Meta, het moederbedrijf van Facebook, gaat 90 miljoen dollar betalen om een punt te zetten achter een zoveelste zaak rond schendingen van de privacy van Facebookgebruikers.

Het sociale netwerk werd ervan beschuldigd om de online activiteiten van zijn gebruikers gevolgd te hebben, zelfs nadat ze uitgelogd waren van het platform. Facebook wilde zo gegevens verzamelen om zijn advertenties gerichter te kunnen laten zien aan gebruikers. 

Het akkoord voorziet in 90 miljoen voor de deelnemers van een class action die kunnen bewijzen dat ze door deze techniek getroffen werden. Het gaat om Amerikaanse gebruikers die tussen 2010 en 2011 gevolgd werden. 

Alles bij de bron; DataNews


 

De Europese privacytoezichthouder EDPS vindt dat het gebruik van de omstreden Pegasus-spyware in de Europese Unie verboden zou moeten worden. De spyware vormt een ongekend risico voor fundamentele rechten en vrijheden van individuen, maar kan ook democratie en de rechtsstaat aantasten... 

...Gezien het risico dat Pegasus vormt voor fundamentele rechten en vrijheden van personen, maar ook democratie en rechtsorde, is het gebruik niet compatibel met democratische waarden. De EDPS pleit dan ook voor een verbod op het gebruik en de ontwikkeling van spyware die mogelijkheden van Pegasus heeft. Dat is volgens de toezichthouder de meest effectieve manier om fundamentele rechten en vrijheden te beschermen. Mochten er uitzonderlijke situaties zijn dat de spyware wordt ingezet noemt de EDPS een reeks maatregelen om onrechtmatig gebruik tegen te gaan (pdf).

Onlangs verschenen berichten dat de spyware ook in Polen en Hongarije was ingezet. Vorige week kondigde het Europees Parlement een onderzoek naar de Pegasus-spyware aan. 

Alles bij de bron; Security


 

Een man uit Rhenen die met klantgegevens van het energiebedrijf waar hij werkzaam was bankhelpdeskfraude pleegde bleek persoonsgegevens van meer dan drieduizend mensen op zijn laptop te hebben staan, waaronder BSN-nummers. Begin deze maand werd de man veroordeeld  en vandaag is het vonnis openbaar geworden.

Op de laptop van de man trof de politie 104 Excel-bestanden aan met daarin persoonsgegevens, waaronder naam, adres, BSN-nummer, telefoonnummer en IBAN-nummer, van meer dan drieduizend personen. Deze gegevens werden voor de bankhelpdeskfraude gebruikt. Verder bleek dat de verdachte over lijsten beschikte waarbij de personen waren gesorteerd op leeftijd.

Op de telefoon van de man werd een WhatsApp-gesprek gevonden waarin hij 85 afbeeldingen had doorgestuurd met daarop persoonsgegevens, waaronder naam, voornaam, geboortedatum, adres, telefoonnummer, e-mailadres, bankgegevens en energiegegevens. De verdachte stelde dat hij niet wist dat de "leads", zoals de persoonsgegevens werden genoemd, voor criminele doeleinden zouden worden gebruikt.

Volgens de rechter wist de verdachte wel degelijk dat deze leads daarvoor zouden worden gebruikt, want hij maakte namelijk zelf onderdeel uit van de groep personen die de oplichtingen met behulp van deze en dergelijke gegevens pleegde. ... "Verdachte heeft verklaard dat hij in juni 100 tot 120 leads heeft gestuurd. Daar heeft hij ook mee bijverdiend. Hij beschikte over de leads vanuit zijn werk in Zeist. Verdachte werkte daar bij een callcenter", zo staat in het vonnis vermeld.

Alles bij de bron; Security


 

Onderzoekers van CCC hebben de afgelopen weken persoonsgegevens gevonden bij 'meer dan vijftig' datalekken, schrijft de Duitse hackersgroep. Het zou gaan om datalekken bij bedrijven en overheidsinstanties. De hackers ontdekten kwetsbaarheden bij het Ministerie van Volksgezondheid, Welzijn en Sport, BMW, Deutsche Bahn, Nestlé en MediaMarktSaturn in Oostenrijk.

De CCC schrijft dat de onderzoekers toegang hadden tot meer dan 6,4 miljoen persoonsgegevens, onder meer klantgegevens van winkels, passagiersgegevens van een luchtvaartmaatschappij, patiëntgegevens, gegevens van sollicitanten, verzekeringsgegevens en informatie van sociale netwerken. Alle data die de onderzoekers vonden was afkomstig uit onbeveiligde bronnen.

De club ontdekte ook een kwetsbaarheid bij het Nederlandse Ministerie van Volksgezondheid, Welzijn en Sport. In een reactie aan Tweakers zegt een woordvoerder dat het een responsible disclosure-melding ontvangen heeft van iemand die in een van de systemen van VWS een kwetsbaarheid in de beveiliging had ontdekt. "We zijn dankbaar voor dat soort meldingen en hebben het diepgravend onderzocht. De kwetsbaarheid is inderdaad geconstateerd en vervolgens hersteld." maar het was al publiek beschikbare informatie. Daarom is er volgens de woordvoerder geen sprake van een datalek en is er als zodanig ook geen melding gedaan bij de Autoriteit Persoonsgegevens.

Alles bij de bron; Tweakers


 

Twee beveiligingsonderzoekers die vorig jaar kwetsbaarheden in de CoronaCheck-app ontdekten en dit wilden melden kregen hun bugmelding terug omdat het door de overheid gebruikte e-mailadres niet bestond. Dat schrijven onderzoekers Daan Keuper en Thijs Alkemade in een analyse van de kwetsbaarheden in de app.

De CoronaCheck-app bleek verschillende fouten te maken bij de controle van tls-certificaten. Door middel van een kwaadaardig certificaat zou het zo mogelijk zijn om verkeer tussen de app en het ministerie van Volksgezondheid of een coronatestaanbieder te onderscheppen. De CoronaCheck-app heeft op de website een pagina genaamd "Kwetsbaarheid melden", waar wordt uitgelegd hoe onderzoekers beveiligingslekken in de app kunnen melden.

Alkemade en Keuper stuurden hun bevinden naar het genoemde e-mailadres, maar kregen hun e-mail terug omdat het genoemde adres niet bestond. Uiteindelijk wisten ze via andere kanalen hun bugmeldingen door te zetten. De kwetsbaarheden werden vervolgens stilletjes en zonder terugkoppeling verholpen, zo laten de onderzoekers verder weten.

Die besloten afgelopen oktober naar de code van de app te kijken of alle problemen waren verholpen en ontdekten dat één beveiligingslek nog niet goed was opgelost. Wederom stuurden de onderzoekers een e-mail naar de ontwikkelaars, die het probleem opnieuw zonder terugkoppeling verhielpen. 

Alles bij de bron; Security


 

Op 28 september 2021 kondigden zes initiatiefnemers, DIVD, Connect2Trust, NBIP, SURFcert, Ams-IX en AbuseIO, een nieuw waarschuwingssysteem aan dat informatie zou gaan delen over potentieel misbruik en cyberdreigingen aan organisaties in Nederland.

Sinds 14 februari kunnen alle organisaties in Nederland zich aanmelden om informatie via dit nieuwe waarschuwingssysteem te ontvangen.

Het meldpunt maakt gebruik van het Cleannetworks platform van NBIP en het ThreatMatcher Intelligence platform van Connect2Trust voor het delen van de informatie.

Alles bij de bron; Beveiliging


 

Naar schatting meet ruim de helft van de Nederlanders zelf zijn gezondheid. Dit biedt ook mogelijkheden voor cybercriminelen. Zo ontdekten Kaspersky-experts meer dan dertig kwetsbaarheden in het meest gebruikte protocol voor gegevensoverdracht van wearable devices die worden gebruikt voor patiëntmonitoring op afstand.

Het aantal kwetsbaarheden groeit, want dit zijn er 10 meer dan in het jaar ervoor. Veel van deze kwetsbaarheden blijven ongepatcht. Sommige van deze kwetsbaarheden geven cybercriminelen de mogelijkheid om gegevens te onderscheppen die online vanaf het device worden verzonden.

Lees het volledige rapport over e-healthsecurity op Securelist. Het volledige rapport en details over de huidige stand van zaken in de e-healthsector zijn hier beschikbaar.

Alles bij de bron; WinMagPro


 

Na de Oostenrijkse privacytoezichthouder heeft ook de Franse databeschermingsautoriteit CNIL geoordeeld dat het gebruik van Google Analytics in strijd met de Europese privacywetgeving GDPR is. Een Franse website die van Googles statistiekenprogramma gebruikmaakt heeft één maand de tijd gekregen om een oplossing te zoeken.

CNIL deed uitspraak na klachten die waren ingediend door noyb, de privacyorganisatie van de bekende activist Max Schrems. De klachten waren onder andere gericht tegen een Franse website waarop Google Analytics draait. Volgens de Franse privacytoezichthouder is persoonlijke data die via Google Analytics naar de Verenigde Staten wordt gestuurd niet goed beschermd en kan door Amerikaanse inlichtingendiensten worden opgevraagd...

...Eerder liet ook de Autoriteit Persoonsgegevens weten dat Google Analytics mogelijk verboden wordt in Nederland en noemde de Noorse privacytoezichthouder Googles statistiekenprogramma mogelijk illegaal. "Het is interessant om te zien dat de verschillende Europese privacytoezichthouders allemaal tot dezelfde conclusie komen: het gebruik van Google Analytics is illegaal", zegt Schrems in een reactie op het oordeel van CNIL. Schrems verwacht dat andere toezichthouders met een zelfde conclusie zullen komen.

Alles bij de bron; Security


 

Slimme algoritmes worden steeds vaker gebruikt in onze samenleving, bijvoorbeeld om fraude op te sporen. Die algoritmes moeten worden wel gecontroleerd op discriminatie en willekeur. Die taak komt voor een belangrijk deel te liggen bij de Autoriteit Persoonsgegevens (AP), de Nederlandse privacywaakhond. 

Het is onwenselijk om dit zomaar bij de AP onder te brengen, zegt Corien Prins, hoogleraar Recht en Informatisering en voorzitter van de Wetenschappelijke Raad voor Regeringsbeleid (WRR), de belangrijkste adviesraad van de regering. "Algoritmes gebruiken lang niet altijd persoonsgegevens, maar dat is wel de focus van de AP. Ook zit de pijn niet altijd bij privacy. Algoritmes kunnen ook de markt verstoren of tot machtsmisbruik leiden."

De WRR-voorzitter slaat de spijker op de kop, vindt hoogleraar privacy Bart Schermer. "Door de taak bij de AP onder te brengen, zit er gelijk het stempel van persoonsgegevens op. De AP heeft niet per se kaas gegeten van algoritmes voor de veiligheid van vliegtuigonderdelen of algoritmes in medische apparatuur."

Alles bij de bron; NU


 

Apples spraakassistent Siri en de dictafoon-app hebben audio-opnames van iOS-gebruikers zonder toestemming opgeslagen en verstuurd naar Apple. Volgens het techbedrijf gaat het om een bug die inmiddels is verholpen. De ontvangen audio-opnames zijn verwijderd.

In 2019 ontstond er ophef omdat techbedrijven de audio die ze via hun spraakassistenten opnemen door mensen laten beluisteren. Ook Apple bleek dit te doen maar besloot deze werkwijze opt-in te maken. Gebruikers moeten zelf toestemming geven voor het laten beluisteren van hun audio.

In het geval gebruikers voor een opt-out kiezen wordt hun steminteractie met Siri en de dictafoon-app niet opgeslagen en gedeeld met Apple. Met de lancering van iOS 15 zorgde een bug ervoor dat de instelling bij een "klein deel" van de gebruikers die voor een opt-out hadden gekozen juist werd ingeschakeld, waardoor hun audio-opnames zonder toestemming naar Apple gingen. Het probleem is met iOS 15.2 verholpen, zo laat Apple weten. Alle audio die op deze manier werd verkregen is volgens Apple verwijderd.

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha