naar patiënten. Door een menselijke fout werden de e-mailadressen niet in het bcc-veld gezet, zo laat de huisartsenpraktijk weten.
Na ontdekking van de fout heeft de huisartsenpraktijk de eigen ict-leverancier benaderd met de vraag of het bericht kon worden ingetrokken. De ict-leverancier claimde dat dit kon en verstuurde vervolgens een correctiemail, maar daar waren alle e-mailadressen weer zichtbaar voor alle ontvangers.
De huisartsenpraktijk heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Daarnaast is besloten om alleen via MijnGezondheid.net berichten naar patiënten te sturen. "Op deze manier is het onmogelijk om gegevens te delen met andere patiënten", aldus de huisartsenpraktijk.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Zonder dat twitteraars het weten, verzamelt de overheid hun berichten om reacties te peilen op het beleid. Onder meer het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) gaan op die manier te werk.
Overheden gebruiken voor het verzamelen en analyseren van (kritische) tweets tools van commerciële bedrijven als Coosto, Obi4wan en Twittertap. Deze tools ‘tappen’ Twitter, verzamelen op grote schaal (anonieme) berichten en maken deze geschikt voor data-analyse. Het gaat om vragen van twitteraars, berichten waar de betreffende overheid in wordt genoemd door bijvoorbeeld opiniemakers, of nieuwsartikelen en reacties daarop.
Volgens deskundigen is deze werkwijze problematisch, omdat gebruikers ten onrechte niet worden geïnformeerd.
Dat overheden Twitterberichten analyseren heeft vaak een pragmatische reden. Het is volgens hen het enige platform dat zonder toestemming van de gebruiker toestaat berichten op te slaan. Verschillende experts plaatsen daar grote vraagtekens bij. Burgers hebben het recht om te weten wat er met hun gegevens gebeurt en waarvoor ze worden gebruikt.
“Ze moeten de betrokkenen mijn inziens op de hoogte brengen indien ze tweets en accountgegevens opslaan", zegt internetrecht-jurist en rechtswetenschapper Mathieu Paapst. “Eigenlijk is het opmerkelijk dat de overheid als betalende opdrachtgever dit niet gewoon eist van Coosto.”
Alles bij de bron; Trouw
- Gegevens
- Hoofdcategorie: Databases
Toyota heeft de gegevens van meer dan 296.000 klanten gelekt nadat broncode van een Toyota-website jarenlang via een publiek GitHub-account beschikbaar was. De broncode bevatte een key waarmee toegang tot de server kon worden verkregen waarop de klantgegevens stonden. Het gaat om het e-mailadres en klantnummer die Toyota-klanten bij de registratie op de Toyota Connect-website hadden ingevuld.
... Volgens Toyota heeft de webontwikkelaar de regels voor het omgaan met broncode geschonden door die naar een publiek GitHub-account te uploaden. Iets dat het bedrijf pas op 15 september van dit jaar ontdekte. Toyota zal alle gedupeerde klanten nu waarschuwen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
De computersystemen van de Belastingdienst kunnen zoekopdrachten van medewerkers niet terughalen. Dat maakt onderzoek naar corruptie heel ingewikkeld. Ook bij andere overheidsdiensten is dat soms complex.
‘Voor plan C:”, schrijft Ridouan Taghi in een kladblok terwijl zijn advocaat en neef Youssef achter de glazen wand van de spreekkamer in de Extra Beveiligde Inrichting (EBI) in Vught toekijkt. „Moedir heeft contact bij de belastingdienst”, schrijft Taghi vervolgens. „Check alvast alles perfect. Geen domme jongens.”...
....Als NRC in januari van dit jaar publiceert over het contact van Moedir, gaan bij de Belastingdienst de alarmbellen af. De computersystemen van de dienst bevatten namelijk gedetailleerde persoonsgegevens over alle Nederlanders die belasting betalen of toeslagen ontvangen, inclusief partners en kinderen. Die informatie gaat niet alleen over inkomen, aftrekposten en vermogen. Ook adresgegevens zitten in dat systeem: van de woning tot de werkplek.
Aan het systeem van de Belastingdienst zijn ook gegevens van andere overheidsdiensten gekoppeld, zoals de database van de Rijksdienst voor het Wegverkeer, die alle geregistreerde autokentekens koppelt aan een burger. Dat betekent dat een belastingambtenaar met zekere bevoegdheden aan één kenteken genoeg heeft om de doopceel van een burger te lichten. „Als het om dit soort gegevens gaat, kun je beter een corrupt contact hebben binnen de Belastingdienst dan binnen de politie,” vertelt een goed ingevoerde bron binnen de opsporing.
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Databases
Streamingdiensten zijn inmiddels al heel wat jaar in ons leven. Als je er vanaf het begin bij was, heb je dus zomaar honderden afleveringen of films gekeken via Netflix en andere aanbieders.
Het kan handig zijn om die gegevens in te zien en kan dienen als wake-upcall: dat diensten al die data over jouw gedrag bewaren, zegt natuurlijk wel wat over je privacy.
Netflix blijkt letterlijk al je kijkgeschiedenis te bewaren, zonder dat die ooit verjaart. Als je al jarenlang abonnee bent, kun je dus terugzien wat je vanaf het begin allemaal hebt gestreamd.
Log in en ga naar je kijkgeschiedenis. Hier zie je de laatste dingen die je hebt bekeken. Dat kan lijst zijn verspreid over meerdere pagina's. Helemaal onderaan vind je de knop 'Downloaden'. Als je hierop klikt, krijg je direct een Excel-bestand met je gehele geschiedenis.
Bij andere diensten is het jammer genoeg vaak niet mogelijk om zo'n totaaloverzicht te krijgen. Bij bijvoorbeeld Disney+, Videoland en HBO Max zie je alleen de films en series die je het recentst hebt bekeken. Na een tijdje verdwijnen die ook weer uit je feed.
Amazon Prime Video heeft wel een uitgebreide lijst voor je beschikbaar. Log in via de site en klik rechtsboven op je profiel. Daar kies je voor 'Account en instellingen' en navigeer je naar het tabblad 'Kijkgeschiedenis'.
Hier vind je alles wat je ooit hebt gekeken, en je kan een flink eind naar beneden scrollen. Helaas kun je geen bestand downloaden, waardoor de lijst niet makkelijk doorzoekbaar is.
Alles bij de bron; NU