- Gegevens
- Hoofdcategorie: Internet en Telecom
Hackers hebben gestolen data gelekt van Attent Zorg en Behandeling, een Nederlandse instelling voor ouderenzorg. Bij de data zitten onder meer paspoorten van werknemers en de codes van sleutelkluizen van cliënten. Attent was in februari slachtoffer van ransomware.
Ransomwaregroep Qilin, de groep die Attent aanviel, heeft een bestand van 110MB gepubliceerd, met onder meer 74 paspoortdocumenten van dokters, fysiotherapeuten en verpleegkundigen.
Verder heeft de groep salarisstroken, geheimhoudingsverklaringen en vertrouwelijke interne communicatie gelekt. In die interne communicatie zou bijvoorbeeld te vinden zijn hoe medewerkers de woningen van zelfstandig wonende ouderen kunnen betreden.
Attent heeft in totaal 1450 werknemers en 500 vrijwilligers en is actief in Gelderland.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het online therapieplatform BetterHelp schond privacybeloftes en misleidde gebruikers door gevoelige gezondheidsgegevens, waaronder informatie over "psychische gezondheidsuitdagingen", met Facebook en andere advertentiebedrijven te delen.
Via BetterHelp kunnen mensen online in contact komen met pyschologen, therapeuten, maatschappelijk werkers en andere adviseurs. Wie interesse in advies heeft moet eerst een formulier invullen dat om gevoelige psychische gezondheidsinformatie vraagt, zoals of de persoon in kwestie met depressie of suïcidale gedachten te maken heeft gekregen of medicatie gebruikt. Vervolgens moeten ook naam, e-mailadres, geboortedatum en andere persoonlijke informatie worden opgegeven. Op basis van deze informatie zoekt BetterHelp een geschikte therapeut.
Tijdens het aanmeldproces beloofde BetterHelp meerdere keren dat het de gezondheidsgegevens van klanten niet zou gebruiken of delen, behalve voor beperkte doeleinden, zoals het bieden van therapie. Ondanks deze beloftes bleek BetterHelp e-mailadressen, ip-adressen en ingevulde gezondheidsgegevens voor advertentiedoeleinden te delen met Facebook, Snapchat, Criteo en Pinterest, zo stelt de FTC.
Zo gebruikte BetterHelp het e-mailadres van cliënten en het feit dat ze eerder therapie hadden gehad om Facebook te vragen soortgelijke personen te vinden en hen de advertenties van BetterHelp te tonen. Dat leverde het bedrijf volgens de FTC tienduizenden nieuwe cliënten en miljoenen dollars aan omzet op.
De FTC wil nu dat BetterHelp een bedrag van 7,8 miljoen dollar betaalt, dat onder cliënten van het platform zal worden verdeeld. Daarnaast krijgt het platform een verbod opgelegd voor het delen van gezondheidsinformatie voor advertentiedoeleinden.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Amerikaanse fastfoodketen Chick-fil-A waarschuwt ruim 71.000 klanten voor een datalek nadat aanvallers erin zijn geslaagd om op hun account in te breken omdat ze geen uniek wachtwoord voor hun account gebruikten. In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine meldt de fastfoodketen dat het onlangs verdachte inlogactiviteit met Chick-fil-A One-accounts ontdekte.
Na ontdekking van de verdachte inlogactiviteit startte de fastfoodketen een onderzoek en ontdekte dat aanvallers een credential stuffing-aanval tegen de website en mobiele app hebben uitgevoerd.
Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
In totaal wisten de aanvallers op 71.473 accounts in te loggen en hebben zo toegang gekregen tot naam, e-mailadres, laatste vier cijfers creditcard, krediet, geboortedatum, telefoonnummer en adresgegevens.
Naar aanleiding van de aanval heeft de fastfoodketen van alle ruim 71.000 klanten de wachtwoorden gereset, hun ingestelde betaalmethode verwijderd en tijdelijk alle tegoeden die klanten op hun account hadden bevroren. Chick-fil-A roept klanten op om een uniek en sterk wachtwoord te kiezen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Fraudebeschermingsdienst Eye4Fraud heeft de gegevens van zestien miljoen accounts gelekt, waaronder e-mailadressen, ip-adressen, namen, gedeeltelijke creditcardgegevens, wachtwoordhashes, telefoonnummers en fysieke adresgegevens van zestien miljoen accounts. Eye4Fraud biedt een dienst waarbij het de bestellingen die bedrijven ontvangen op fraude controleert.
Onlangs claimde een aanvaller dat hij de volledige databaseback-up van de S3 storage servers van Eye4Fraud in handen heeft gekregen. De in totaal 65 gigabyte grote dataset werd vervolgens op internet te koop aangeboden.
Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned ontving de dataset en vroeg Eye4Fraud naar eigen zeggen herhaaldelijk om een reactie, maar kreeg die niet. Van de zestien miljoen bij Eye4Fraud buitgemaakte e-mailadressen was 77 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De populaire filmpjesapp TikTok werkt in Europa aan een manier om te kunnen garanderen dat gebruikersgegevens niet zomaar in China belanden. Daarmee reageert het socialemediaplatform op actie van onder meer de Europese Commissie en het Europees Parlement om de app bij zakelijke toestellen van het eigen personeel in de ban te doen.
TikTok is eigendom van het Chinese technologiebedrijf ByteDance en ligt onder vuur sinds het bedrijf toegaf dat bepaalde werknemers toegang hadden tot gegevens van gebruikers in de Verenigde Staten en Europa. Steeds meer regeringen en parlementen verbieden TikTok op de werktelefoons en andere zakelijke toestellen van hun personeel uit angst voor datadiefstal en spionage.
Volgens hem zal TikTok in Europa daarom op een zelfde manier te werk te gaan als in de Verenigde Staten. In dat land, waar een speciale deal is gesloten met Oracle. Dat bedrijf zorgt ervoor dat Amerikaanse gebruikersgegevens in de Verenigde Staten zelf worden opgeslagen op servers en het land niet uitgaan.
Alles bij de bron; DutchIT
- Gegevens
- Hoofdcategorie: Nieuws
Martin Cooper, de ondertussen 94-jarige uitvinder van de mobiele telefoon, zag zijn uitvinding naarmate de jaren gigantisch hard veranderen.
Maar niet enkel het uitzicht is veranderd, ook de gevaren van de telefoon zijn enorm toegenomen. Zo maakt de uitvinder zelf zich grote zorgen over onze privacy: “Overheden gaan moeten beslissen wie toegang krijgt tot onze gegevens, dat is de echte uitdaging.”
Alles bij de bron; HLN
- Gegevens
- Hoofdcategorie: Internet en Telecom
De aanval op wachtwoordmanager LastPass waarbij kluisdata en gegevens van klanten werden gestolen kon mede plaatsvinden doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Een aanvaller maakte daar misbruik van om het systeem met malware te infecteren.
Vorige week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware.
Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen.
De "media software" in kwestie bleek Plex te zijn en laat nu weten dat de aanvaller gebruikmaakte van een beveiligingslek uit 2020, aangeduid als CVE-2020-5741. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen. Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid.
Op 24 augustus vorig jaar waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onlangs riep het College voor de Rechten van de Mens burgers op om het te melden als zij last hebben van discriminerende algoritmes. Een goede maar praktisch zeer ingewikkelde oproep om gehoor aan te geven. Discriminatie in algoritmes is subtiel en op een paar duidelijke uitzonderingen na alleen vast te stellen aan de hand van meer data over het systeem. Dit schrijft Joris Krijger, Ethics en AI Officer, De Volksbank, in onderstaande blog.
De aansporing vanuit het College ligt in het verlengde van het proces rond de mogelijk discriminerende gezichtsherkenningssoftware die de VU heeft ingezet bij online tentamens.
Het vaststellen van onrechtmatige discriminatie met een algoritme is echter complex. Alle algoritmes ‘discrimineren’, ze worden juist ingezet om onderscheid te maken. En alle algoritmes maken fouten.
In dit geval betreft het een direct zichtbare AI-toepassing waarvan in de literatuur al bekend is dat discriminerende vooringenomenheid een serieus probleem is: van zelfrijdende auto’s tot opsporingssoftware, het maakt structureel meer fouten waar mensen van kleur door benadeeld worden.
Maar veruit de meeste algoritmes die een rol spelen in ons dagelijks leven zijn niet of nauwelijks zichtbaar. Als je al weet dat het een algoritme is dat jou benadeeld, moet je als burger sterk in je schoenen staan om aan te tonen dat de uitkomst én onterecht is én het resultaat is van een ongerechtvaardigd onderscheid dat het algoritme maakt op basis van jouw persoonlijke kenmerken.
Dat er opgetreden moet worden tegen dit soort systemen is evident maar of burgers de meest geschikte groep is om dit probleem te signaleren lijkt mij zeer de vraag.
Alles bij de bron; DutchIT
- Gegevens
- Hoofdcategorie: Internet en Telecom
LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies.
LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Autoriteit Persoonsgegevens (AP) gaat strenger toezicht houden op de gemeente Eindhoven. De privacywaakhond heeft signalen dat de gemeente datalekken niet of niet op tijd meldt. Ook andere regels leeft Eindhoven onvoldoende na. Daardoor is de privacy van burgers in gevaar.
"Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat", zegt AP-vicevoorzitter Monique Verdier. "Het is van groot belang dat een gemeente van tevoren controleert of het verzamelen en gebruiken van jouw persoonsgegevens mag en veilig kan."
De toezichthouder is ook bezorgd over datalekken die niet op tijd worden gemeld. Dat is volgens Verdier nodig om snel maatregelen te kunnen nemen. "Dat nota bene een van de grootste gemeenten én de brainport van Nederland dat niet op orde lijkt te hebben, is zeer ernstig."
Alles bij de bron; NU