- Gegevens
- Hoofdcategorie: Internet en Telecom
Een man is veroordeeld tot een celstraf nadat hij zich op Snapchat en Instagram had voorgedaan als vrouw en slachtoffers ervan overtuigde dat 'zij' tegen betaling seksuele handelingen met hen zou verrichten.
In zijn rol maakte de man zich slachtoffers schuldig aan sextortion. Hij vroeg zijn mannelijke slachtoffers, die dachten met een vrouw te spreken, om seksueel getinte afbeeldingen of naaktfoto's.
Vervolgens dreigde hij de gevoelige beelden door te sturen naar vrienden en familie als de mannen geen geldbedrag zouden overmaken. Ook haalde hij een minderjarige jongen ertoe over seksueel getinte beelden te maken. Die sloeg hij op, waarmee hij in het bezit kwam van kinderporno.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Ieder jaar worden in België zo'n 5.000 wagens gestolen. AXA, marktleider op de schadeverzekeringsmarkt, ontvangt jaarlijks zo'n 1.500 aangiftes van diefstal. Met Sjerlok hoopt de verzekeraar zoveel mogelijk gestolen voertuigen, maar ook alle mogelijke andere kostbare bezittingen van klanten te kunnen recupereren.
Axa start daarvoor een samenwerking met de Nederlandse technologiepartner Legentic. "Sjerlok scant met behulp van artificiële intelligentie voortdurend het internet af, op zoek naar het gestolen object op alle mogelijke verkoopsites, forums en sociale media", legt Gianni De Muynck van AXA uit. "Op basis van de tot wel 200 karakteristieke eigenschappen van een gestolen object dat kan worden opgegeven, zal Sjerlok bijvoorbeeld via YouTube een in Cambodja te koop aangeboden wagen automatisch signaleren."
De dienst Sjerlok is een gratis service, beschikbaar voor alle verzekerden.
Alles bij de bron; HLN
- Gegevens
- Hoofdcategorie: Internet en Telecom
Burgers zijn op het internet onvoldoende beschermd, waardoor hun grondrechten in het geding komen. Volgens onderzoekers van het Rathenau Instituut is een actieve overheid nodig om schadelijk en immoreel gedrag online tegen te gaan.
De onderzoekers onderscheiden zes hoofdcategorieën van online ontsporing: online informatiemanipulatie, digitaal vigilantisme (voor eigen rechter spelen), online haat, online pesten en geweld, cyberbedrog en online zelfbeschadiging. Binnen elk van deze hoofdcategorieën worden concretere fenomenen geplaatst, zoals phishing, cyberverslaving of desinformatie.
Zoekmachines en aanbevelingsalgoritmes dragen bij aan selectie en amplificatie, omdat dit in belangrijke mate hun financiële succes bepaalt.
Deze dynamiek, ook wel aandachtseconomie genoemd, kan ertoe leiden dat immorele en schadelijke inhoud en gedragingen op zo’n manier worden gepresenteerd dat zij veel aandacht trekken. Mensen kunnen door de online mechanismen anders met normen en regels omgaan. Daarmee kan het internet een facilitator en katalysator zijn voor schadelijke uitingen en gedragingen online.
Het onderzoek is uitgevoerd in opdracht van het WODC.
Alles bij de bron; Beveiliging
- Gegevens
- Hoofdcategorie: Internet en Telecom
De wachtwoordmanager van securityleverancier Kaspersky blijkt een kritieke fout te hebben bevat, de afgelopen twee jaar.
De ergste van de gevonden problemen was gebruik van een pseudotoevalsgenerator (PRNG) die niet geschikt is voor cryptografisch gebruik. Daardoor gebruikte de wachtwoordtool de huidige tijd als input voor het aanmaken van nieuwe wachtwoorden. Die factor valt te herleiden en bovendien was die gelijk voor elke installatie van KPM bij elke gebruiker.
Alle wachtwoorden die KPM heeft aangemaakt, zijn met een bruteforce-aanvallen in een paar seconden te kraken, meldt onderzoeksteam Donjon van het Franse blockchain- en beveiligingsbedrijf Ledger.
De oorspronkelijke melding van de gevonden gaten was op 15 juni 2019, via kwetsbaarhedenmelder HackerOne. Eind vorig jaar is de maker van de kwetsbare beveiligingstool akkoord gegaan met onthulling van de bevindingen, zodra het CVE-informatiebulletin (Common Vulnerabilities and Exposures) is gepubliceerd. Dat is in mei dit jaar gebeurd, waarna Ledger nu zijn bevindingen en PoC-code openbaart.
Analyse van de KPM-code levert nu flinke kritiek van cryptografie-expert Matthew Green.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het UWV heeft een boete gekregen van de Autoriteit Persoonsgegevens. Het UWV moet 450.000 betalen voor het slecht beveiligen van een berichtenomgeving. Door de slechte beveiliging lekten gegevens van bijna 15.000 werkzoekenden uit, waaronder bsn's en medische gegevens.
Het probleem zat in het systeem Mijn Werk dat sinds 2007 wordt gebruikt door burgers die werk zoeken via werk.nl, de website van het Uitvoeringsinstituut Werknemersverzekeringen.
In het boetebesluit schrijft de AP dat het onderzoek deed naar negen van die datalekken die tussen 1 januari 2016 en september 2018 hebben plaatsgevonden. In alle negen gevallen ging het om hetzelfde soort lek: bij het versturen van een groepsbericht kwam een Excel-bestand met een export van gegevens van geadresseerden per ongeluk terecht in de Mijn Werkmap van individuele gebruikers. Die konden daardoor de gegevens van andere werkzoekenden inzien.
Bij de negen keren dat dat gebeurde werden telkens andere gegevens gelekt, stelt de AP. Soms ging het om NAW-gegevens, maar in andere gevallen ook om burgerservicenummers, momenten dat betrokkenen zich hadden ingeschreven bij het UWV en ook beschrijvingen van psychische en lichamelijke ziektes waardoor mensen niet konden werken. Daarnaast lekten persoonsgegevens zoals vorige beroepen, beroepsgroepen of opleidingsniveau's uit.
De Autoriteit Persoonsgegevens hekelt vooral het feit dat het UWV geen passende beveiligingsmaatregelen had genomen om de lekken te voorkomen. Pas na het achtste datalek, in augustus 2018, besloot het UWV over te gaan op technische maatregelen zoals het blokkeren van spreadsheets bij groepsberichten. "Deze technische maatregel is in december 2018, dus ver na het negende datalek, door UWV ingevoerd", schrijft de AP.
De AP geeft een boete uit de tweede categorie van zijn eigen boetebeleidsregels, waarvan het maximumbedrag 245.400 euro is. Maar de AP zegt dat het 'op grond van de mate en ernst van de overtreding het basisbedrag te verhogen naar 450.000 euro'.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Apple heeft updates geblokkeerd van meerdere apps die de trackingsoftware CAID ondersteunen. De software is een Chinees alternatief voor Apples eigen trackingsoftware IDFA en is een samenwerkingsproduct van de Chinese overheid, Tencent en ByteDance, het moederbedrijf van TikTok.
Omdat het traceren van gebruikersgedrag via apps sinds april alleen nog met de uitdrukkelijke toestemming van de gebruiker mag gebeuren, overtreden de apps die CAID ondersteunen Apples regels.
Het is nog niet duidelijk of de Chinese overheid iets gaat doen tegen Apples blokkade van CAID. Ook hebben de makers van de apps in kwestie niet gereageerd op het blokkeren van de updates.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Google heeft negen Android-apps uit zijn Play Store verwijdert nadat onderzoekers constateerden dat de apps logingegevens voor Facebook buitmaakten.
Beveiligingsbedrijf Dr Web trof tien malafide apps aan die Facebook-inlogs vergaarden. Negen daarvan stonden in de Play Store. Het gaat om apps met verschillende functionaliteit.
Alle apps boden een optie aan de advertenties uit te schakelen door in te loggen bij Facebook. Die optie toonde inderdaad een inlogscherm voor Facebook via WebView. Via een command & control-server werd tegelijk een script ingeladen om ingevoerde credentials te kapen en door te sluizen naar de server. Na het inloggen bij het sociale netwerk, stal de malware ook de cookie voor authenticatie.
Dr Web spreekt van een trojan in de software. Er zijn verschillende varianten van deze malware in omloop. De verwijderde apps zijn PIP Photo, Processing Photo, Rubbish Cleaner, Inwell Fitness, Horoscope Daily, App Lock Keep, Lockit Master, Horoscope Pi en App Lock Manager.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
MyCloud NAS-systemen van fabrikant Western Digital zijn door een reeks van kwetsbaarheden in het onderliggende besturingssysteem op afstand over te nemen, zo waarschuwen beveiligingsonderzoekers. Onlangs werden MyBook Live-systemen van WD het doelwit van een aanval waarbij de data van gebruikers werd gewist.
Onderzoekers Radek Domanski en Pedro Ribeiro ontdekten verschillende kwetsbaarheden in MyCloud OS 3, het besturingssysteem van MyCloud NAS-systemen, die het mogelijk voor een ongeauthenticeerde aanvaller maken om code als root uit te voeren en een permanente backdoor op het NAS-systeem te installeren.
De kwetsbaarheid is in MyCloud OS 5 verholpen. In maart van dit jaar waarschuwde WD dat MyCloudOS 3 niet meer wordt ondersteund. Gebruikers werd opgeroepen om te upgraden naar OS 5. Het is echter onduidelijk of het beveiligingslek in OS 3 is opgelost.
Domanski en Ribeiro stellen dat OS 5 belangrijke features mist die wel in OS 3 aanwezig zijn, waardoor sommige gebruikers er misschien voor kiezen om niet te upgraden. Om eventueel misbruik te voorkomen wordt deze gebruikers aangeraden hun NAS niet direct vanaf het internet toegankelijk te maken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het gat in Kaseya's beheersoftware dat is misbruikt voor een ongekend massale ransomwareaanval was al bekend bij de IT-leverancier. Het Dutch Institute for Vulnerability Disclosure (DIVD), een vrijwilligersinitiatief, had de kwetsbaarheid ontdekt en verantwoord gemeld bij het bedrijf.
Terwijl de patch volop in ontwikkeling was, waarbij Kaseya in nauw contact stond met het DIVD, hebben geaffilieerde cybercriminelen van de REvil-bende hun slag geslagen. Zij hebben via een automatische update voor Kaseya's VSA-server de klanten van dat bedrijf geïnfecteerd en daarlangs ook weer de klanten van die IT-dienstverleners.
Het is nog niet bekend hóe de afpersers aan bruikbare informatie over deze zeroday zijn gekomen.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
De audio-app heeft sinds vorige week het privacybeleid aangepast. Daarin staat een nieuwe zin opgenomen over welke data verzameld kan worden. Het gaat dan om 'data die nodig is voor opsporing, vervolging en eventuele verzoeken van autoriteiten'. Audacity geeft verder geen uitleg over wat dat in de praktijk betekent. Het is dus niet duidelijk welke soorten data er worden verzameld en wanneer dat gebeurt.
Gebruikers zijn daar niet blij mee. De boosheid komt mede door recente wijzigingen bij de software. In mei van dit jaar werd Audacity overgenomen en kort daarna maakte Audacity plannen bekend om telemetrie toe te voegen, al zou dat via opt-in gaan. Na veel kritiek besloot Audacity die plannen stop te zetten, maar veel gebruikers voelen dat het nieuwe privacybeleid toch weer mogelijkheden biedt om data uit de app te verzamelen.
Alles bij de bron; Tweakers