Digitale Schandpaal

De onrechtmatige praktijken van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) lijken uit een bodemloze put te komen. Onlangs bleek al dat ze burgers illegaal surveilleerde, nu blijkt uit nieuw onderzoek dat de NCTV gemeenten heeft aangespoord private bedrijven in te zetten om in moskeeën te infiltreren.

Volgens het NRC hebben zeker tien gemeenten commerciële partijen ingehuurd om heimelijk onderzoek te laten doen in gebedshuizen. De onderzoekers, die zich niet als zodanig kenbaar maakten verzamelden allerlei persoonlijke informatie over bezoekers en bestuursleden. Met naam en toenaam werd er beschreven wie van wie familie was, welke opleidingen mensen hadden gedaan, wie onderling ruzie had en waar mensen precies in geloofden.

Bij deze surveillancepraktijken werden vermoedelijk ook onrechtmatig persoonsgegevens verwerkt. Juist om mensenrechten te beschermen, mogen gegevens over iemands godsdienst of etnische afkomst volgens de Europese privacywet in principe niet worden verwerkt. De Autoriteit Persoonsgegevens noemt dit beeld dan ook “zeer zorgerlijk” maar hoeveel privacyschendingen moeten er nog volgen voordat de Autoriteit Persoonsgegevens de NCTV en gemeenten tot orde roept? De Autoriteit Persoonsgegevens kan immers wat interne toezichthouders niet kunnen: handhaven en boetes uitdelen.

Hoe kan het dat de overheid, die in een democratie afhankelijk is van vertrouwen, voor de zoveelste keer de wet overtreedt en grondrechten van burgers aan de laars lapt? Zolang toezichthouders niet optreden, het Openbaar Ministerie niet vervolgt, de minister van Justitie en Veiligheid het NCTV niet ter verantwoording roept, maar een blik nieuwe bevoegdheden opentrekt – kortom zolang de checks & balances in onze rechtsstaat niet werken – blijft de overheid een veelpleger.

We blijven ons inzetten tegen onnodige en disproportionele verruiming van de bevoegdheden van de NCTV. Want als deze organisatie nu al haar taken niet op een legale manier weet uit te voeren, hoe kunnen we haar dan vertrouwen met nog meer bevoegdheden? De NCTV, de minister van Justite en Veiligheid en de betrokken gemeenten hebben heel wat uit te leggen. En voor het herstel van vertrouwen in de rechtsstaat, zullen de checks and balances toch echt aan het werk moeten. Want zolang grove schendingen van mensenrechten worden afgedaan met woorden als “zorgerlijk” en “sorry”, is het wachten op het volgende schandaal.

Alles bij de bron; Bits-of-Freedom


 

Amnesty International heeft een Indiaas securitybedrijf beschuldigd van de ontwikkeling van Android-spyware die is gebruikt voor gerichte aanvallen tegen Togolese activisten.  De spyware wordt verspreid via e-mailberichten en WhatsApp, waarin doelwitten wordt opgeroepen een malafide Android-app te installeren.

In werkelijkheid is de aangeboden app spyware waarmee aanvallers volledige controle over camera en microfoon hebben, alsmede foto's en bestanden op het toestel kunnen downloaden en alle verstuurde en ontvangen WhatsApp-berichten kunnen lezen. De spyware werd in eerste instantie toegeschreven aan een "hackergroep" genaamd Donot Team. Amnesty zegt echter bewijs te hebben gevonden dat het Indiase securitybedrijf Innefu Labs achter de spyware zit. De spyware en Innefu Labs maken namelijk gebruik van dezelfde infrastructuur.

Daarnaast vond Amnesty bewijs dat een aanvaller die de spyware testte het ip-adres van Innefu Labs gebruikte. De spyware werd onder andere ingezet tegen een activist in Togo. "Deze aanvaller communiceerde met het domein gebruikt in de Togo-aanvallen en het eigen netwerk van Innefu Labs", aldus Amnesty. "Dit is belangrijk, omdat het laat zien dat het ip-adres van Innefu Labs niet alleen is gelinkt aan het testen van de spyware, maar ook gelinkt aan de operationele infrastructuur voor de uitrol van de spyware."

