De Belgische regering verplicht chatdiensten als WhatsApp toch niet om een backdoor in hun software te bouwen. Eerder werd een wetsvoorstel dat de omzeiling van eind-tot-eindversleuteling mogelijk maakt aangenomen, maar dat leidde tot veel kritiek.

Volgens de Belgische regering is het bij nader inzien "ter bevordering van de digitale veiligheid" uiteindelijk dus toch toegestaan om berichten te versleutelen zonder backdoor, zo detailleert De Standaard. De nieuwe wet die omzeiling van eind-tot-eindversleuteling achterwege laat kent wel enkele uitzonderingen. Zo moet de verplicht opgeslagen metadata, een oorspronkelijk onderdeel van dezelfde wet, voor wethandhavingsdiensten toegankelijk blijven. Ook mogen noodoproepen nooit versleuteld worden. Daarnaast kunnen overheidsdiensten via juridische procedures alsnog toestemming krijgen om met eindgebruikers mee te lezen of luisteren.

Daarmee heeft de Belgische overheid deels gehoor gegeven aan de kritieken van onder meer verschillende privacy-experts. Volgens critici zou de omstreden dataretentiewet eind-tot-eindversleuteling volgens ondermijnen. 

Alles bij de bron; Tweakers


 

Tienduizenden Facebookgebruikers zijn het doelwit geworden van commerciële surveillancebedrijven, die toegang tot accounts probeerden te krijgen en telefoons en computers met malware probeerden te infecteren. Facebook heeft zo'n 50.000 mensen die doelwit waren inmiddels gewaarschuwd.

Dat laat het techbedrijf in een nieuw rapport weten (pdf). In totaal identificeerde Facebook zeven surveillancebedrijven die het socialmediaplatform gebruikten voor het uitvoeren van aanvallen en vergaren van informatie van tienduizenden mensen. Deze bedrijven gebruikten honderden Facebookaccounts om met hun slachtoffers contact te maken. Zo werd geprobeerd om informatie te verkrijgen, een vertrouwensband op te bouwen, slachtoffers op links te laten klikken of die bestanden te laten downloaden.

Het uiteindelijke doel van de aanvallers was om volledige controle over telefoons of computers van slachtoffers te krijgen, zodat die konden worden bespioneerd.

Alles bij de bron; Security


 

Datingplatform Grindr krijgt in Noorwegen een boete van 6,3 miljoen euro opgelegd. Het bedrijf zou op onwettige wijze persoonlijke data van gebruikers hebben gedeeld voor marketingdoeleinden. Het gaat om de hoogste Noorse boete ooit voor een dergelijke overtreding.

Grindr zou onder meer GPS-coördinaten van gebruikers, informatie uit profielen over onder meer leeftijd en geslacht, en het gebruik van de app hebben gedeeld met adverteerders. 

De toezichthouder oordeelt dat Grindr gebruikers onvoldoende heeft geïnformeerd over deze datadeling, terwijl hier expliciete toestemming voor nodig is volgens de AVG. De waakhond stelt daarom dat Grindr de AVG heeft overtreden.

Alles bij de bron; DutchIT-channel


De Duitse overheid wil berichten op chatdienst Telegram kunnen aanpakken. Volgens de autoriteiten maken tegenstanders van de coronamaatregelen gebruik van het platform om demonstraties te organiseren. Binnen de Duitse overheid wordt daarom gekeken naar wet- en regelgeving en een Europees uniform juridisch framework om Telegram aan banden te leggen, zo meldt Duitse media....

...De minister van Binnenlandse Zaken van de Duitse deelstaat Thuringen Georg Maier stelt dat Telegram "geen pure" chatdienst is, maar een sociaal platform waar wordt opgeroepen tot demonstraties, geweld en adresgegevens van politici worden gepubliceerd. Net als Maier vindt het Duitse ministerie van Justitie dat Telegram geen chatdienst is, maar een sociaal netwerk.

Daardoor zouden er andere regels voor het platform moeten gaan gelden, zoals nu bijvoorbeeld al van toepassing zijn op Facebook. Duitse wetgeving verplicht sociale netwerken om strafbare content te blokkeren of te verwijderen. Ook moet strafbare content eenvoudig kunnen worden gerapporteerd. 

Alles bij de bron; Security


 

Demissionair ministers Grapperhaus en de Jonge zijn de winnaars van de jaarlijkse Big Brother Awards geworden. Dat heeft organisator en digitale burgerrechtenorganisatie Bits of Freedom vandaag bekendgemaakt.

de Jonge won de Publieksprijs, vanwege de slecht doordachte invoering van Coronatoegangsbewijzen. De Expertprijs gaat dit jaar naar minister Grapperhaus.

Wegens een hele rits aan misstappen die het ministerie van Justitie en Veiligheid heeft begaan besloten de experts om de minister een Lifetime achievement award uit te reiken. "Het komt niet vaak voor dat we een lifetime achievement award uitreiken, maar dit ministerie heeft het zo bont gemaakt dat wij en onze vakjury eigenlijk geen andere optie zagen", merkt Austin op.

De expertprijs is persoonlijk aan minister Grapperhaus overhandigd, minister de Jonge heeft de Publieksprijs niet in ontvangst genomen.

Alles bij de bron; Security


 

De kritieke kwetsbaarheid in logsoftware Log4j raakt een groot aantal applicaties, waaronder die van VMware, ElasticSearch, Red Hat, Atlassian, Amazon, Apache, Oracle en tal van andere programma's en leveranciers. Microsoft is bezig met een onderzoek en het Nationaal Cyber Security Centrum (NCSC) heeft inmiddels op GitHub een overzicht van kwetsbare Log4j-applicaties en te nemen stappen gepubliceerd. De lijst zal de komende dagen nog verder worden aangevuld, aangezien tal van applicaties van Apache Log4j gebruikmaken.

De impact van de kwetsbaarheid, aangeduid als CVE-2021-44228, is op een schaal van 1 tot en met 10 met een 10 beoordeeld. "De kwetsbaarheid is wat complex: hoewel sommige producten kwetsbaar zijn, wil dit niet zeggen dat de kwetsbaarheid succesvol is te misbruiken aangezien dit afhankelijk is van verschillende pre- en postcondities, zoals de gebruikte Java virtual machine, de huidige configuratie, etc.", aldus het Zwitserse Government Computer Emergency Response Team (GovCERT.ch).

De overheidsinstantie waarschuwt dat het Log4j-lek tegen de vitale infrastructuur kan worden ingezet, maar zijn hier nog geen meldingen over binnengekomen.

The log4j JNDI attack

Alles bij de bron; Security


 

De Amerikaanse burgerrechtenbeweging EFF luidt de noodklok over de nieuwe regels die gaan gelden voor Google Chrome-extensies en binnenkort van kracht worden. Volgens de EFF zijn de nieuwe specificaties schadelijk voor de privacy van gebruikers. 

"Manifest V3 is regelrecht schadelijk voor privacymaatregelen. Het beperkt de mogelijkheden van extensies", zegt Daly Barnett van de Amerikaanse burgerrechtenbeweging. Het gaat dan met name om extensies die het verkeer tussen de browser en websites monitoren. Het gaat dan bijvoorbeeld om adblockers en privacytools, die door het nieuwe manifest veel minder effectief worden, merkt Barnett op, die toevoegt dat het ook twijfelachtig is dat Manifest V3 veel voor security zal doen.

"De ontwikkelspecificaties van browser-extensies lijken misschien overweldigend, maar de bredere gevolgen zijn voor alle internetgebruikers van belang: het is weer een stap waar Google bepaalt hoe we online leven", merkt Barnett op. "Gegeven dat Google al jaren het grootste advertentiebedrijf ter wereld is, zijn deze nieuwe beperkingen bemoeizuchtig en regelrecht eng."

"Bijna alle browser-extensies die je kent worden op de één of andere manier geraakt: degene die geluk hebben zullen 'alleen' wat problemen ervaren, sommige worden verminkt en andere zullen ophouden met bestaan", zegt Andrey Meshkov van AdGuard.

Alles bij de bron; Security


 

Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren.

De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. 

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Pas op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar.

Alles bij de bron; Security


 

Google heeft de activiteiten van een groot net­werk van ge­kaap­te com­pu­ters (botnet) verstoord. Een botnet is een verzameling computers waarop malware is geïnstalleerd, vaak zonder medeweten van de gebruikers. 

Volgens Google werden wereldwijd ongeveer een miljoen Windows-computers geïnfecteerd met het Glupteba-botnet. Het netwerk groeide een tijdlang met duizend nieuwe besmettingen per dag, meldt het bedrijf en wordt het gebruikt om persoonlijke data te stelen, cryptovaluta te mijnen en ander internetverkeer door de geïnfecteerde machines te sturen. Ook eigen diensten van Google werden gebruikt voor het verspreiden van de software.

Het is lastig om het botnet helemaal te sluiten, omdat de cybercriminelen gebruikmaken van een back-up in de blockchain die ook voor bitcoin wordt ingezet. Google wil de verantwoordelijke personen aanklagen om botneteigenaren aansprakelijk te stellen en toekomstige activiteiten te ontmoedigen.

Alles bij de bron; NU


 

De overheid voldoet nog altijd niet aan de afspraken voor het beveiligen van e-mail, ook al had dit in 2019 al geregeld moeten zijn. Daardoor kunnen criminelen namens bijna een kwart van de onderzochte overheidsdomeinen vervalste e-mails versturen. Dat meldt het Forum Standaardisatie op basis van eigen onderzoek.

Binnen de overheid zijn afspraken gemaakt om verschillende e-mailbeveiligingsstandaarden uit te rollen, de zogeheten streefbeeldafspraken. Alle overheden moesten in 2019 in ieder geval voor e-mail SPF en DMARC juist hebben ingesteld. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt.

Een andere standaard die al geïmplementeerd had moeten zijn en dat niet is, is DANE. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.

"Met de implementatie en juiste strikte configuratie van anti-emailvervalsingstandaarden kan phishing worden bestreden. De OBDO streefbeeldafspraak om dat eind 2019 bij 100 procent van de gemeten e-maildomeinen op orde te hebben is nog niet gehaald", stelt het Forum Standaardisatie. "Bijna een kwart van de overheden voldoet nog niet. Phishingmails namens de achterblijvende organisaties (inclusief bewindspersonen) komen daardoor nog steeds bij burgers en bedrijven aan."

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha