Digitale Schandpaal

De beelden die Eufy-camera's maken, worden toch niet alleen offline bewaard zoals de fabrikant het beloofd. Eufy stuurt beelden en gevoelige gegevens naar servers van Amazon zonder dat gebruikers ervan op de hoogte zijn. 

Eufy heeft er altijd als een van de weinige spelers in de industrie voor gekozen om videobeelden van gebruikers volledig offline te verwerken en dat in combinatie met een eigen Homebase-server voor elke klant. 

Het is die schijnbaar privacyvriendelijke aanpak van Eufy die nu openlijk in vraag wordt gesteld. Beveiligingsconsultant Paul Moore schreef op 23 november op Twitter dat camera's en videodeurbellen videofragmenten uploaden naar cloudservers zonder dat cloudfunctionaliteiten zijn ingesteld. Gebruikers werden er ook niet van op de hoogte gebracht. Het gaat ook nog verder dan dat, want Eufy's camera's sturen daarnaast gegevens over gezichtsherkenning naar servers van Amazon.

In een reactie heeft Eufy informatie in deze aantijgingen grotendeels bevestigd en inmiddels heeft het in zijn iOS-app ook in kleine letters verwoord dat fragmenten inderdaad naar de cloud worden verstuurd, maar alleen als gebruikers pushmeldingen met bijbehorende thumbnails hebben aanstaan. Die kleine letters zijn ontdekt door ZDNet.

Mogelijk is er nog meer aan de hand, dezelfde Paul Moore beweert samen met een andere onderzoeker dat het ook mogelijk is om live beelden te streamen van Eufy-camera's via een simpele tool zoals VLC Media Player. Er is ook van encryptie geen sprake, ook al is dat ook één van de privacybeloften waar Eufy mee uitpakt.

Redacteurs van The Verge bevestigen de bevindingen alvast, zij hebben via de cloud en met VLC beelden van hun eigen camera's gestreamd.

Alles bij de bron; AndroidWorld


De Ierse privacytoezichthouder DPC heeft Meta een AVG-boete van 265 miljoen euro opgelegd wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen.

Het ging om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, in sommige gevallen e-mailadres, relatiestatus en andere informatie. De data was door middel van scraping verzamelt. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen.

Alles bij de bron; Security


De informatie die Apple verzamelt over het gebruik van iPhones en iPads is niet anoniem, ook al claimt het techbedrijf van wel. Dat stellen onderzoekers van softwarebedrijf Mysk op basis van eigen onderzoek.

In het privacybeleid van Apple staat dat "iPhone-analysegegevens kunnen details bevatten over de specificaties van de hardware en het besturingssysteem, statistische gegevens over de prestaties en gegevens over je gebruik van je apparaten en de apps. Je identiteit kan niet worden achterhaald aan de hand van deze gegevens."

Volgens de onderzoekers van Mysk bevatten de naar Apple verstuurde analysegegevens een Directory Services Identifier (DSID), een uniek identificatienummer voor het identificeren van iCloud-accounts.

"Dat houdt in dat Apples analytics je persoonlijk kan identificeren", aldus de onderzoekers op Twitter. "Apple stelt in het privacybeleid dat de verzamelde data je niet persoonlijk identificeert. Dat is niet juist." Eerder hadden de onderzoekers aangetoond dat Apples App Store data naar het techbedrijf blijft sturen, ook al hebben gebruikers analytics uitgeschakeld.

Alles bij de bron; Security


 

De gegevens van honderden klanten van energiebedrijf Vattenfall zijn gestolen. De diefstal is gepleegd door een uitzendkracht die werkte op de klantenservice van het bedrijf. Volgens het energiebedrijf zijn onder meer namen, geboortedata, adressen en bankrekeningnummers buitgemaakt. 

De persoonlijke gegevens van minstens 776 klanten zijn gefotografeerd. Daarnaast had de verdachte toegang tot de gegevens van een grotere groep van nog eens 2.119 klanten. De uitzendkracht deelde de data met een persoon buiten de organisatie. Het tweetal is inmiddels opgepakt.

Alles bij de bron; NU


 

De criminelen die wisten in te breken op systemen van de Australische zorgverzekeraar Medibank dreigen de gevoelige gezondheidsgegevens van klanten te verkopen, tenzij het bedrijf een losgeldbedrag betaalt. Ook stellen de aanvallers dat ze de duizend bekendste klanten van Medibank zullen benaderen met hun eigen persoonlijke informatie. Het gaat onder andere om medische aandoeningen en creditcardgegevens. 

Medibank had eerder gesteld dat er geen klantgegevens waren gestolen. Toen werd er gemeld dat gegevens van internationale studenten waren buitgemaakt. Vandaag bevestigt de zorgverzekeraar dat ook gegevens van andere klanten in handen van de aanvallers zijn gekomen. Als bewijs hebben de aanvallers verschillende bestanden gedeeld met persoonlijke en gezondheidsgegevens van polishouders, alsmede gemaakte zorgclaims. Medibank kan nog niet zeggen hoe groot het datalek precies is en welke data allemaal is gestolen.

Alles bij de bron; Security


 

Na een recente aflevering van het televisieprogramma Hunted is consternatie ontstaan over de veronderstelde medewerking van VPN-provider NordVPN. De programmamakers deden het in de uitzending van 3 oktober 2022 lijken alsof NordVPN gebruikersdata had overhandigd, waarmee de Hunters hun doelwitten konden lokaliseren (time stamp: 28:50 tot 30:10).

Nader onderzoek wijst erop dat het programma waarschijnlijk opsporingstechnieken fingeert en NordVPN geen data heeft overhandigd.

Medewerkers van Hunted hebben bevestigd dat NordVPN geen medewerking heeft verleend aan het programma, en dat de zogenaamde bijdrage van de provider ‘voor de show’ was en dat er dus géén gebruikersdata overhandigd is.

Hunted is een populair televisieprogramma van AVRO/Tros, waarin deelnemers uit handen moeten zien te blijven van een team opsporingsprofessionals (de Hunters).

Alles bij de bron; VPNGids


 

Paris Saint-Germain heeft gebruik gemaakt van een ingehuurd 'trollenleger' om onder meer tegenstanders zwart te maken. Ook media die kritisch berichtten over de club werden op sociale media zwartgemaakt door een grote hoeveelheid centraal aangestuurde nepaccounts.

Dat onthult een Franse nieuwswebsite, die zijn bevindingen onder meer met de Nederlandse krant NRC heeft gedeeld. De media hebben de beschikking over een document van vijftig pagina's, geschreven door het  door PSG ingehuurde mediabedrijf DBB. Daarin evalueert het bedrijf de werkzaamheden die het voor de voetbalclub uitvoerde tussen 2018 en 2020.

Daaruit blijkt dat het bedrijf bepaald niet bang was zijn handen vuil te maken en dat bovendien alles gebeurde onder direct toezicht van de afdeling communicatie van de voetbalclub. Nepaccounts van DBB belasterden onder meer de ex-vriendin van PSG-vedette Neymar, nadat die hem had beschuldigd van verkrachting.

PSG stelt dat het 'nooit een contract heeft gesloten' met een bureau 'om individuen en instellingen te schaden'

Alles bij de bron; RTLNieuws


 

Meer dan 14.500 pagina’s zijn overhandigd tijdens de faillissementsrechtszaak van Celsius Network aan de rechtbank en dit enorme document is online te vinden.

Dit zijn niet alleen algemene bedrijfsgegevens, maar ook de details van duizenden klanten zoals namen, ontvangstadressen en de transactiegeschiedenis van iedereen die zichzelf kenbaar heeft gemaakt om gebruik te maken van de diensten van Celsius. 

Heb je ooit gebruikt gemaakt van Celsius, en je als klant kenbaar gemaakt? Dan is het wellicht goed om het document door te spitten, om er zeker van te zijn of je er wel of niet tussen staat.

Alles bij de bron; Blox


 

Een vrouw die woedend was over een negatieve recensie over het bedrijf van haar vriend en daarop naam, adres en telefoonnummer van de klager op een webpagina voor pedojagers plaatste, is door de politierechter in Den Bosch veroordeeld tot een boete van driehonderd euro. De vrouw moet het slachtoffer verder 250 euro schadevergoeding betalen.

Op de pedojaagsite beweerde ze dat de man, die online een laptop had gekocht bij het bedrijfje van de vriend, een meisje van 13 lastig viel. ‘Ik wist niet hoe ik hem anders moest pakken’. Ook al werd de aankoop én teruggave van de laptop ‘netjes opgelost’, schreef de koper dat de verkoper een onbetrouwbaar persoon was. Het was ‘een grote oplichtersbende’.

De vrouw zag haar vriend als slachtoffer en wilde, naar eigen zeggen, de boze klant laten voelen hoe het was als er iets op internet stond dat niet waar was. Kort na het plaatsen van naam en foto, december 2020, greep de politie in. De vrouw moest het bericht verwijderen en rectificeren. Dat kon niet voorkomen dat slachtoffer verschillende bedreigende telefoontjes kreeg.  Omdat het lang duurde voor het proces startte, viel de straf lager uit.

Alles bij de bron; Cops-in-Cyberspace


 

Een Belgische TikTokker moet vijfhonderd euro schadevergoeding betalen omdat hij agenten filmde tijdens hun werk. De verdachte, filmde enkele skaters toen de politie van Gent ter plaatse kwam na meldingen van geluidsoverlast.

De agenten vroegen de man te stoppen met filmen en de video niet te verspreiden. De verdachte deed dat toch, op Tiktok werden de beelden in no time meer dan zesduizend keer bekeken.

Toen een van de agenten zich herkende in het filmpje, diende hij, samen met twee collega’s, klacht in tegen de filmer. Die haalde het filmpje offline maar werd nu ook veroordeeld. Vanwege diens ‘verminderd cognitief vermogen’ werd hij schuldig bevonden maar werd geen straf opgelegd, behalve de schadevergoeding dan.

Alles bij de bron; Cops-in-Cyberspace


 

Schrijf je in op onze wekelijkse nieuwsbrief!