- Gegevens
- Hoofdcategorie: Internet en Telecom
Online wervingsplatform Chattr.AI heeft gegevens gelekt van sollicitanten, klanten en eigen personeel. Via het platform kunnen bedrijven op geautomatiseerde wijze personeel werven. Allerlei grote Amerikaanse fastfoodketens werken ermee.
Chattr.AI maakt gebruik van Firebase, Googles ontwikkelplatform voor mobiele en web-apps.
Het online werveringsplatform bleek de Firebase-omgeving niet goed te hebben beveiligd, want de onderzoekers konden een nieuwe gebruiker registreren waarmee ze volledige toegang tot de Firebase-database van Chattr.AI kregen. Daarin vonden ze namen, e-mailadressen, telefoonnummers, plaintext wachtwoorden, vertrouwelijke berichten en andere informatie van Chattr-medewerkers, franchisemanagers en sollicitanten.
In het geval van de sollicitanten ging het onder andere om cv's, sollicitatiegesprekken, profielfoto en adresgegevens. Een dag na te zijn ingelicht werd het probleem door Chattr.AI verholpen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Privacystichting noyb van Max Schrems heeft een tweede klacht ingediend tegen Meta bij de Oostenrijkse privacyautoriteit. Volgens noyb maakt de techgigant het consumenten te lastig om de toestemming voor tracking in te trekken en wordt daarmee de AVG-wetgeving geschonden.
Gebruikers op Facebook en Instagram krijgen sinds november vorig jaar de keuze tussen een gratis en een betaalde versie. Als voor de betaalde versie wordt gekozen krijgen ze geen reclames meer te zien; de gratis versie verzamelt daarentegen net als voorheen gebruikersgegevens om gepersonaliseerde advertenties te kunnen tonen. Als gebruikers voor de gratis optie kiezen, geven ze volgens Meta toestemming om gevolgd te worden.
Noyb vindt echter dat het te moeilijk is om die toestemming naderhand weer in te trekken. "Hoewel gebruikers met één (gratis) klik al toestemming geven om gevolgd te worden, kan die toestemming alleen worden ingetrokken via het ingewikkelde proces van wisselen naar een betaald abonnement", aldus noyb.
Volgens de stichting wordt daarmee artikel 7 van de AVG-wetgeving geschonden, aangezien daarin vermeld staat dat het intrekken van de toestemming net zo makkelijk moet zijn als het geven ervan.
De EDPB noemt bovendien expliciet dat het intrekken van toestemming 'niet mag leiden tot kosten voor de betrokkene en dus niet leidt tot een duidelijk nadeel voor degenen die de toestemming intrekken'.
Noyb heeft zijn klacht ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit. Het moet volgens noyb makkelijker worden om de toestemming in te trekken, zonder dat gebruikers daarvoor een vergoeding hoeven te betalen. Ook wil noyb dat de autoriteiten een boete opleggen aan Meta.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Zo'n 150.000 WordPress-sites zijn door een kritieke kwetsbaarheid in een populaire SMTP-plug-in op afstand over te nemen. Een beveiligingsupdate is beschikbaar, maar zo'n 150.000 websites hebben die nog niet geïnstalleerd.
De kwetsbaarheid is aanwezig in de plug-in "POST SMTP", waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Dat meldt securitybedrijf Wordfence. De plug-in is een vervanging voor de standaard PHP-mailfunctie van WordPress. Meer dan 300.000 websites maken gebruik van de plug-in.
De plug-in is via een mobiele app te bedienen. Een kwetsbaarheid in een functie van deze app maakt het mogelijk voor een aanvaller om alle verzonden e-mails te bekijken, waaronder wachtwoordresetmails. Een aanvaller kan een wachtwoordreset voor de beheerder uitvoeren en via de kwetsbaarheid dit bericht in handen krijgen om vervolgens een eigen wachtwoord voor de beheerder in te stellen en zo de website over te nemen. Op 1 januari verscheen een update voor de kwetsbaarheid.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Amerikaans advocatenkantoor dat organisaties en bedrijven bijstaat die slachtoffer van een datalek zijn geworden, is zelf door een datalek getroffen. Daarbij zijn de gegevens van 637.000 personen, die eerder al slachtoffer van een datalek waren geworden, in handen van aanvallers gekomen.
Het datalek deed zich begin vorig jaar voor en werd destijds ook al bekendgemaakt, maar blijkt veel groter te zijn dan in eerste instantie werd gecommuniceerd.
Het kantoor stond in het verleden verschillende Amerikaanse zorgverleners bij waar de gegevens van miljoenen mensen werden gestolen. Daardoor beschikte het ook over gegevens van cliënten van deze zorgverleners die slachtoffer van het datalek waren geworden.
In eerste instantie werd gemeld dat het om de gegevens van 152.000 personen ging, maar dat blijken er nu ruim 637.000 te zijn. De gestolen data bestaat onder andere uit naam, adresgegevens, e-mailadres, geboortedatum, social-securitynummer, rijbewijs- of paspoortnummer, rekeninginformatie, belastingidentificatienummer, medische diagnoses, medische behandelingen, zorgclaims, medisch dossiernummer en creditcardnummer. Vorige maand besloot het advocatenkantoor vier massaclaims die vanwege het datalek waren aangespannen te schikken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Dna-testbedrijf 23andMe heeft gebruikers de schuld gegeven van het grote datalek waarbij de gegevens van 6,9 miljoen mensen werden gestolen.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de 14.000 accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n 14 miljoen gebruikers. Er lopen inmiddels meer dan 30 rechtszaken die door slachtoffers van het datalek tegen 23andMe zijn aangespannen.
In een e-mail aan één van de advocatenkantoren die voor slachtoffers een rechtszaak voert stelt 23andMe dat er geen sprake is van een datalek en dat het incident de schuld van gebruikers is. Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten. Daarom was het incident geen gevolg van slechte beveiliging van 23andMe.
De advocaat in kwestie noemt het 'schaamteloos' hoe 23andMe slachtoffers de schuld van het datalek geeft. "Het datalek heeft miljoenen gebruikers geraakt van wie de gegevens via de DNA Relatives-feature op 23andMe waren blootgesteld, niet omdat ze wachtwoorden hergebruikten.
Van die miljoenen mensen zijn slechts een paar duizend via credential stuffing gecompromitteerd."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Japanse softwareontwikkelaar Ateam heeft jarenlang gegevens van klanten, zakelijke partners en medewerkers via een onbeveiligde Google Drive gelekt. Bestanden waren door het verkeerd instellen van de permissies voor iedereen op internet toegankelijk. De permissies voor de bestanden stonden al sinds maart 2017 verkeerd ingesteld.
Het probleem werd afgelopen 22 november opgelost. Vorige maand maakte de ontwikkelaar het datalek bekend. Op dit moment is het nog onbekend of er misbruik van de gelekte data is gemaakt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De makers van de TriangleDB-spyware, die volgens antivirusbedrijf Kaspersky jarenlang is gebruikt om iPhone-gebruikers te bespioneren, maakten misbruik van een onbekende hardwarefunctie van Apple-chips, zo stelt de virusbestrijder in een nieuwe analyse. Het bestaan van de spyware werd eerder dit jaar door Kaspersky onthuld, nadat het bedrijf er zelf slachtoffer van was geworden.
IPhones werden door middel van zero-click exploits, zonder enige interactie van slachtoffers, met de spyware geïnfecteerd. Eenmaal actief werden slachtoffers onder andere via de microfoon van de telefoon afgeluisterd. De afgelopen maanden maakte Kaspersky meerdere details over de spyware en gebruikte kwetsbaarheden bekend, die inmiddels door Apple zijn verholpen.
Gisteren presenteerde de virusbestrijder tijdens het Chaos Communication Congress dat de aanvallers ook misbruik maakten van een onbekende hardwarefunctie van door Apple ontworpen chips. Daardoor konden de aanvallers data naar onbekende hardwareregisters van de chip schrijven die niet door de firmware werden gebruikt.
Kaspersky vermoedt dat de functie waarschijnlijk voor debugging of testdoeleinden door Apple-engineers of de fabriek is gebruikt, of per ongeluk is toegevoegd. "Omdat deze feature niet door de firmware wordt gebruikt, hebben we geen idee hoe de aanvallers wisten hoe ze er gebruik van moesten maken", zegt onderzoeker Boris Larin.
...
Eerder dit jaar kwam Kaspersky met een tool waarmee gebruikers kunnen kijken of ze doelwit van de spyware zijn geweest. Daarnaast laat de virusbestrijder weten dat de Lockdown Mode van Apple waarschijnlijk bescherming tegen de aanval biedt, waarbij wordt gewezen naar het gebruik van de onzichtbare iMessage. De Lockdown Mode wordt echter pas sinds een jaar aangeboden en de spyware is volgens de onderzoekers al ruim daarvoor ingezet.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
443 online handelaren zijn in de afgelopen twee maanden door Europol en partners gewaarschuwd dat creditcard- of betaalkaartgegevens van klanten zijn gestolen. De handelaren zijn actief in zeventien landen.
De waarschuwingen zijn het gevolg van een actie van Europol samen met partners die twee maanden duurde.
De actie was specifiek gericht op digitale skimming, waarbij creditcard- of betaalkaartgegevens worden gestolen van klanten van online winkels. Aanvallers onderscheppen hierbij data gedurende het uitcheckproces bij webwinkels, zonder dat klanten of webwinkels hiervan iets merken. In veel gevallen blijft de diefstal dan ok onopgemerkt.
De Europol-actie is onderdeel van het bredere EMPACT-programma van EU, dat staat voor 'European Multidisciplinary Platform Against Criminal Threats' gericht op het bestrijden van cybercriminaliteit.
Vorige maand werd als onderdeel van EMPACT als een Oekraïense ransomware-bende opgerold.
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
Verschillende Joodse instellingen eisen opheldering van de AIVD over wie opdracht heeft gegeven voor de jarenlange spionage van Holocaust-overlevenden in de jaren na de oorlog.
Uit onderzoek van Het Parool blijkt dat Joodse Amsterdammers die betrokken waren bij het Nederlands Auschwitz Comité werden bespioneerd door de voorloper van de AIVD, de Binnenlandse Veiligheidsdienst (BVD). De veiligheidsdienst bestempelde ze decennialang als ‘extremisten’ en potentieel gevaar voor de democratie.
De BVD infiltreerde het comité en deed uitvoerig verslag van Holocaustherdenkingen. De dienst reisde zelfs Auschwitzoverlevenden achterna voor herdenkingsbijeenkomsten in het buitenland. De dossiers vermelden wat het Auschwitz Comité tijdens vergaderingen besprak: van alledaagse regelzaken – wie schrijft een brochure? – tot aan het opzetten van politieke acties....
....Niet alleen Joodse instellingen, ook politici hebben met verbijstering gereageerd. Kamerlid Derk Boswijk noemt het ‘een krankzinnig verhaal’ en Pieter Omtzigt vindt de spionagepraktijken ‘bizar’ en zegt ‘graag een uitleg’ te willen.
Alles bij de bron; Parool
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Bank of Ireland heeft kredietbureaus verkeerde data over de schulden van duizenden klanten gestuurd, die hierdoor bijvoorbeeld geen hypotheek, lening of telefoonabonnement konden afsluiten of creditcards aanvragen.
De Britse privacytoezichthouder ICO heeft de bank nu een berisping gegeven, omdat het in strijd met de privacywetgeving heeft gehandeld. Die verplicht dat organisaties ervoor moeten zorgen dat de persoonlijke data die ze hebben kloppend is. De fouten die de Bank of Ireland UK maakte konden bij duizenden mensen voor ellende zorgen", zegt Natasha Longson van de ICO.
Het probleem deed zich alleen bij klanten voor waarvan de schuld was verkocht aan incassobureaus.
Alles bij de bron; Security