Amnesty heeft voorafgaand aan de jaarlijkse VN-vergadering in New York een rapport overhandigd over het gebruik van de Nederlandse algoritmes. Ze stelt Nederland daarmee als voorbeeld van hoe het vooral niet moet.

De toeslagenaffaire heeft, zegt Amnesty, meer dan duidelijk gemaakt hoe makkelijk een overheid mensenrechten schendt en hoe groot de negatieve gevolgen zijn als te gemakkelijk een geautomatiseerde besluitvorming wordt ingevoerd...

...Amnesty concludeerde vorig jaar dat de stad Roermond door de Nationale Politie als een levend laboratorium werd gebruikt om dit soort risicomodellen te ontwikkelen. Met deze waarschuwingen is niets gedaan, concludeert de mensenrechtenorganisatie. Vorige maand oordeelde een Nederlandse rechter nog dat een selectie op etniciteit bij de douane proportioneel is.

Amnesty vreest nu dat ook andere landen op deze wijze algoritmes gaan gebruiken, vooral omdat Nederland een voorloper op dit gebied is. Er zijn genoeg lessen die uit de Nederlandse praktijk getrokken kunnen worden. 

...Wanneer algoritmes worden ingezet, moet ook volledig helder zijn welke kenmerken en persoonlijke informatie de overheid precies gebruikt voor de inzet ervan. Bij de kinderopvangtoeslag bleek dat niemand precies wist wat de geautomatiseerde beslisboom was op grond waarvan iemand wel of geen recht op de toeslag had. Zo’n black box moet verboden zijn, vindt Amnesty.

Amnesty wil bovendien dat een overheid die besluit een semi-automatisch besluitvormingsproces in te richten de logica, de noodzaak en de verwachte consequenties ervan glashelder kan uitleggen.

Alles bij de bron; Trouw


 

Google heeft zijn handen vol aan cybercriminelen die op YouTube-accounts inbreken en de toegang tot deze gehackte kanalen vervolgens doorverkopen, zodat andere misdadigers erop kunnen uitzenden wat ze willen. Zoals nepadvertenties voor cryptovaluta. 

Volgens Google gaan de oplichters als volgt te werk. Eerst vinden ze vrij eenvoudig het e-mailadres van de YouTuber in kwestie. Die is namelijk vaak gewoon publiekelijk zichtbaar op zijn of haar profiel. 

De hackers sturen naar dit adres een phishingmailtje en doen zich daarin voor als een legitiem ogende partij, geïnteresseerd in een samenwerking. In werkelijkheid worden slachtoffers overgehaald om malware te downloaden, die vervolgens browsercookies steelt. Daarmee kan men op YouTube-accounts inloggen en de daadwerkelijke eigenaar buitensluiten, zelfs wanneer diegene tweestapsverificatie heeft ingesteld. Zo'n gecomprimeerd account wordt hierna op het darkweb aangeboden,

Het goede nieuws is dat Google de daders op de korrel heeft en maatregelen treft die grotendeels lijken te werken. Sinds mei heeft het bedrijf 99,6 procent van dit soort nepmailtjes tegengehouden, zodat YouTubers ze niet in hun inbox aantreffen.

Alles bij de bron; ComputerIdee


 

Een groep criminelen die tientallen Nederlandse ouderen via bankhelpdeskfraude voor meer dan 35.000 euro oplichtte maakte gebruik van telefoonnummers die onder andere verkregen waren via een datalek bij een niet nader genoemd callcenter. Dat heeft de politie vandaag bekendgemaakt.

In deze zaak zijn inmiddels tien verdachten aangehouden. Twee van de verdachten zijn inmiddels veroordeeld tot gevangenisstraffen van één en twee jaar. 

Het onderzoek kwam aan het rollen door een medewerker van een vakantiepark in Ede. Die zag in een vakantiewoning printers, brieven met daarop gegevens van een bank en meerdere telefoons, en schakelde de politie in. De verdachten, afkomstig uit Midden- en Oost-Nederland, richtten zich op slachtoffers van 75 jaar en ouder.

De mannen beschikten over persoonsgegevens van 92.000 potentiële slachtoffers, onder andere verkregen via een datalek bij een callcenter. 

Alles bij de bron; Security


 

De data die in Tesla's is opgeslagen bevat een schat aan informatie voor strafrechtelijke onderzoeken, zo stelt het Nederlands Forensisch Instituut (NFI). 