Amnesty benaderde Innefu Labs, maar dat ontkent de beschuldigingen. Het bedrijf dreigt in een brief aan de mensenrechtenbeweging met gerechtelijke stappen. Amnesty blijft echter bij de conclusie.

Alles bij de bron; Security


 

Apple negeert volgens een ontstemde beveiligingsonderzoeker drie door hem gemelde zeroday-kwetsbaarheden nog steeds in iOS 15. Om zijn ongenoegen te uiten, deelt hij nu de details van de resterende kwetsbaarheden.

De beveiligingsonderzoeker, die zichzelf 'illusionofchaos' noemt, beweert tussen begin maart en begin mei vier aanzienlijke kwetsbaarheden te hebben ontdekt in Apples besturingssysteem, zo legt hij in een blogpost uit. Tot dusver heeft Apple nog niet inhoudelijk op de aantijgingen van de onderzoeker gereageerd.

Volgens illusionofchaos zou het in iOS 15 nog steeds mogelijk zijn om via de Game Center-app bij gevoelige gebruikersgegevens te komen. De betreffende zeroday zou het voor apps die geïnstalleerd zijn via de App Store mogelijk maken om toegang te krijgen tot de Core Duet-database. Daarin staan onder meer contacten, sms'jes, berichten en telefoonnummers. Ook het Apple ID-emailadres en de volledige naam van de gebruiker zouden op deze manier buitgemaakt kunnen worden. Ontwikkelaar Kosta Eleftheriou bevestigde dat er op deze manier inderdaad een exploit mogelijk is...

...De enige door de onderzoeker gevonden kwetsbaarheid die vooralsnog verholpen is, is de Analyticsd-zeroday, waardoor door de gebruiker geïnstalleerde apps toegang hadden tot zeer gevoelige informatie. Onder meer medische gegevens, geslacht, leeftijd en andere sekse-gerelateerde data werd hierdoor toegankelijk. Illusionofchaos beweert dat Apple deze gebruikersdata om onbekende redenen verzamelt, wat zou botsen met diens nadrukkelijke focus op privacy. 

Alles bij de bron; Tweakers


 

Een kwetsbaarheid in routers van de Britse telecomprovider Virgin Media maakt het mogelijk om het echte ip-adres van vpn-gebruikers te achterhalen. Virgin Media werd op 20 oktober 2019 ingelicht maar heeft nog altijd geen update uitgerold.

Wel vroeg het bedrijf aan de onderzoekers van Fidus Information Security die de kwetsbaarheid ontdekten om publicatie over het probleem meer dan een jaar uit te stellen.

De onderzoekers van het securitybedrijf ontdekten dat het via een dns-rebinding-aanval mogelijk is om het echte ip-adres van vpn-gebruikers te achterhalen. Het bezoeken van een malafide website door een vpn-gebruiker is hiervoor voldoende. De aanval werkt tegen allerlei vpn-providers. Sommige vpn-providers blokkeren per ongeluk toegang tot het lokale ip-adres wat de aanval voorkomt, aldus de onderzoekers. Wanneer het blolkkeren van lokaal netwerkverkeer wordt uitgeschakeld, iets wat veel mensen doen zo laten de onderzoekers weten, werkt de aanval weer.

"De privacygevolgen zijn vrij ernstig vanwege de aard van de kwetsbaarheid", aldus de onderzoekers en ze adviseren vpn-gebruikers om LAN-verkeer op het vpn te blokkeren.

Alles bij de bron; Security


 

Mensen die op frauduleuze wijze een QR-code hebben gemaakt voor hun coronapas, kunnen die blijven gebruiken. De QR-code staat opgeslagen op het apparaat en wordt bij de controle niet opnieuw opgehaald uit de systemen. Daardoor is CoronaCheck ook zonder internetverbinding te gebruiken, maar heeft de GGD er geen invloed meer op als de code eenmaal is aangemaakt.

Het eenrichtingsverkeer van CoronaCheck laat ruimte voor meer mogelijke problemen. Zo behouden ook mensen die volledig zijn gevaccineerd, maar positief op het coronavirus testen bij de GGD, hun code. Kwaadwillenden kunnen daardoor terwijl ze besmet zijn tóch binnenkomen op plaatsen waar een coronatoegangsbewijs is vereist.

De GGD GHOR maakte maandagavond bekend dat meerdere medewerkers ervan worden verdacht dat ze valse vaccinatieregistraties hebben aangemaakt en het is nog onduidelijk hoeveel valse vaccinatiebewijzen zijn geregistreerd.. Een vaccinatiebewijs heeft een onbeperkte geldigheid.

Alles bij de bron; NU


 

Door een datalek bij het Britse ministerie van Defensie liggen de privégegevens van Afghaanse tolken op straat. De e-mailadressen van ongeveer 250 mensen die naar het Verenigd Koninkrijk willen komen, waren zichtbaar in een groepsmail.

Het ministerie stuurde de mail naar Afghanen die voor de Britse strijdkrachten hebben gewerkt en zich nog in Afghanistan of een ander land bevinden. Mailadressen en profielfoto's van ontvangers waren te zien voor iedereen die het bericht kreeg.

Een ontvanger reageerde tegenover de BBC geschrokken op de blunder. "Deze fout kan tolken het leven kosten. Vooral als ze nog in Afghanistan zijn." 

Alles bij de bron; NU


 

Meerdere GGD-medewerkers zijn op non-actief gezet omdat ze mogelijk hebben gefraudeerd met vaccinatiebewijzen. De verdachten zouden op aanvraag valse vaccinatieregistraties hebben aangemaakt, waardoor steeds iemand onterecht over een QR-code kon beschikken, meldt GGD GHOR Nederland maandag.

De vermoedelijke fraude werd enkele weken geleden ontdekt. "De medewerkers zijn direct op non-actief gesteld en tegen hen is aangifte gedaan bij de politie."

Onder meer het cybercrimeteam van de politie Midden-Nederland heeft maandag een verdachte van de fraude opgepakt. Of en wanneer er andere aanhoudingen zijn verricht, is niet bekendgemaakt.

Alles bij de bron; NU


 

‘Jat jij fietsen in Arnhem-Zuid? Vroeg of laat plaatst de politie dan jouw foto op Facebook’. 

De politie in Gelderland heeft te maken met een hausse aan fietsendiefstallen. Fietsendieven die door beveiligingscamera’s zijn vastgelegd, zijn daarom op facebook geplaatst. De diefstallen zijn niet allemaal even recent maar de verdachten zijn volgens het bericht ‘nog steeds in beeld’. Als verdachten zich binnen een week op het politiebureau melden, komen de camerabeelden niet online, belooft de politie.

Alles bij de bron; Cops-in-Cyberspace


 

Facebook heeft onderzoekers onvolledige informatie gegeven over hoe gebruikers omgaan met berichten op het platform. Het bedrijf zou data van de helft van zijn Amerikaanse gebruikers hebben verstrekt, terwijl het aangaf dat het om gegevens van al zijn gebruikers in de VS ging.

Facebook heeft per e-mail zijn excuses aangeboden aan de onderzoekers, schrijft The New York Times. Daarin zou het platform zich verontschuldigd hebben voor 'het ongemak' dat de fout veroorzaakt kan hebben. Het bedrijf geeft daarbij aan dat het de datasets aan het updaten is om de fout te verhelpen, maar dat het nog enkele weken zou duren voordat dit werk voltooid zou zijn, gezien de grote hoeveelheid data.

De fout werd ontdekt door Fabio Giglietto, een professor van de Universiteit van Urbino in Italië. Giglietto vergeleek de gegevens die het bedrijf aan onderzoekers verstrekte met de data uit het transparantierapport dat Facebook in augustus publiceerde. Hij ontdekte daarbij dat de gegevens niet overeenkwamen.

Alles bij de bron; Tweakers


 

De Britse tak van fastfoodketen McDonald's heeft door een fout een databasewachtwoord voor een spel dat het organiseert gelekt aan prijswinnaars. 

Prijswinnaars werden onder andere via e-mail ingelicht dat ze hadden gewonnen. In de e-mail stonden echter ook de inloggegevens voor twee databases, zo laat onderzoeker Troy Hunt via Twitter weten. Hoe de informatie in de e-mail terechtkwam is onbekend. McDonald's werd ingelicht en heeft de wachtwoorden inmiddels gewijzigd.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha