Het Nederlands Woning Waarde Instituut (NWWI) heeft na een waarschuwing een groot datalek gedicht, meldt de Consumentenbond. Via het lek waren honderdduizenden taxatierapporten en miljoenen andere privédocumenten van Nederlandse consumenten te bekijken.

Een onderzoeker van de Consumentenbond wist begin maart via een gat in de beveiliging toegang te krijgen tot de broncode en logbestanden van het NWWI. Daar vond hij onder meer wachtwoorden en IP-adressen van banken en verzekeraars.

Ook kon de onderzoeker via de zoekmachine van Google talloze taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes en foto's (onder meer van gebreken aan huizen) inzien en downloaden. In enkele gevallen was het ook mogelijk om kopieën van identiteitsbewijzen te bekijken en te downloaden.

Alls bij de bron; NU


 

I-SEC zegt dat er zipbestanden van 23 gigabyte zijn gepubliceerd op het darkweb, het afgesloten deel van het internet.

In de dataset zijn onder meer persoonsgegevens uit de personeelsadministratie te vinden. De woordvoerder treedt verder niet in detail, maar zegt dat er in elk geval gegevens van huidige en voormalige medewerkers van I-SEC in staan. I-SEC heeft als luchthavenbeveiliger een groot aandeel in de beveiliging van Schiphol.

De bestanden werden in april gepubliceerd. Het lek is gemeld bij de Autoriteit Persoonsgegevens. 

Alles bij de bron; NU


 

Bij twee aanvallen met de Pegasus-spyware op de mobiele telefoon van de Spaanse premier Pedro Sánchez is 2,7 gigabyte aan data buitgemaakt. Ook de telefoon van de Spaanse minister van Defensie Margarita Robles raakte met de spyware besmet. Daar gingen de aanvallers er met negen megabyte aan data vandoor. Het is onduidelijk wat voor data de aanvallers buitmaakten. De aanvallen op de Spaanse premier vonden vorig jaar mei en juni plaats.

Onlangs meldde het Canadese Citizen Lab dat het 63 Catalaanse personen had geïdentificeerd die met de Pegasus-spyware van de NSO Group geïnfecteerd waren. Het gaat om leden van het Europees Parlement, Catalaanse presidenten, wetgevers, juristen en leden van maatschappelijke organisaties. In sommige gevallen werden ook familieleden met de spyware besmet.

Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. 

Alles bij de bron; Security


 

Een privacyklacht over de gemeente Dronten die vakbond FNV bij de Autoriteit Persoonsgegevens indiende wordt niet door de toezichthouder behandeld. De AP heeft naar eigen zeggen onvoldoende personeel. De FNV overweegt om bezwaar te maken tegen het besluit van de Autoriteit Persoonsgegevens.

Afgelopen september bleek dat de gemeente Dronten al ruim zeven jaar beeld- en geluidsopnamen maakte van gesprekken met bijstandsgerechtigden in spreekkamers op het gemeentehuis. Na berichtgeving besloot de gemeente het filmen stil te leggen...

..."Fijn dat ze gestopt zijn, maar dat dit soort praktijken straffeloos kan plaatsvinden is gewoon niet te bevatten. De overheid moet haar burgers beschermen", zegt FNV-bestuurder Maureen van der Pligt. "Niet alleen had de gemeente Dronten moeten worden bestraft, ook zou er vanuit de AP een breder signaal naar partijen in de sociale zekerheid moeten uitgaan dat dit niet kan."

De FNV laat weten dat het inmiddels de derde privacyklacht in korte tijd is die de AP niet in behandeling neemt. Eerder trok de vakbond al aan de bel over misstanden bij de gemeente Nissewaard. Die verplichtte bijstandsgerechtigden om met hun vingerafdruk in te klokken op een sociale werkplaats. En de gemeente Groningen antedateerde een verwerkersovereenkomst om persoonsgegevens van bijstandsgerechtigden te verwerken.

Alles bij de bron; Security


 

Chatapp Signal wordt volgens experts mogelijk illegaal door een wetsvoorstel in België. Dat voorstel schrijft voor dat telecomoperatoren en communicatie-apps een bepaalde periode lang gegevens moeten bewaren over hun gebruikers, maar Signal slaat die gegevens nooit op. Het kabinet-Justitie benadrukt dat geen enkele dienst data zal moeten bewaren die het niet genereert.

Het voorstel schrijft voor dat metadata over communicatie op het platform bijgehouden moeten worden en dat die gegevens niet versleuteld opgeslagen mogen worden. Dit zodat autoriteiten in het land de gegevens kunnen opvragen in het kader van de misdaadbestrijding. Metadata zijn gegevens die kunnen prijsgeven met wie je hebt gecommuniceerd, hoe vaak en voor hoe lang, zonder dat daarvoor de inhoud van berichten moet worden vrijgegeven.

Justitie woordvoerder Edward Landtsheere benadrukt aan onze redactie dat geen enkele operator of communicatiedienst meer gegevens moet bewaren dan ze aanmaken. 

Volgens Justitieminister Van Quickeborne is de nieuwe wetgeving een betere optie dan de sleepnetmethode die in de Verenigde Staten wordt toegepast. Daar verzamelt de overheid systematisch data vanop het internet of van telefoonverkeer. Ook van “intrusieve methodes” is de minister geen fan. Daarbij worden telefoons of andere elektronische toestellen van verdachten gehackt aan de hand van controversiële software als Pegasus.

Ministry of Privacy, dat zich opwerpt als een onafhankelijke privacywaakhond, reageerde op Twitter. De stichting van jurist Matthias Dobbelaere-Welvaert zegt naar de rechtbank te gaan als het wetsvoorstel in deze vorm wordt doorgevoerd.

Frederik Jacobs, een Belg die mee aan de wieg stond van de app, noemt het voorstel “kortzichtig” en verwacht niet dat het zal standhouden in het Grondwettelijk Hof.

In België wordt al langer strijd geleverd door voor- en tegenstanders van encryptie en metadataretentie. In 2021 vernietigde het Belgisch Grondwettelijk Hof de dataretentiewet van het land nog.

Alles bij de bron; HLN


 

Beide toezichthouders op de geheime diensten publiceerden hun jaarverslag. Wat valt daarin op, en wat moeten we meenemen in de discussie over het aanpassen van de sleepwet (Wiv 2017) en de nieuwe Cyberwet?

Toezichthouders kunnen hun werk alleen goed doen als zij ook toegang hebben tot de juiste informatie. En een democratisch totstandkomingsproces van nieuwe wetgeving kan ook alleen plaatsvinden als duidelijk is wat er precies wordt voorgesteld. Op het gebied van informatievoorziening baren een aantal dingen in de jaarverslagen ons zorgen:

  • De Toetsingscommissie Inzet Bevoegdheden (toetsingscommissie) probeerde een beeld te schetsen van de impact en reikwijdte van de bevoegdheid tot kabelinterceptie en de hackbevoegdheid. ...Volgens de ministers gaven de passages teveel inzicht in het werk van de geheime diensten. Er zijn zelfs suggesties gedaan hoe de onafhankelijk toezichthouder dit wél kon omschrijven. Omdat de toetsingscommissie deze weigerde over te nemen zijn de passages nu zwartgelakt. De Commissie Stiekem krijgt ook een niet-gelakte versie. Wij roepen die commissie op tot een beoordeling of deze informatie samen met de gedane tekstsuggesties openbaar gemaakt kunnen worden. Op die manier wordt er door een onafhankelijke partij naar de kwestie gekeken en wordt de transparantie die het debat zo hard nodig heeft zo goed mogelijk gewaarborgd.
  • Vorig jaar kaartte de toetsingscommissie al aan dat de informatievoorziening vanuit de geheime diensten niet altijd goed ging. Ook dit jaar blijft dat weer een probleem. Om de toetsing op de inzet van bevoegdheden uit te kunnen voeren is de toetsingscommissie volledig afhankelijk van de informatie die zij van de geheime diensten krijgt. En ook dit jaar blijkt weer dat de geheime diensten de toetsingscommissie soms onvolledig of zelfs onjuist informeren.
  • En ook bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (toezichthouder) gaat dat mis. Wanneer de geheime diensten ingrijpende bevoegdheden inzetten moeten zij dit melden bij deze toezichthouder. Uit een van de onderzoeken die de toezichthouder dit jaar heeft gedaan blijkt dat de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) deze meldplicht in 57 van de 98 gevallen niet nakwam. Dat is meer dan de helft!

Verder valt op dat het aantal verzoeken dat de geheime diensten aan de toetsingscommissie hebben gedaan is gegroeid. Dat betekent dat zij vaker ingrijpende bevoegdheden hebben willen inzetten. Ook die verzoeken zelf zijn volgens de toetsingscommissie toegenomen in omvang en complexiteit. Dat betekent dat de geheime diensten vaker gegevens verzamelen, en ook nog eens per keer meer gegevens verzamelen.

...Meer weten?

Lees hier het jaarverslag van de toetsingscommissie (Tib)

Lees hier het jaarverslag van de toezichthouder (CTIVD)

Alles bij de bron; Bits-of-Freedom


 

De Nederlandse Aardolie Maatschappij (NAM) heeft onterecht gegevens van Groningse aardbevingsslachtoffers gedeeld met het ministerie van Economische Zaken. Dat meldt het Dagblad van het Noorden. De NAM verstuurde een Excel-bestand naar het ministerie met alle dossiers van inwoners uit Groningen die gebruik hadden gemaakt van de waardedalingsregeling van het bedrijf.

De NAM en het ministerie bevestigen dat er onbedoeld gegevens van inwoners door het gaswinningsbedrijf zijn verstrekt. Ambtenaren van het ministerie spreken van "nogal een datalek". Er is echter geen melding gedaan bij de Autoriteit Persoonsgegevens. Volgens de NAM is er namelijk geen echt risico voor de privacy van bewoners geweest.

Alles bij de bron; Security


 

Facebook moet sinds kort aan allerlei datawetten voldoen, maar het bedrijf heeft 'geen idee' wat er eigenlijk met zijn data gebeurt. Dat staat in een gelekt document dat in handen is van Motherboard.

"We hebben niet voldoende controle en kunnen niet goed genoeg uitleggen hoe onze systemen informatie gebruiken", staat in het document dat Motherboard online heeft gezet. "Daarom kunnen we moeilijk beleidsveranderingen doorvoeren of beloften maken over hoe we data niet zullen gebruiken." 

Facebook zou verrast zijn geweest door wetswijzigingen in de Europese Unie en India vorig jaar. 

Alles bij de bron; RTL


 

NAS-systemen van fabrikant QNAP zijn door beveiligingslekken in Netatalk kwetsbaar voor aanvallen. Eind vorige maand kwam het Netatalk-ontwikkelteam met een nieuwe versie waarin meerdere kwetsbaarheden zijn verholpen.

Netatalk wordt ook gebruikt door QTS, QuTS hero en QuTScloud, de besturingssystemen die op NAS-systemen van QNAP draaien. Vier van de beveiligingslekken in Netatalk (CVE-2022-0194CVE-2022-23121CVE-2022-23122 en CVE-2022-23125) maken het mogelijk voor ongeauthenticeerde aanvallers om code op kwetsbare QNAP-systemen uit te voeren.

QNAP heeft de impact van de beveiligingslekken als "high" bestempeld. De NAS-fabrikant stelt dat de kwetsbaarheden al zijn verholpen in QTS 4.5.4.2012 build 20220419 en nieuwer. Voor andere versies van de besturingssystemen worden nog beveiligingsupdates ontwikkeld.

Alles bij de bron; Security


 

De Amerikaanse overheid heeft een waarschuwing afgegeven dat aanvallers actief misbruik maken van het Dirty Pipe-lek in Linux. Via het lek kan een lokale gebruiker rootrechten krijgen. De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid.

Met de laatste update zijn erin totaal zeven nieuw aangevallen kwetsbaarheden aan de lijst toegevoegd. Het gaat naast het Dirty Pipe-lek in Linux ook om vier kwetsbaarheden in Windows waardoor een lokale aanvaller zijn rechten kan verhogen. Voor één van deze beveiligingslekken (CVE-2022-26904) kwam Microsoft twee weken geleden met een update. Volgens Microsoft werd het lek op het moment dat de patch uitkwam nog niet aangevallen. Dat is inmiddels veranderd, aldus het CISA, wat wederom aangeeft hoe snel aanvallers misbruik van geopenbaarde kwetsbaarheden maken.

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha