Het Europese identificatiesysteem eIDAS (electronic Identification, Authentication and trust Services) bevatte een lek waardoor hackers zich bij een officiële transactie voor konden doen als iedere EU-burger of een Europees bedrijf. Het lek is inmiddels gedicht met een patch. 

Simpel gezegd zorgt het systeem ervoor dat burgers en bedrijven eenvoudiger kunnen praten met instellingen binnen de Europese Unie, doordat ze zich online kunnen identificeren.

Om dat mogelijk te maken, worden digitale handtekeningen en transacties geverifieerd tegen officiële databases, die in ieder EU-land staan. Die databases bevatten alle transacties, ongeacht waar deze in eerste instantie hebben plaatsgevonden. Dat systeem bleek dus een lek te bevatten, ontdekten beveiligingsonderzoekers van SEC Consult. 

Het probleem bevond zich binnen eIDAS-Node, het officiële softwarepakket dat overheidsorganisaties op hun servers draaien om eIDAS-transacties met hun privédatabases te ondersteunen. De problemen zijn inmiddels door de Europese Commissie opgelost. Vandaag wordt een patch uitgerold naar de lidstaten, samen met het dringende advies om het systeem zo snel mogelijk te updaten. 

Alles bij de bron; AGConnect


 

Veel ouders maken zich geen zorgen over de online privacy van hun kinderen. Dat blijkt uit de MediaNest Cijfers van Mediawijs, een onderzoek naar het mediagebruik en de mediawijsheid van 0- tot 7-jarigen. 

Amper een vijfde maakt zich zorgen over de online privacy van hun kind. Vooral de vraag of het oké is dat er foto’s van je kind online staan maalt door het hoofd van ouders (24%), terwijl 18% wil weten welke gegevens van kinderen er online te vinden zijn, hoe ze die kunnen beschermen en wat voor info bedrijven allemaal verzamelen over hun kinderen.

Amper 4% piekert over de gegevens die hun kind zelf deelt. “Op die jonge leeftijd zijn kinderen zelf niet actief op sociale media, maar de ouders en grootouders moeten zich wel goed bewust zijn wat zij van hun kinderen delen”, zegt Davy Nys van de UC Leuven-Limburg. 

Kenneth Schenning van Linc vzw, die inzet mensen vertrouwd maken met de digitale wereld, benadrukt ook dat er een groot verschil is tussen ouders. “Er zijn wel ouders die met privacy bezig zijn, en zij zijn er ook heel intensief mee bezig”, zegt hij. Toch benadrukken beide experts dat privacy in het algemeen onderbelicht is, ook als het gaat om het schermgebruik van kleine kinderen.

Ouders kunnen hun kinderen veel leren over het belang van privacy door zelf het goede voorbeeld te geven. “Vraag aan het kind of het oké is dat een foto gedeeld wordt of stel samen met je kind een wachtwoord in”, zegt expert mediaopvoeding Karen Linten. “En denk ook na met wie je foto’s van je kind deelt. Een foto in een WhatsApp-groep met familie posten is niet hetzelfde als het delen van een foto met heel de wereld.”

De data zijn afkomstig van een online enquête die werd ingevuld door 493 ouders, bijna het overgrote deel moeders. Daarnaast werden tien gezinnen gecontacteerd voor een interview.

Alles bij de bron; Zita


 

Fraude en ander bedrog met deepfake nemen snel toe. Terwijl kinderen op Instagram al lang creatief anoniem blijven. Ondertussen wenst Europa een leugendetector gericht tegen ongewenste immigratie. Wat is het verband?...

...Instagram is bij uitstek het domein van het spelen met gezichten die allerhande andere vormen krijgen. Kinderen doen het al zo lang, als ‘serious game’. ‘Kijk pap’, en dan heeft ze m’n portret voorzien van een rare bril, ingevallen wangen en een vrouwenmond; hoe dan ook net nog herkenbaar als m’n ‘identiteit’, of al niet meer. Zo vlot als dat aannemen van verhulde identiteiten gaat, mede om privacy te beschermen, kunnen ouderen nog maar nauwelijks bevatten...

...Generative Adversarial Networks passen machineleren toe met een ‘botsing’ van neurale netwerken, die bijvoorbeeld nieuwe geloofwaardige identiteiten kweken vanuit portretfoto’s....  De levensechte portretten zijn voor talloze vormen van bedrog te gebruiken, voor trollen op Twitter tot smoeltjes op datingsites zoals Tinder. De geloofwaardigheid van de bedreigers neemt veel sneller toe dan de argwaan van de slachtoffers. Het gesol met beelden leidde recent tot een fraai verhaal over datingfraude in de Twentse krant Tubantia. Digitaal bedrog in velerlei variaties trof in 2018 8,5 procent van de Nederlanders, aldus het CBS. Dus dient zich ook de volgende kat-en-muis strijd aan met online misdaad. Hoe herkennen we deepfakes (Nederlands: diepbedrog?) en bestrijden we het misbruik?...

...Een derde opvallend onderwerp dat hiermee samenhangt, bracht The Intercept een artikel over Silent Talker. Dit is het systeem voor leugendetectie van de Europese Unie dat aan de paspoortcontrole een interview toevoegt waarvan de antwoorden kunnen leiden tot bestempeling van een persoon tot een ‘risico’. Dat leidt tot extra controle...   Het systeem, ontwikkeld door de Manchester Metropolitan University, zou 90 procent van de leugens detecteren. Voor de Europese test in het kader van het iBorderCtrl programma, die eind augustus 2019 afliep, is de vraag of het systeem betrouwbaar genoeg is. Welke foutenmarge daartoe wordt gebruikt, is niet bekend...

...Deepfakes om identiteiten en de meeste evidente persoonsgegevens zoals gezocht en stem te fingeren oftewel vervalsen. En aan de andere kant machines die ons gedrag gaan beoordelen op waarachtigheid. Waarheen gaat dit? Met welke doelen gaan we dit alles gebruiken?

Tot wat voor wereld zal dit leiden? Is de huidige politiek met lieden voor wie het onderscheid tussen leugen en waarheid er niet meer toe lijkt te doen, een vruchtbare voedingsbodem voor de ‘succesvolle’ toepassing van nieuwe technologie? Hoe lopen technologische ontwikkeling en maatschappelijke trends parallel en werken ze op elkaar in?

Een mooie herfstvakantie in de natuur van de Biesbosch bracht geen antwoorden. 

Alles bij de bron; Netkwesties


 

De website van het Bewoners Aanspreekpunt Schiphol (BAS) ging deze week uit de lucht nadat bekend was geworden dat er een datalek is. Wel kunnen nog telefonisch klachten worden doorgegeven over het vliegverkeer.

„Door een melding bij de Autoriteit Persoonsgegevens is bekend geworden dat de beveiliging van de klachtendatabase van Schiphol niet op orde is. De bewonersdelegatie is daarvan zeer geschrokken, zij mocht ervan uitgaan dat Schiphol zorgvuldig zou omgaan met persoonlijke gegevens van klagers”, laat voorzitter Matt Poelmans weten.

De gegevens van "bijna 60.000" mensen die via het Bewoners Aanspreekpunt Schiphol (BAS) een klacht hebben ingediend, waren inzichtelijk via een lek in de website van het klachtenloket, bevestigt een woordvoerder vrijdag na eerdere berichtgeving door de actiegroep SchipholWatch. Afhankelijk van de situatie zijn namen, adressen, e-mailadressen, telefoonnummers en wachtwoorden van klagers gelekt. 

De bewonersdelegatie grijpt het datalek aan om te pleiten voor een andere manier van klachtenafhandeling. „Behalve dat het kennelijk schort aan beveiliging is de kritiek dat er te weinig wordt gedaan met deze gegevens. Het blijft beperkt tot registratie van klachten, zonder dat er voldoende wordt gedaan om de oorzaken weg te nemen. Nu het klachtensysteem opnieuw moet worden opgezet, eisen wij dat de klachtenprocedure wordt gemoderniseerd en er serieus werk wordt gemaakt van die informatie”, eist Poelmans.