De auto’s slaan onder andere informatie op over de werking van rijhulpsystemen zoals de Autopilot, maar ook voertuigsnelheid, gaspedaalstand, stuurwielhoek en rembediening. Tesla heeft op afstand toegang tot de gegevens die periodiek vanuit de auto naar de fabrikant worden gestuurd. Met de gegevens zegt Tesla de producten te verbeteren en storingen te verhelpen.

De gegevens worden in gecodeerde logbestanden opgeslagen. "Tesla verstrekt gegevens na een vordering van de rechtbank of het Openbaar Ministerie", zegt Francis Hoogendijk, digitaal onderzoeker bij het NFI. Het instituut is het nu gelukt om zelf data uit de modellen S, Y, X en 3 te verkrijgen. 

"Deze data bevatten een schat aan informatie voor forensisch onderzoekers en analisten van verkeersongevallen en kunnen helpen bij een strafrechtelijk onderzoek na een dodelijk verkeersongeval of een ongeval met letsel", gaat Hoogendijk verder.

Het NFI weet niet of er ook andere voertuigfabrikanten zijn die gegevens op een dergelijk detailniveau over lange perioden registreren. "Als we beter zouden weten welke gegevens autofabrikanten allemaal opslaan, kan er ook gerichter gevorderd worden via de rechtbank of door het Openbaar Ministerie", aldus Hoogendijk. De onderzoeker vindt dat er internationale wet- en regelgeving moet komen om autofabrikanten transparanter te laten zijn over welke gegevens worden opgeslagen.

Alles bij de bron; Security


 

Facebook moet ruim 50 miljoen pond betalen aan de Britse marktwaakhond Competition and Markets Authority (CMA). Het socialemediabedrijf kreeg die boete van omgerekend haast 60 miljoen euro omdat het door de CMA opgelegde regels rondom het onderzoek naar de overname van filmpjesdienst Giphy heeft overtreden.

Aan het begin van het onderzoek gaf de CMA Facebook de opdracht te zorgen dat Giphy een afzonderlijk bedrijf bleef dat niet verder samengevoegd zou worden met de andere diensten van Facebook. Ook moest het Amerikaanse bedrijf achter onder meer Facebook, Instagram en WhatsApp regelmatig rapporteren over hoe het aan die eisen voldeed. De CMA stelt nu dat Facebook in zijn rapportages niet alle vereiste informatie heeft gegeven ondanks herhaalde waarschuwingen en twee verloren juridische procedures.

Alles bij de bron; AGConnect


 

Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt heeft nu ook beloningen uitgeloofd voor zerodaylekken in de Windowsapplicaties van vpn-aanbieders.

Er wordt gezocht naar kwetsbaarheden waardoor informatie is te achterhalen, het echte ip-adres van gebruikers zichtbaar wordt en erop afstand code op het systeem van gebruikers is uit te voeren. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Alles bij de bron; Security


 

Een Amerikaan die inbrak op de databases van het University of Pittsburgh Medical Center (UPMC) en daar de persoonsgegevens van meer dan 65.000 medewerkers buitmaakte om die vervolgens op internet te verkopen is veroordeeld tot een gevangenisstraf van zeven jaar.

De man wist in 2013 en 2014 toegang tot de UPMC-databases te krijgen. De persoonlijke informatie die hij daar stal verkocht hij op internet. Met deze gegevens werd vervolgens belastingfraude gepleegd.

Verder wist de Amerikaan van 2014 tot en met 2017 nog eens 90.000 andere sets van persoonlijke informatie te stelen en op internet te verkopen, waarmee wederom identiteitsdiefstal en bankfraude werd gepleegd. Volgens het Amerikaanse ministerie van Justitie is er met de verhandelde data voor in totaal 1,7 miljoen dollar aan onterechte belastingteruggaven ontvangen.

Alles bij de bron; Security


 

Volgens security bedrijf WizCase kon er 100GB aan data ingekeken worden. Daarin troffen de onderzoekers 500 miljoen records aan met informatie over de persoonlijke gegevens van 1 miljoen klanten en informatie over geïnstalleerde software op apparaten van ongeveer 300.000 QuickFox-klanten. Alle uitgelekte data dateert uit de periode tussen juni 2021 en september 2021. Het securitybedrijf kreeg toegang tot de data zonder dat het daarvoor inloggegevens of een wachtwoord moest ingeven. 

De persoonlijke gegevens betroffen namen, e-mailadressen, telefoonnummers, apparaattypen en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld waren opgeslagen. Ook de originele IP-adressen van de vpn-gebruikers waren terug te vinden. Aan de hand daarvan kon WizCase zien dat het merendeel van de getroffen klanten zich in de Verenigde Staten, Japan, Indonesië en Kazachstan bevindt.

QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase.

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn. WizCase nam contact op met QuickFox, maar heeft geen antwoord gekregen. Volgens Security.nl is het lek inmiddels gedicht.

Alles bij de bron; Tweakers


 

De onrechtmatige praktijken van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) lijken uit een bodemloze put te komen. Onlangs bleek al dat ze burgers illegaal surveilleerde, nu blijkt uit nieuw onderzoek dat de NCTV gemeenten heeft aangespoord private bedrijven in te zetten om in moskeeën te infiltreren.

Volgens het NRC hebben zeker tien gemeenten commerciële partijen ingehuurd om heimelijk onderzoek te laten doen in gebedshuizen. De onderzoekers, die zich niet als zodanig kenbaar maakten verzamelden allerlei persoonlijke informatie over bezoekers en bestuursleden. Met naam en toenaam werd er beschreven wie van wie familie was, welke opleidingen mensen hadden gedaan, wie onderling ruzie had en waar mensen precies in geloofden.

Bij deze surveillancepraktijken werden vermoedelijk ook onrechtmatig persoonsgegevens verwerkt. Juist om mensenrechten te beschermen, mogen gegevens over iemands godsdienst of etnische afkomst volgens de Europese privacywet in principe niet worden verwerkt. De Autoriteit Persoonsgegevens noemt dit beeld dan ook “zeer zorgerlijk” maar hoeveel privacyschendingen moeten er nog volgen voordat de Autoriteit Persoonsgegevens de NCTV en gemeenten tot orde roept? De Autoriteit Persoonsgegevens kan immers wat interne toezichthouders niet kunnen: handhaven en boetes uitdelen.

Hoe kan het dat de overheid, die in een democratie afhankelijk is van vertrouwen, voor de zoveelste keer de wet overtreedt en grondrechten van burgers aan de laars lapt? Zolang toezichthouders niet optreden, het Openbaar Ministerie niet vervolgt, de minister van Justitie en Veiligheid het NCTV niet ter verantwoording roept, maar een blik nieuwe bevoegdheden opentrekt – kortom zolang de checks & balances in onze rechtsstaat niet werken – blijft de overheid een veelpleger.

We blijven ons inzetten tegen onnodige en disproportionele verruiming van de bevoegdheden van de NCTV. Want als deze organisatie nu al haar taken niet op een legale manier weet uit te voeren, hoe kunnen we haar dan vertrouwen met nog meer bevoegdheden? De NCTV, de minister van Justite en Veiligheid en de betrokken gemeenten hebben heel wat uit te leggen. En voor het herstel van vertrouwen in de rechtsstaat, zullen de checks and balances toch echt aan het werk moeten. Want zolang grove schendingen van mensenrechten worden afgedaan met woorden als “zorgerlijk” en “sorry”, is het wachten op het volgende schandaal.

Alles bij de bron; Bits-of-Freedom


 

Welk bedrijf uit de buurt is gehackt, slachtoffer van een datalek of beboet voor schending van de privacywet. Dat kunt u opzoeken in een online overzicht op de website datalekt.nl. Dat geeft een actueel overzicht van incidenten die sinds 2016 hebben plaatsgevonden en via de media of privacytoezichthouder Autoriteit Persoonsgegevens (AP) in de openbaarheid zijn gekomen.

Het online overzicht is een initiatief van onderzoeksjournalist en schrijfster van het boek ‘Komt een vrouw bij de h@cker’, Maria Genova en cybersecurity-expert Joram Teusink van Mite3 Cybersecurity. 

De kaart geeft zeker geen compleet beeld. ‘De meeste hacks en datalekken worden niet openbaar gemaakt. Dat bekent dat in werkelijkheid heel Nederland rood kleurt en dat er geen enkele sector is waar deze cyberincidenten niet plaatsvinden’, waarschuwen de makers.

Alles bij de bron; Computable


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha