- Gegevens
- Hoofdcategorie: Internet en Telecom
Je telefoon volgt je overal en verzamelt zo een schat aan persoonlijke gegevens en gewoontes. Waar je bent, wat je doet, waar je naar kijkt. Apple wil zulke data in een update van besturingssysteem iOS beter afschermen. Als je een app installeert, krijg je vooraf de vraag of de app je mag ‘tracken’; je gedrag volgen in andere apps en sites.
Deze privacyvraag is tegen het zere been van Facebook. De fijnmazige advertentiemogelijkheden van dit sociale netwerk (3 miljard gebruikers) leunen op nauwkeurige gedragspatronen. Facebook is bang dat iPhone-gebruikers (in de VS meer dan de helft van de markt, in Nederland zo'n 40 procent) massaal op NEE! zullen klikken. En geef ze eens ongelijk.
Facebook plaatste afgelopen week een advertentie in grote Amerikaanse kranten. „Wij protesteren tegen Apple uit naam van kleine bedrijven overal te wereld.” Zodra big tech het opneemt voor kleine ondernemers is er meestal iets anders aan de hand. Apples privacyupdate is vooral een nachtmerrie voor Facebook zelf. Als anderhalf miljard iOS-gebruikers volgende maand op ‘nee’ klikken, kan Facebook de helft van zijn doelgroep minder effectief bedienen. Dat is een grotere bedreiging dan de strenge regulering en rechtszaken die Facebook boven het hoofd hangen.
Apple omarmt privacy als verdienmodel; dure apparaten, betaalde diensten, maar wel meer grip op je gegevens. Facebook ziet de weg naar iOS-gebruikers afgesneden door een machtige poortwachter.
Deze ruzie tussen Facebook en Apple gaat diep. Facebook steunt Epic en Spotify, bedrijven die Apple aanklagen wegens machtsmisbruik. En WhatsApp (eigendom van Facebook) protesteert tegen duidelijke privacylabels in de App Store.
Als reactie op nieuwe Europese regulering stelt Facebook dat Apples macht begrensd moet worden. Dat zal ongetwijfeld gebeuren. Ondertussen kun je als consument blij zijn dat Apple de lat hoger legt voor privacy. Deze opt-in vraag is een vooruitgang. Beter standaard ‘Nee’ dan standaard OK.
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een algoritme dat moest zorgen voor een eerlijke verdeling van de schaarse eerste vaccins in de Verenigde Staten, maakte een fout die dit weekend tot veel ergernis leidde. Het jonge personeel stuurde een protestbrief die ProPublica publiceerde, waaruit blijkt dat de fout in het algoritme al op dinsdag was opgemerkt maar dat de uitnodigingen voor de vaccinatie evengoed op donderdag zijn verstuurd.
Het algoritme gaf prioriteit aan het vaccineren van medisch personeel dat het hoogste risico liep bij een besmetting met Covid-19. Het hield verder rekening met de leeftijd en de afdeling in het ziekenhuis waar het betreffende personeelslid werkt.
Doordat de jonge dokters en dito verpleging vaak geen vaste werklocatie hadden en hun leeftijd geen aanleiding was voor een hoge prioriteit, vielen ze buiten de vaccinatie-oproepen. Slechts zeven van de artsen in opleiding en ander jong medisch personeel - allemaal werkzaam in het front tegen de Covid-19-epidemie - kwamen volgens het algoritme in aanmerking voor vaccinatie.
Veel van de medische staf die wèl werd opgeroepen, werkte al vanaf maart thuis en had geen contact met patiënten.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Wie vandaag een account aanmaakt op Instagram, wordt gevraagd om een mailadres en de geboortedatum in te vullen. Facebook geeft wel meteen aan dat die data niet openbaar beschikbaar zijn. Zo gebruiken ze het mailadres onder andere om je te contacteren en je geboortedatum voor de gebruikersdatabase en adverteerders. Toch blijkt nu dat het via een bug in Instagram mogelijk was om die data openbaar te zetten.
Via een Facebook Business account kon je simpelweg de bug misbruiken. Dat moest cyberveiligheidsonderzoeker Saugat Pokharel via de Facebook Business Suite tool doen die voor iedereen beschikbaar is met een Business-account.
Via een upgrade van een privé-account naar een zakelijk account toonde de Business Suite van Facebook extra informatie over profielen. Je kon dus niet alleen een privébericht versturen, maar ook het private mailadres en de geboortedata was openbaar zichtbaar. De fout werkte zowel bij privé-accounts die volledig afgeschermd waren, als openbaar. Zelfs wie had aangevinkt dat hij/zij geen berichten wilde ontvangen van onbekende profielen, zat mee in de fout.
Alles bij bron; Techpulse
- Gegevens
- Hoofdcategorie: Internet en Telecom
Apps van verschillende supermarktketens delen stiekem data met Facebook, zo stelt de Consumentenbond op basis van eigen onderzoek naar de apps en websites van supermarkten. De apps van Coop, Deen, Jumbo, Jan Linders, Picnic en Spar blijken bij een eerste onderzoek te communiceren met Facebook zonder klanten hier 'aan de voorkant' over te informeren. Zo kan Facebook zien wie bij welke supermarkt boodschappen doet, wanneer dat gebeurt en met welke telefoon. Op deze manier delen de apps stiekem informatie met Facebook, aldus de Consumentenbond.
Verder blijkt dat Coop, Dirk, Jan Linders, Plus en Spar kwetsbaar zijn voor bruteforce-aanvallen op gebruikersaccounts. Een aanvaller kan onbeperkt het wachtwoord van klanten raden. Bij zes supermarkten, Coop, Hoogvliet, Jan Linders, Picnic, Plus en Spar, is het mogelijk om te kijken of een opgegeven e-mailadres bij de supers is geregistreerd. Verder plaatsen de websites van Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic en Spar zonder toestemming advertentiecookies.
De Consumentenbond waarschuwde de supermarktketens in november en deed begin december een hertest. De bruteforce-aanvallen blijken nog steeds mogelijk. Volgens de supers kunnen ze vanwege de coronacrisis en kerstdrukte dit probleem pas later oplossen. Coop, Deen, Dirk, Hoogvliet, Jan Linders en Spar blijken nog steeds zonder toestemming advertentiescookies te plaatsen. Supermarktketens Deen, Jumbo, Jan Linders en Spar sturen nog steeds data door naar Facebook. Jumbo zegt hier in het eerste kwartaal van 2021 mee te stoppen.
De apps en websites van Albert Heijn, Aldi en Lidl houden zich wel netjes aan de privacyregels. Ook zijn deze voldoende beveiligd, zo stelt de Consumentenbond. "De slechte beveiliging en de manier waarop de supermarkten met de privacy van hun klanten omspringen geeft al te denken, maar de laconieke reactie op onze bevindingen is ronduit zorgelijk", zegt Sandra Molenaar, directeur Consumentenbond.
Bron; Security
- Gegevens
- Hoofdcategorie: Databases
De gegevens van meer dan één miljoen gebruikers van de Ledger-cryptowallet zijn openbaar gemaakt op internet. Het gaat om e-mailadressen en van bijna tienduizend gebruikers ook namen, telefoonnummers, adresgegevens en aangeschafte producten. Aanvallers wisten in juni van dit jaar toegang tot de marketingdatabase van Ledger te krijgen die de gegevens bevatte.
Volgens de fabrikant wist een aanvaller via een verkeerd geconfigureerde API-key van een derde partij, aanwezig op ledger.com, toegang tot de database te krijgen en zo contact- en bestelgegevens in te zien. Volgens Ledger zouden aanvallers er van april 2020 tot 28 juni 2020 misbruik van van hebben gemaakt. Na ontdekking van het datalek werd de betreffende API-key uitgeschakeld.
Van de gestolen e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Enkele tientallen journalisten zijn getroffen door geavanceerde spionagemalware op hun iPhones. Die werd via een zeroday in iMessage op iOS 13.5 verspreid, waarbij geen gebruikersinteractie nodig was.
De journalisten zouden zijn getroffen door de Pegasus-spyware, schrijft mensenrechtenorganisatie CitizenLab. De spyware kwam binnen door middel van een exploit die is ontworpen door het Israëlische spionagebedrijf NSO Group. De aanvallen zouden zijn uitgevoerd op zeker 36 persoonlijke telefoons van journalisten en medewerkers van Al-Jazeera, en van het Britse medium Al Araby TV.
De slachtoffers zijn geïnfecteerd door een geavanceerde zeldzame zeroday; de exploit was uit te voeren zonder gebruikersinteractie, dus slachtoffers hoefden niet op een link te klikken of een bijlage te openen.
Als de aanvallers eenmaal binnen waren op een toestel hadden ze veel mogelijkheden. Ze konden meeluisteren met audio of meekijken met de camera, de locatie van het toestel zien, en opgeslagen wachtwoorden achterhalen. De kwetsbaarheid zou werken op alle iPhones tot aan de iPhone 11 die op iOS 13.5.1 draaien. Volgens CitizenLab werkt de exploit niet meer op iOS 14.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
De Koninklijke Nederlandse Klim- en Bergsport Vereniging (NKBV) doet onderzoek naar een mogelijk datalek nadat leden doelwit van een phishingaanval zijn geworden. In de phishingmail, die van een gerechtsdeurwaarder en incassobureau afkomstig lijkt, wordt gesteld dat de ontvanger een grote openstaande schuld van ruim 9800 euro heeft.
Vervolgens wordt gedreigd met een beslaglegging van het rekeningnummer, dat ook in de e-mail vermeld staat. Om het bedrag te betalen moet het telefoonnummer naar een opgegeven e-mailadres worden gestuurd.
De NKBV heeft leden inmiddels voor het mogelijke datalek gewaarschuwd. "Het spijt ons je te moeten mededelen dat we het vermoeden hebben dat er data gelekt is van NKBV-leden. Tot nu toe hebben we enkele tientallen meldingen gehad van leden van wie naam, adres, e-mailadres en bankrekeningnummer zijn gebruikt in een phishing mailing", zo laat de vereniging in een e-mail weten.
Daarin staat ook dat het op dit moment niet bekend is om hoeveel leden het gaat en wanneer de informatie is gelekt. "Het lijkt om data te gaan van na mei 2019. We kunnen wel met zekerheid stellen dat de data niet uit ons nieuwe ledenadministratiesysteem komen waar we begin 2020 op zijn overgegaan." De NKBV heeft melding bij de Autoriteit Persoonsgegevens gedaan en ook contact opgenomen met het incassobureau. "Zij gaven aan dat ze van meerdere partijen meldingen hebben gehad en dat het erop lijkt dat er vanuit verschillende bronnen gegevens zijn gecombineerd." De gerechtsdeurwaarder waarschuwt ook op de eigen website voor de phishingmails.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Divers Nieuws
Krijgt wie gevaccineerd is straks makkelijker toegang tot bijvoorbeeld de horeca? Er gaan stemmen op om dat te regelen. Welke haken en ogen zitten eraan?
Bij de entree van het festivalterrein staat een scanner: op je telefoon pak je je digitale vaccinatiebewijs erbij, dat gekoppeld is aan DigiD. Het apparaat piept, het poortje gaat open en je loopt zo de festivalweide op, dat volstroomt met andere ingeënte mensen. Het kan weer, een veilig feest.
Het is een dystopisch beeld, herkenbaar voor kijkers van de film Contagion, waarin de wereld is overvallen door een nieuw gevaarlijk virus. Maar als het aan een meerderheid van de Nederlanders ligt, zou zoiets binnenkort werkelijkheid zijn. Dat bleek uit een representatieve steekproef van de TU Delft met 1.640 deelnemers. Driekwart koos voor de optie waarin gevaccineerden meer vrijheden krijgen dan degenen die een vaccinatie weigeren. Minister De Jonge heeft al gezegd dat hij niet voor het afdwingen of belonen van vaccinatie is. Maar zou het juridisch zijn toegestaan voor ondernemers om naar het bewijs te vragen?
‘Gezondheid geldt als een bijzonder persoonsgegeven’, zegt Menno Weij, als jurist gespecialiseerd in privacy en ict. ‘En dat kun je alleen verwerken onder bijzondere voorwaarden.’ Dat zou eventueel kunnen door toestemming te vragen, zegt privacy- en ict-advocaat Thomas van Essen.
Weij: ‘Maar als je mensen alleen vraagt zo’n bewijs te tonen, is het de vraag of je die gegevens registreert en verwerkt. Een probleem is wel: wat is het gevolg als je weigert je bewijs te tonen? Als dat betekent dat je niet binnenkomt, zegt de autoriteit: maar dan is het geen vrije keuze.’ En bij het vragen om persoonsgegevens moet dat geven van toestemming expliciet, geïnformeerd en in vrijheid gebeuren volgens de Algemene Verordening Gegevensbescherming (AVG).
Een andere optie is dat er een specifieke wettelijke basis komt voor het al dan niet moeten tonen van een vaccinatiebewijs. Weij: ‘In dat geval zou de overheid alsnog de wet moeten afstemmen met de Autoriteit Persoonsgegevens. De waakhond is tot nu in de coronacrisis erg terughoudend en streng geweest.’
Het staat ondernemers vrij om een deurbeleid te voeren, binnen de bandbreedte van de wet. Stel dat een klant een procedure zou willen beginnen omdat hij geweigerd is, zegt Van Essen, dan zou die zich op twee grondrechten kunnen beroepen. ‘Het recht op persoonlijke levenssfeer, en godsdienstvrijheid.’
De bewijslast ligt dan bij de uitbater. Van Essen: ‘Hij moet aantonen dat zijn beleid noodzakelijk is om de gezondheid van zijn klanten te waarborgen, dat hij dat doel niet met andere maatregelen zou kunnen bereiken en dat het doel de inbreuk op het grondrecht rechtvaardigt.’
Alles bij de bron; Volkskrant