Schiphol laat in een reactie weten dat BAS dan wel is opgezet door de luchthaven en de luchtverkeersleiding, maar dat het meldpunt onafhankelijk is. Zij registreren alle klachten en maken eigen rapportages. 

Alles bij de bron; Gooi & Eemlander & NU [bron update]


 

Minister Hoekstra van Financiën is vanwege de vele zorgen over de privacy van ondernemers als gevolg van de invoering van het UBO-register met de Kamer van Koophandel tot twee aanvullende maatregelen gekomen. De identificatie van raadplegers van het register wordt verbeterd met betrouwbaarder identificatiemiddelen en uiteindelijk belanghebbenden krijgen inzicht in hoe vaak hun informatie wordt geraadpleegd. Dat schrijft de minister in de nota naar aanleiding van het verslag UBO-register die hij vrijdag samen met de nota van wijziging aan de Tweede Kamer heeft gestuurd.

Ten eerste wordt de identificatie van raadplegers van het register verbeterd. Een account om informatie uit het handelsregister op te vragen bestaat momenteel uit een zelfgekozen naam en wachtwoord, zonder robuuste verificatie van de identiteit. Ik wil dat de vaststelling van de betrouwbaarheid van de identiteit van de raadpleger verhoogd wordt. Dit maakt de drempel voor kwaadwillenden om het register te misbruiken hoger omdat daarmee de identiteit van die personen wordt vastgelegd door de Kamer van Koophandel en eventueel teruggehaald kan worden in geval van strafrechtelijk onderzoek. 

Ten tweede krijgen uiteindelijk belanghebbenden inzicht in hoe vaak hun informatie wordt geraadpleegd. Raadplegingen door de FIU-Nederland en bevoegde autoriteiten zijn hiervan uitgezonderd. Het inzicht in de hoeveelheid raadplegingen komt tegemoet aan de wens van meerdere vertegenwoordigers van belanghebbenden. Het geeft UBO’s een beeld van de verwerking van hun gegevens.

Alles bij de bron; Accountancy-van-Morgen (via DeDikkeBlauwe)


 

De website van een Nederlandse vermogensbeheerder is lek. Nobel Vermogensbeheer, dat particulieren en ondernemingen bedient die minstens 100.000 euro kunnen beleggen, heeft informatie op internet staan die niet voor de buitenwereld is bedoeld. Zo was op de website een persoonlijke brief aan een klant te lezen. Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land.

De brief is gericht aan een winkelier die zijn zaak heeft gesloten en voorbereidingen treft voor zijn pensioen. ‘Persoonlijk’ staat erboven en de ondertekening is van directeur Suzanne Band en een vermogensbeheerder van Nobel. De brief schetst de vermogenspositie van de winkelier en noemt allerlei bedragen. Bijvoorbeeld over de hypotheken van de winkelier zelf en een van zijn kinderen. De brief stond tot gisteren in een map die publiek toegankelijk is en door Google te vinden is.

Ook stond er per abuis een handleiding online waarin Nobel de IT-procedures en de gebruikte computersystemen beschrijft. Deze procedures moeten het risico beheersen “dat dataverlies ontstaat vanwege falende of gebrekkige procedures en systemen in combinatie met tekortschietende interne controles.” Dit document is voor intern gebruik...

...in allerlei mappen zijn computerbestanden zichtbaar, onder meer met een verouderde softwarebibliotheek genaamd ‘PHPExcel’. De ontwikkelaars ervan ontraden al twee jaar om het nog te gebruiken. Opgeteld wijzen deze voorbeelden op een slordige en riskante manier van werken. Nobel heeft de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten op de hoogte gesteld. Ook heeft Nobel contact gezocht met de klant en de brief verwijderd.

Alles bij de bron; Trouw


 

Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten.

Gisteren verschenen de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt.

De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder en met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen.

De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is.

Alles bij de bron; Security


 

Een reserveringssysteem dat door tal van hotels, reisbureaus en accommodaties wordt gebruikt heeft via een open database 179GB aan data van hotelgasten en reizigers gelekt. De database was afkomstig van AutoClerk, een reserveringssysteem dat eigendom van Best Western Hotels is en door allerlei partijen en externe platformen wordt gebruikt.

Onderzoekers van vpnMentor ontdekten de database, die miljoenen records bleek te bevatten. Het ging onder andere om naam, geboortedatum, adresgegevens, telefoonnummer, datums, reiskosten, gemaskeerde creditcardgegevens, kamernummers en inchecktijd.  

In één van de databases werden persoonsgegevens en reisplannen van Amerikaanse overheids- en militair personeel gevonden. Het ging onder andere om gegevens van Amerikaanse generaals, waaronder hun e-mailadressen, telefoonnummers en andere gevoelige persoonlijke data.

De database werd op 13 september ontdekt, waarna het United States Computer Emergency Readiness Team (US-CERT) werd benaderd. De onderzoekers stellen dat US-CERT niets met de melding deed. Vervolgens benaderden de onderzoekers op 26 september een contact bij het Pentagon, waarna de database op 2 oktober werd beveiligd.

Alles bij de bron; Security


 

Vroeger – opa vertelt – was een briefje van de dokter de normaalste zaak van de wereld. Mijn oude school was tuk op die briefjes, herinner ik mij, bij leerlingen die geen zin (of echt een probleem) hadden om mee te doen met gym. Maar toen ik laatst zo’n briefje wilde hebben voor mijn annuleringsverzekering, kreeg ik nul op het rekest van mijn huisarts. Ik kwam niet eens verder dan zijn assistente: “Privacyregels, meneer!”

Vreemd. Privacyregels? Maar welke dan? Als ik zélf om een doktersverklaring vraag, waarin de dokter bevestigt dat ik om gezondheidsredenen dit of dat niet kan doen, dan geef ik daarmee toch (impliciet) toestemming om mijn gegevens te delen met anderen? En ik kan toch zélf bepalen aan wie ik zo’n verklaring doorgeef? Ik ken geen enkele privacyregel die met zo’n briefje geschonden wordt...

...En zoals ik al vermoedde: met privacy heeft zo’n geweigerde verklaring weinig tot niets te maken. Het blijkt gewoon een richtlijn te zijn van de artsenfederatie KNMG [KNMG-richtlijn ‘Omgaan met medische gegevens’, KNMG, mei 2018 – p.20]. Daarin wordt de amices afgeraden om geneeskundige verklaringen af te geven. Niet vanwege de AVG, maar omdat artsen niet voor het karretje van de patiënt gespannen willen worden. 

Moraal van dit verhaal: ‘privacy’ wordt tegenwoordig vaak met de haren erbij gesleept, als het gaat om dingen die geweigerd of verboden worden. Op zich is dat winst! De invoering van de AVG heeft kennelijk een heel nieuw privacy-bewustzijn opgeleverd. Maar je moet het niet overdrijven natuurlijk. Zeker niet als er eigenlijk heel andere belangen spelen.

Alles bij de bron; PlatformBurgerrechten


 

BriansClub, een site die gegevens verhandelt van gehackte creditcards en bankkaarten, is zelf gehackt. De buitgemaakte gegevens, zo'n 26 miljoen creditcardgegevens, zijn door de aanvallers doorgestuurd naar betrokken banken zodat de kaarten geblokkeerd kunnen worden.

Volgens Gemini Advisory, dat de zwarte markt in kaartgegevens probeert bij te monitoren, bestaat BriansClub al meerdere jaren. De site verkoopt onder meer 'dumps', reeksen van nullen en enen die op magnetische kaarten kunnen gezet. Met die kaarten kan je vervolgens aankopen doen, met andermans geld. De site zou zo'n 126 miljoen dollar aan bitcoin hebben binnengehaald sinds 2015. De buitgemaakte database is overgemaakt aan de banken, waardoor ze nu onbruikbaar is.

Alles bij de bron; DutchIT


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha