Datingplatforms zijn soms te nieuwsgierig, vragen niet altijd op de juiste manier toestemming voor tracking en zijn kwetsbaar voor bruteforce-aanvallen, zo stelt de Consumentenbond op basis van eigen onderzoek. In totaal werden twaalf datingplatforms op verschillende punten onderzocht.

Zo hebben Inner Circle, Pepper en Relatieplanet geen maatregelen tegen bruteforce-aanvallen genomen, waardoor aanvallers onbeperkt kunnen proberen om toegang tot accounts te krijgen. De drie datingdiensten zeggen maatregelen te nemen om dergelijke aanvallen in de toekomst te voorkomen.

Daarnaast zijn sommige platforms volgens de Consumentenbond te nieuwsgierig. Zo vraagt e-Matching om gewicht, lengte, opleiding, levensbeschouwing en kinderwens. De datingdienst stelt in een reactie dat het de gegevens nodig heeft om mensen goed aan elkaar te koppelen. Facebook Dating neemt optioneel gegevens over van het Facebook-profiel. Wie niet goed oplet kan zo veel gegevens met relatief onbekende internetgebruikers delen.

Bij Inner Circle moeten profielen eerst worden goedgekeurd voordat die online verschijnen. De datingdienst stelt dat hoe completer het profiel is, hoe makkelijker het is te controleren. "Je wordt dus aangemoedigd nog meer persoonsgegevens over te dragen. Ben je het wachten beu, dan kun je uitloggen. Maar onduidelijk is wat er gebeurt met de tot dan toe ingevulde gegevens. Hier moet de app-aanbieder duidelijkheid over geven", stelt de Consumentenbond.

De meeste datingplatforms blijken met advertentienetwerken te communiceren. Via de apps ontvangen advertentiebedrijven ook apparaatgegevens van de mobiele telefoon en exacte locatie. Hiervoor moeten de datingdiensten toestemming vragen, maar bij Badoo, Bumble, Happn en Inner Circle gebeurt dat niet goed, aldus de Consumentenbond, die verbetering heeft geëist.

Bron; Security


 

Wanneer grote aantallen nepaccounts een bepaalde boodschap verspreiden, kan dat ernstige maatschappelijke gevolgen hebben. De indruk kan ontstaan dat die opvattingen veel steun genieten en kiezers kunnen zich daardoor ­laten beïnvloeden. Het kan dus pure manipulatie zijn. De Amerikanen noemen dit astroturfing. 

AstroTurf is een producent van kunstgras en daarmee is voor Amerikanen direct duidelijk wat astroturfing betekent: het kunstmatig suggereren dat er sprake is van een beweging vanaf de basis, terwijl in werkelijkheid sprake is van nepaccounts...

...Het begrip astroturfing laat ook iets anders zien. De data-gedreven wereld van de sociale media kent een groot aantal gevaren – privacyschending, profilering, manipulatie. ‘Spoofing’ en ‘doxxing’ zijn ernstige verschijnselen, maar niet iedereen begrijpt wat die woorden betekenen. Of er wordt taal gebruikt die ons niet alarmeert – ‘cookies’ klinkt vriendelijk, maar kan inhouden dat je wordt geschaduwd door onbekenden. Of woorden zijn alleen in de Amerikaanse context betekenisvol – zie ‘astroturfing’. 

Vaak gaat het om Engelstalige woorden, die voor ons niet direct een duidelijke betekenis hebben. Dus moeten we taal ontwikkelen die ons wel alarmeert, als het even kan ook in het ­Nederlands.

Alles bij de bron; Trouw


 

In het jaarverslag over 2020 klaagt de Toetsingscommissie Inzet Bevoegdheden (TIB) opnieuw over fouten in verzoeken van de inlichtingendiensten om bepaalde methodes te mogen toepassen. Daardoor kan bijvoorbeeld afluisteren op onrechtmatige wijze plaatsvinden, ondanks dat toestemming is verleend...

...In de praktijk toetst de TIB de inhoud van het verzoek dat al door de minister is goedgekeurd. De rechtmatigheidstoets van de TIB is bindend, dus bij een positief oordeel kan de bevoegdheid worden ingezet.

Het is dan wel de bedoeling dat het verzoek inhoudelijk klopt en dat men bijvoorbeeld niet toestemming vraagt voor het afluisteren van één telefoonlijn en dat vervolgens de hele wijk wordt afgeluisterd. En op dat gebied gaat het volgens de TIB nog te vaak mis. Het verzoek is dan onvolledig of zelfs onjuist. Volgens TIB-voorzitter Mariëtte Moussault gaat het daarbij om ernstige zaken. Zo bleek een ‘telefoontap’ in werkelijkheid een hack-operatie. Ook gebeurt het dat conform het verzoek wordt gehandeld, maar dat men geen nieuw verzoek indient als bij het uitblijven van resultaat een stap verder wordt gegaan. 

In de periode van april tot en met december 2020 toetste de TIB 2165 verzoeken van de AIVD en MIVD. Dat was een toename van 22,6 procent ten opzichte van het vorige verslagjaar. Daarmee komt ook de capaciteit van de toezichthouder verder onder druk te staan.

Van de verzoeken van de MIVD bleek na toetsing dat de minister hier in 8,1 procent van de gevallen geen toestemming voor had mogen verlenen. Bij de AIVD lag dat percentage op 1,9 procent. 

Alles bij de bron; BeveilNieuws


 

 

Wegens een privacyprobleem met CoronaMelder is het tijdelijk niet mogelijk voor besmette gebruikers om waarschuwingen naar andere gebruikers te versturen. Daartoe heeft demissionair minister De Jonge van Volksgezondheid besloten, zo laat de Rijksoverheid via de eigen website weten en wordt ook gemeld door Ron Roozendaal, cio en directeur informatiebeleid van het ministerie van Volksgezondheid.

Gisteren maakten onderzoekers van AppCensus bekend dat gevoelige data van corona-apps toegankelijk is voor voorgeïnstalleerde apps op Androidtoestellen. Informatie van de apps, waaronder uitgezonden en ontvangen codes van andere gebruikers, wordt in de systeemlog van Android opgeslagen, waar honderden third-party apps toegang toe hebben. Deze apps zouden de informatie kunnen uitlezen en koppelen aan de gebruiker. Het probleem is niet aanwezig op iOS.

Google is al meer dan zestig dagen geleden door de onderzoekers over het probleem ingelicht, maar had gisteren nog geen update uitgerold, waardoor de onderzoekers hun bevindingen openbaar maakten. Vandaag besloot het ministerie het waarschuwen via de app twee dagen stop te zetten. 

Volgens het ministerie is er mogelijk sprake van een datalek. "Derden zouden deze codes niet moeten kunnen verzamelen en inzien. Op telefoons die gebruik maken van het Google Android operating systeem is dit wel mogelijk. Apps die meegeleverd werden met een telefoon konden vaststellen of de telefoon in bezit is van iemand die eerder als besmet is gemeld in CoronaMelder en welke ontmoetingen met besmette personen hebben plaatsgevonden. Hiervoor moeten deze codes gecombineerd worden met andere databronnen, wat in strijd is met de Tijdelijke wet notificatieapplicatie covid-19."

Alles bij de bron; Security


 

 

De Autoriteit Persoonsgegevens (AP) geeft Enschede een boete van 600.000 euro, omdat de gemeente wifi-tracking gebruikte in de binnenstad op een manier die niet mag. Daardoor was het mogelijk winkelend publiek en mensen die in de binnenstad wonen of werken te volgen. De inzet van wifi-tracking is aan strenge eisen gebonden en in de meeste gevallen verboden.

De gemeente Enschede besloot in 2017 om via sensoren de drukte in de binnenstad te gaan meten. Meetkastjes in de winkelstraten vingen de wifi-signalen op uit de mobiele telefoons van passerende mensen. Ieders telefoon werd apart geregistreerd, met een unieke code...

...Maar hou je over een langere periode bij welke telefoon langs welk meetkastje komt, dan verandert dit ’tellen’ in het volgen van mensen, zegt de AP. En dat was in Enschede het geval. De privacy van burgers was dus niet goed gewaarborgd, omdat zij konden worden gevolgd zonder dat dit noodzakelijk was.

„Het is niet de bedoeling dat iemand kan volgen welke winkel, arts, kerk of moskee we bezoeken. Dat is privé en dat moet privé blijven. Zodat mensen zichzelf kunnen zijn, zonder zich geremd te voelen door mogelijke registratie”, zegt AP-vicevoorzitter Monique Verdier. „Een gemeente moet dit grondrecht van haar inwoners voorop stellen.”

De overtreding begon in mei 2018. De interventie van de AP was aanleiding voor de gemeente om op 1 mei 2020 te stoppen met wifi-tracking.

Alles bij de bron; Telegraaf


 

Volgens de website the Markup kunnen apps die standaard op Android zitten bij gevoelige gezondheidsgegevens. Het zou gaan om gegevens van mensen die via bluetooth contact hadden met de app van iemand anders toen ze bij elkaar in de buurt waren en daarna besmet zijn geraakt met het coronavirus.

Die gegevens zouden enkel anoniem moeten zijn, maar lijken nu toch niet anoniem te worden opgeslagen. Terwijl dat wel de bedoeling is.

Het is niet voor het eerst dat er privacyproblemen rond de CoronaMelder-app zijn. GGD-medewerkers konden vorig jaar in de app zien of besmette personen gebruikmaakten van de CoronaMelder. De app werd destijds regionaal getest.

Alles bij de bron; RTL


 

Het is een bekende filmische plotwending: de held of schurk die plotseling aan z'n nek begint te peuteren en een masker omhoog trekt om te onthullen dat hij helemaal niet is wie we dachten. Hoe onrealistisch het ook klinkt: het blijkt niet puur fictie. Volgens financiële technologiebedrijven die digitaal de identiteit van klanten controleren voor banken en bedrijven, komen pogingen tot identiteitsfraude met siliconen maskers regelmatig voor.

...Ook het Nederlandse Fourthline zag afgelopen jaar voor het eerst criminelen voorbijkomen die met een siliconen masker probeerden de identiteit van een ander aan te nemen. Het bedrijf voert jaarlijks bij elkaar een paar miljoen identiteitscontroles uit voor verschillende Europese banken, bedrijven en instellingen. Onder de klanten zijn de nationale Franse politie, de mobiele bank N26 en de Nederlandse bedrijven De Giro, KPN en Bol.com.

...klanten die een rekening bij een bank willen openen worden door het bedrijf gevraagd om zich via een app aan te melden en te laten zien wie ze zijn. Via de app moeten ze dan hun gezicht en paspoort vanuit verschillende hoeken laten scannen. Vervolgens analyseren algoritmes de gezichten en data die ze vinden en vergelijken ze de gevonden informatie ook met berichten in de media, openbare sanctielijsten en andere data. 

Volgens het Britse iProov wijst er op dat 'deep fakes', waarbij beelden digitaal gemanipuleerd worden om op iemand anders te lijken, een nog grotere bedreiging zijn. "Die zijn schaalbaar en kunnen toegepast worden op veel verschillende identiteiten."

Volgens Krik Gunning van Fourthline raken criminelen steeds meer bedreven in identiteitsfraude. "Fraudeurs zijn niet alleen beter geworden in het vervalsen van een officieel door de overheid uitgegeven ID-bewijs, maar zijn ook bewuster van iemands digitale identiteit in het algemeen."

De analisten van het bedrijf zien geregeld valse ID-bewijzen voorbijkomen die exact overeenkomen met de informatie op socialemedia-accounts. "Een Facebook- of LinkedIn-account, inclusief volledige naam, geboortedatum, geboorteplaats en connecties met (nep) vrienden en familie."

Alles bij de bron; NOS


 

Het lijkt zo mooi: een pas waarmee je kunt laten zien of je gevaccineerd bent, dan wel corona hebt gehad of dat je recent negatief bent getest. Maar bij alle juichverhalen  blijven ethische vragen vaak onbeantwoord.

Zo is de vraag waarvoor de pas precies gebruikt moet gaan worden, nog steeds niet volledig beantwoord. Eerder zei Von der Leyen dat het uitsluitend om „medische doeleinden” zou moeten gaan. In de aankondiging stelde ze later dat de Green Pass „het leven van Europeanen moet faciliteren”. Die moeten zich „veilig binnen en buiten de EU kunnen bewegen”, een soort extra toegangsbewijs dus bij grensoverschrijdend verkeer.

De Oostenrijkse bondskanselier Sebastian Kurz bepleit een Green Pass naar Israëlische stijl. Daar mag het gevaccineerde grote deel van de bevolking sinds een paar weken met behulp van een app weer naar het zwembad of een gebedshuis.

En de ethische kwesties die aan een dergelijke pas kleven gaan dieper. De Royal Society, de Britse academie voor wetenschappen, publiceerde onlangs een studie naar de vele kwesties die een rol spelen. Zij waarschuwde voor de mogelijke precedentwerking van vaccinatiebewijzen. Werken zij gezondheidssurveillance door de staat in de hand? In China worden bijvoorbeeld persoonsgegevens die via een corona-app zijn verkregen gedeeld met de politie.

Op Aruba krijgen alle werknemers van het bedrijf Wind Creek Aruba een bonus van 300 Amerikaanse dollar (omgerekend ruim 250 euro) als ze zich twee keer laten vaccineren tegen het coronavirus. Zo kan het bedrijf, dat eigenaar is van hotels op Aruba en Curaçao, verschillende casino’s en Starbucks, zich zo goed mogelijk voorbereiden op de komst van Amerikaanse toeristen. 

Er gelden in Nederland via de Algemene Verordening Gegevensbescherming (AVG) strenge regels als het gaat om de bescherming van de gezondheidssituatie van werknemers - en daaronder vallen ook vaccinatiegegevens en de werkgever mag op grond van de AVG deze gegevens van zijn werknemers niet verwerken. Ook het vragen naar en gebruiken van deze informatie is verboden, zelfs als de werknemer hiervoor uitdrukkelijke toestemming verleent. De Autoriteit Persoonsgegevens is namelijk van mening dat een werknemer vanwege de gezagsverhouding op de werkvloer per definitie niet in staat is om zijn wil vrij te bepalen. 

Maar er zijn natuurlijk allerlei manieren waarop informele druk kan worden uitgeoefend op werknemers om toch, zij het mondeling, te weten te komen of iemand wel of niet is gevaccineerd.

Lotte Houwing, beleids-adviseur van privacybeschermingsorganisatie Bits of Freedom hamert ook op de uitsluitende werking die een paspoort per definitie heeft. ,,De functie van paspoorten is om onderscheid te maken tussen groepen mensen. Het is het tastbare bewijs dat je tot een bepaalde groep behoort. Voor die groep gelden bepaalde regels. Het laten gelden van verschillende regels voor verschillende groepen mensen kan zorgen voor ongelijkheid in de samenleving. Zo ook met gezondheidspaspoorten.”

In bredere zin zijn volgens haar digitale immuniteitspaspoorten – en zeker die verbonden zijn met biometrische gegevens – onderdeel van een groeiende infrastructuur van massasurveillance die mensen kan bekijken, analyseren en sturen over tijd en locatie. ,,Zulke systemen leunen op het bijhouden van enorme databanken over mensen en brengen schade toe aan de kern van ons recht op waardigheid, privacy en lichamelijke integriteit.”

De Gezondheidsraad heeft in Nederland geadviseerd dat de gerechtvaardigheid van het wel of niet eisen van een coronavaccinatie per setting kan verschillen. Dit klinkt allemaal nog betrekkelijk vaag en vaak zal de rechter eraan te pas moeten komen om te bepalen of een eis tot vaccinatie gerechtvaardigd is of niet. 

Alles bij de bron; FrieschDagblad 


 

Passwordstate, een wachtwoordmanager voor bedrijven, is getroffen door een supply chain attack. De aanvallers zaten ongeveer 28 uur lang in de leveringsketen van de software, maar hoeveel van de meer dan 29.000 klanten getroffen zijn, is niet bekend.

De aanvallers braken in bij de systemen van ontwikkelaar ClickStudios en plaatsten daar een software-update voor de self-hosted-wachtwoordmanager. Die vervalste update bevatte een aangepaste versie van 'Moserware.SecretSplitter.dll', met een 'Loader' aan boord die contact zocht met een server die in handen was van de aanvallers. Daar zou de malware de payload ophalen, maar het is onbekend wat daarin zou zitten; CSIS heeft die niet kunnen bemachtigen omdat de server al offline is.

ClickStudios heeft een onbekend aantal klanten per e-mail op de hoogte gebracht en treedt naar buiten met een publiekelijk bericht. In dat bericht stelt het dat de malware onder andere gebruikersnamen, wachtwoorden en een lijst van draaiende processen naar de server van de aanvallers zou sturen. 

Het Australische bedrijf komt met een hotfix om het geïnfecteerde bestand te vervangen. Ook raadt het aan om alle wachtwoorden te vervangen bij aan het internet blootgestelde systemen, interne infrastructuur en alle wachtwoorden die in Passwordstate opgeslagen staan.

Alles bij de bron; Tweakers


 

Onderzoekers hebben een fout in Apples AirDrop ontdekt waardoor het e-mailadres en het telefoonnummer van een gebruiker kan lekken naar iedereen in de buurt. Mits ze een apparaat hebben dat wifi-signalen kan opvangen, natuurlijk.

AirDrop lekt gegevens naar nabijgelegen apparaten op het moment dat een gebruiker bestanden deelt, schrijft de Technische Universiteit Darmstadt. Je kan met AirDrop bestanden delen met apparaten die vlakbij zijn.

Om zeker te zijn dat je niet zomaar bestanden naar een vreemde stuurt, checkt de app welke apparaten in de buurt toebehoren aan iemand van je contactlijst. Voor deze vergelijking vraagt AirDrop e-mailadressen en telefoonnummers op van apparaten in de buurt en kijkt of de zender en ontvanger bij elkaar in de contactlijst staan. De data die voor die vergelijking nodig is, is volgens de TU Darmstadt niet goed versleuteld. Een kwaadwillende zou zo deze informatie kunnen onderscheppen.

Het lek is al sinds mei 2019 bekend. 

Alles bij de bron; RTL


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha