Wifi- en bluetoothtracking, cameratoezicht en sensoren die data verzamelen over verkeer of geluid, steeds meer gemeenten maken gebruik van smart city-toepassingen, maar als hierbij de privacy niet wordt gerespecteerd kan dit leiden tot een surveillancemaatschappij waarbij burgers niet meer onbespied over straat kunnen, zo waarschuwt de Autoriteit Persoonsgegevens.

De Autoriteit Persoonsgegevens heeft nu een reeks aanbevelingen voor de ontwikkeling van smart city-toepassingen gepubliceerd (pdf). Volgens de privacytoezichthouder zijn die nodig omdat gemeenten niet altijd voldoende stilstaan bij de privacywetgeving terwijl dit juist bij smart city-toepassingen essentieel is.

Alles bij de bron; Security


 

Wie met zijn laptop of smartphone onderweg is doet er verstandig aan om openbare wifi-hotspots te vermijden en bluetooth en nfc uit te schakelen, zo adviseert de Amerikaanse geheime dienst NSA in een nieuw document over het beveiligen van draadloze apparaten in openbare omgevingen (pdf).

Verder adviseert de NSA om een denylist te gebruiken van welke applicaties toegang tot bluetooth hebben, te controleren dat de discovery mode van bluetooth niet staat ingeschakeld en het monitoren van bluetooth-verbindingen. Ook doen gebruikers er volgens de geheime dienst verstandig aan om het automatisch verbinding maken met wifi-netwerken uit te schakelen en gebruikte hotspots na het gebruik weer te vergeten.

Volgens de NSA kunnen aanvallers apparaten via bluetooth, openbare wifi en near-field communication (nfc) compromitteren, bijvoorbeeld door gebruik te maken van malafide wifi-hotspots.

Alles bij de bron; Security


 

Door een kwetsbaarheid in een foto-uitwisselingsdienst van de Estse overheid zijn twee weken geleden ruim 286.000 pasfoto's uit de identiteitsdocumentdatabase van de Estse overheid gestolen, zo hebben de autoriteiten in het land bekendgemaakt

Met een naam en iemands identificatienummer was het mogelijk om de pasfoto van die persoon te downloaden, aldus RIA in een verklaring. Zowel naam als identificatienummer zijn openbare data en in verschillende openbare database te vinden, laat de it-autoriteit verder weten.

Nadat het downloaden van de pasfoto's was opgemerkt werd de dienst uit de lucht gehaald en verschillende ip-adressen gebruikt voor het downloaden doorgestuurd naar de Estse politie. Die hield op 23 juli een verdachte aan. 

De kwetsbaarheid was al sinds de lancering van het systeem enkele jaren geleden aanwezig en alle gedupeerde burgers zullen via e-mail over het datalek worden ingelicht.

Alles bij de bron; Security


 

Zes medewerkers van het Bravis ziekenhuis in Brabant hebben onlangs onrechtmatig in een patiëntendossier gekeken. Ze waren niet betrokken bij de behandeling van de patiënt, maar waren "nieuwsgierig", schrijft het ziekenhuis in een bericht aan het personeel.

Het ziekenhuis heeft de zaak onderzocht en zegt dat de medewerkers in het dossier keken omdat ze zich betrokken voelden of nieuwsgierig waren. "Dit soort redenen zijn per definitie onrechtmatig en worden direct bestraft."

De zes medewerkers zouden tijdens een steekproef tegen de lamp zijn gelopen en hebben een waarschuwing gekregen. De familie van de patiënt is op de hoogte gesteld. Ook zegt het ziekenhuis melding te hebben gemaakt bij de Autoriteit Persoonsgegevens.

Alles bij de bron; NU


 

De AIVD moet 'praktischer en krachtiger' op cyberaanvallen kunnen reageren waarvoor de wet moet worden aangepast, zo stelt Erik Akerboom, directeur van de inlichtingendienst, tegenover EenVandaag.

De Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) geeft de AIVD de bevoegdheid om systemen te verstoren. Toch loopt de inlichtingendienst volgens de AIVD-directeur tegen wettelijke beperkingen aan waardoor het zelf niet bij machte is om actie tegen systemen van aanvallers te nemen.  "De wet geeft wel mogelijkheden om te kunnen handelen. Die benutten we ook", zegt Akerboom. "We zien nu alleen dat de dreiging toeneemt. En er is een behoefte om meer te kunnen." Akerboom wil dat de AIVD en MIVD de krachten bundelen om de beste technologie en mensen te krijgen. 

Als het aan Akerboom ligt moet de AIVD toegang tot systemen kunnen krijgen zonder dat alles van tevoren precies bekend is. "Er is een behoefte om meer te kunnen, al is het alleen maar om de tegenstanders, de offensieve dreiging te stoppen."

Alles bij de bron; Security


Met behulp van spionagesoftware Pegasus, ontwikkeld door het Israëlische bedrijf NSO Group, houden autoritaire regimes journalisten, activisten en advocaten in de gaten. Maar we moeten ons realiseren dat ook de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is...

...Sinds een paar jaar mag de Nederlandse overheid, uiteraard alleen om zware criminelen te hacken, gebruikmaken van hacksoftware. Deze software koopt zij in. Of ze zakendoet met de NSO Group is niet bekend, maar anders zeker wel met haar concurrenten. Hiermee betaalt de Nederlandse overheid bedrijven om actief te zoeken naar zero-days, om deze vervolgens níét te melden aan de makers. ....

Tijdens de behandeling van de wet over hacksoftware (Wet Computercriminaliteit III) is er wel bij dit probleem stilgestaan, maar de gekozen oplossing is onbevredigend. Er is in de wet geregeld dat een zero-day gemeld moet worden aan de maker van de software, en dat dit alleen na rechterlijke goedkeuring kan worden uitgesteld. Op zich een redelijk compromis, maar het werkt alleen voor zero-days die de overheid zelf vindt. Als zij een kant-en-klaar spionagesoftwarepakket koopt, is onbekend welke kwetsbaarheden dat pakket benut.

Het kan dus best zijn dat de Nederlandse overheid haar hackbevoegdheid zelf correct gebruikt, maar door hacksoftware in te kopen, financiert zij bedrijven die hun businessmodel ervan hebben gemaakt om de veiligheid van het gehele internet te verzwakken. Nederland zou daarom dus geen hacksoftware op basis van zero-days meer moeten gebruiken.

In een tijd waarin criminelen juist langs elektronische weg moeten worden opgespoord is dat geen populair standpunt, maar het is wel noodzakelijk. Het Pegasusschandaal is immers precies waarvoor gevreesd werd bij de invoering van de hackbevoegdheid: onschuldige mensen worden gehackt met kwetsbaarheden die bij de overheid reeds bekend waren, maar die voor het gemak van het boevenvangen niet gedicht zijn.

Alles bij de bron; NRC


 

Facebook wijzigt het beleid voor jonge mensen op zijn platforms Facebook, Messenger en Instagram. Gegevens van tieners onder de achttien worden beter afgeschermd, zodat adverteerders hun reclames minder specifiek op die doelgroep kunnen richten. 

In een blogbericht schrijft Facebook dat adverteerders hun doelgroepen binnenkort alleen nog op basis van leeftijd, geslacht en locatie kunnen inrichten.  Als de gebruikers achttien worden, krijgen ze alsnog de keuze om gerichte advertenties in te schakelen.

Op Instagram worden accounts van mensen onder de achttien bij het registreren voortaan standaard op privé gezet. Met een privéaccount kunnen alleen mensen die je volgen foto's, video's en Stories bekijken. Ook kunnen alleen zij reageren. Tieners die toch liever een openbaar profiel hebben, kunnen dat alsnog veranderen.

Alles bij de bron; NU


 

Qr-codes zijn tegenwoordig niet meer weg te denken, maar privacyexperts maken zich zorgen over de tracking die deze technologie mogelijk maakt. De code kan namelijk informatie bevatten wanneer, waar en hoe vaak een scan plaatsvindt. Daarnaast kan een qr-code ook een website openen die gebruikers trackt of om informatie vraagt.

Door middel van qr-codes hebben sommige restaurants al databases opgezet met de bestelgeschiedenis en contactgegevens van klanten, zo meldt The New York Times. Volgens de krant zullen mensen mogelijk binnenkort al met gepersonaliseerde aanbiedingen te maken krijgen als ze op qr-code-gebaseerde betaalsystemen gebruiken.

"Mensen beseffen niet dat wanneer je een qr-code scant, het complete apparaat van online tracking tussen jou en je maaltijd wordt geplaatst", zegt Jay Stanley van de Amerikaanse burgerrechtenbeweging ACLU tegenover The New York Times. "Opeens is je offline activiteit dat je iets gaat eten onderdeel van een online advertentiecampagne geworden."

Alles bij de bron; Security


 

Wie twijfelt of zijn smartphone gehackt is en besmet met Pegasus, de spionagesoftware van de Israëlische NSO Group, kan dit controleren met een tool.

De zogeheten Mobile Verification Toolkit (MVT) is ontwikkeld door de onderzoekers van Amnesty International die de malware Pegasus grondig hebben onderzocht en onthuld. De tool werkt op zowel iPhones als Android-apparatuur.

De toolkit controleert de volledige back up op zogeheten indicators of compromise (IOC’s) die NSO gebruikt om Pegasus op een systeem te zetten. Ook een versleutelde iPhone-back up kan gecontroleerd worden door de toolkit; die ontsleutelt de back up volledig zonder dat een complete nieuwe kopie gemaakt moet worden.

Voor gebruik van de toolkit moeten wel de IOC’s van Amnesty geladen worden. Die staat op de GitHub-pagina van Amnesty.

Alles bij de bron; AGConnect


 

Huisartsen hebben zonder toestemming van honderden mensen die expliciet hadden aangegeven dat hun vaccinatiegegevens niet met het RIVM mochten worden gedeeld dit toch gedaan. Het datalek werd veroorzaakt door een fout in één van de systemen waar huisartsenpraktijken gebruik van maken.

Wie zich laat vaccineren wordt gevraagd of hij zijn gegevens in het COVID-vaccinatie Informatie- en Monitoringsysteem (CIMS) wil laten opslaan. In de database worden burgerservicenummer (BSN), geboortedatum, naam, adresgegevens, reden van vaccinatie zoals medische indicatie, beroep of leeftijd, datum en plaats van vaccinatie en naam vaccin en serienummer voor een periode van minimaal twintig jaar opgeslagen.

Van mensen die geen toestemming geven worden ook gegevens vastgelegd, maar gaat het om een "anonieme set van gegevens", namelijk vaccinatiegegevens (vaccin, batchnummer, prikdatum, eerste of tweede prik), herkomst (Nederland, BES-eilanden en CAS-landen) en leeftijdscohort (drie cohorten).

Door een fout in een systeem waar huisartsenpraktijken gebruik van maken voor het doorgeven van vaccinatiegegevens is van mensen die expliciet hadden aangegeven dat ze hun data niet wilden delen met het RIVM dit toch gebeurd.

Het gaat om de persoonsgegevens van vijfhonderd mensen die duidelijk hadden aangegeven dat hun informatie niet gedeeld mag worden. Van tweehonderd patiënten is niet bekend of zij toestemming hebben gegeven. Het datalek is gemeld bij de Autoriteit Persoonsgegevens en de gegevens zijn inmiddels uit de centrale vaccinatiedatabase verwijderd.

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha