- Gegevens
- Hoofdcategorie: Internet en Telecom
Beveiligingsonderzoeker Dennis Baaten ontdekte in september een kwetsbaarheid op webshopplatform Mijnwebshoppartner.
De website gebruikte oplopende klantnummers die Baaten kon opvragen via de url. Hij kreeg dan namen, adressen en contactinformatie te zien van gebruikers. Het ging bij dat laatste om e-mailadressen en telefoonnummers. Ook waren in sommige gevallen bedrijfsnamen, KvK-nummers en btw-nummers te zien die tot voor kort waren gebaseerd op hun burgerservicenummer.
Baaten zegt dat het klantbestand op die manier eenvoudig geautomatiseerd te downloaden was. In totaal stonden er 7232 klanten in de database, die verdeeld stonden over vier webshops. Baaten zocht contact met het bedrijf en gaf het datalek via een responsible disclosure-procedure door. Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.
Of het probleem voor alle webshops die onder Mijnwebshoppartner vallen is opgelost weet hij niet. "Mogelijk zijn er nog meer webshops die op dit platform draaien die ik niet heb gevonden. Dan zou het probleem nog groter in omvang zijn", zegt hij.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Nieuws
Met microklussen, eenvoudige online taakjes, kun je een beetje geld verdienen. Wereldwijd is dat een uitkomst voor mensen die een extraatje kunnen gebruiken of het geld hard nodig hebben. Marjolein probeerde het zelf en kwam erachter wat de gevaren van microklussen zijn.
De instructie is eenvoudig. Draag een legging en een strak hemdje. Zet de camera aan. Draai langzaam een rondje, met je armen gespreid. Lever de opname in. Beantwoord tot slot een paar vragen over je figuur en je kledingmaten. Gefeliciteerd, je hebt een euro verdiend.
Wat gebeurt er eigenlijk met deze opname? Hoeveel privacy is deze microklus me waard? Ik sta hier wel héél letterlijk mijn lichaam te verkopen. Voor een euro.
Er zijn meerdere platforms voor microklussen, maar de bekendste is Mechanical Turk van webwinkelgigant Amazon. In de zomer van 2020 speel ik enkele weken voor ‘kunstmatige kunstmatige intelligentie’, zoals Amazon-baas Jeff Bezos de microklussers noemt. Ik wil onderzoeken of dit specifieke onderdeel van de platformeconomie een alternatief is voor Nederlanders die vanwege corona lange tijd zonder werk zitten. Wat levert het op? En wat kost het de microklussers?...
...de verhouding tussen wat ik krijg en wat ik weggeef, is scheef. Bij elke inschrijving moet ik een uitgebreid profiel invullen. Om voor Appen te mogen werken, beloof ik mijn data af te staan aan een Chinese dataverwerker. Ook schrijf ik me in bij Opinieland (‘U hebt de toekomst in handen’) voor het invullen van enquêtes. Dat blijkt niet het enige waarmee Opinieland geld verdient. Met mijn inschrijving geef ik een lange lijst bedrijven het recht om me voortaan online te volgen.
Om een Opinieland-profiel aan te maken, moet ik onder meer de leeftijd van mijn kinderen, mijn postcode en bruto jaarinkomen invullen. Onder het mom van ‘we willen je graag beter leren kennen’ wordt me gevraagd welke aandoeningen er bij mij zijn vastgesteld door een medisch professional. Of ik medicijnen gebruik. Of er andere mensen in mijn huishouden met medische klachten rondlopen. Volgens privacydeskundige Iris Huis in ’t Veld zouden alle privacy-alarmbelletjes inmiddels moeten gaan rinkelen...
...Waar de klanten van Opinieland die inzichten voor gaan gebruiken, weet je als microklusser niet. De microklusser draagt hiermee bij aan surveillancekapitalisme: een bedrijfsmodel dat draait om het vermarkten van data over menselijk gedrag.’
Alles bij de bron; Volkskrant [zeer uitgebreid art.]
- Gegevens
- Hoofdcategorie: Internet en Telecom
Opeens lig je eruit. De verbinding met het mobiele netwerk is weg. Aan- en uitzetten helpt niet. Iemand anders heeft de controle over je 06-nummer overgenomen, door een nieuwe simkaart aan te vragen met valse identificatie. Sim-swapping heet deze vorm van oplichting. En zodra je het merkt, is het meestal te laat.
In januari rolde de Europese opsporingsdienst Europol samen met de Spaanse politie de bende op die bedragen tussen de 6.000 en 137.000 euro wegsluisde van bankrekeningen.
Dat ging zo: criminelen hadden de inloggegevens van de rekeningen al buitgemaakt. Om daadwerkelijk transacties uit te voeren onderschepten ze via de gekaapte simkaart het sms’je waarmee sommige banken eenmalige autorisatiecodes versturen. Die code is een extra beveiligingsstap. Sms wordt nog regelmatig voor deze zogeheten tweefactorauthenticatie gebruikt. Dat werkt prima, totdat je 06-nummer wordt overgenomen.
Afgelopen week waarschuwde Europol dat het aantal sim-swapaanvallen in Europa toeneemt. Als voorbeelden noemde het de Spaanse zaak en een bende die Oostenrijkse slachtoffers een half miljoen euro aftroggelde....
...De simkaart speelt een sleutelrol in veel oplichtingstrucs. Dit plastic kaartje gaat op den duur verdwijnen omdat de telecomsector overschakelt naar embedded sims of e-sims: simkaarten die vastzitten in de telefoon. GSMA, de brancheorganisatie van alle telecomproviders, waarschuwde vorig jaar dat de uitgifte van e-sims beter gecontroleerd moeten worden.
De Duitse beveiligingsspecialist Karsten Nohl wist in 2013 de versleuteling van de simkaart te kraken. In zijn ogen schiet de simkaart zelf niet tekort, maar de identiteitscontrole van de telecomproviders. Zolang simkaarten gekaapt kunnen worden is sms een kwetsbaar transportmiddel voor het beschermen van accounts of het verzenden van betaalbevestigingen. „Banken moeten niet vertrouwen op zo’n methode”, zegt Nohl.
Tips om het te voorkomen;
Deel niet te veel persoonlijke gegevens – geboortedatum adres, namen van huisgenoten en huisdieren – op sociale media.
Beveilig je onlineaccounts en mail met een extra check, bij voorkeur via authenticatieapps. Verwijder waar mogelijk je 06-nummer uit de profielgegevens.
Hergebruik geen wachtwoorden maar laat een wachtwoordmanager automatisch moeilijk te raden codes verzinnen en invullen.
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een phishingaanval die eerder dit jaar plaatsvond heeft voor een datalek bij de gemeente Bergen op Zoom gezorgd, zo laat het college van burgemeester en wethouders in een brief aan de gemeenteraad weten. Via een phishingmail wisten aanvallers toegang tot de mailboxen van in totaal negen medewerkers te krijgen.
Uit nader onderzoek blijkt dat de aanvallers mogelijk toegang hebben gehad tot de inhoud van de mailboxen en andere bestanden met persoonsgegevens. "We kunnen niet met zekerheid vaststellen dat er toegang is geweest tot de persoonsgegevens ... We moeten dan ook uitgaan van een risico op mogelijk misbruik van gegevens, bijvoorbeeld voor identiteitsfraude", zo laat de brief weten.
Volgens het college zijn de meeste personen van wie persoonsgegevens in de mailboxen stonden achterhaald. Het gaat in totaal om zo'n vierhonderd personen die bijvoorbeeld hun cv naar de gemeente mailden en klantgegevens die per e-mail zijn uitgewisseld, zij hebben een persoonlijke brief van de gemeente ontvangen. Tevens is de kans aanwezig dat de aanvallers via de accounts van de medewerkers ook toegang hebben gekregen tot andere bestanden met persoonsgegevens, waaronder naam, adres en bsn-nummers van inwoners van Bergen op Zoom.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Met een grote campagne die morgen start doet het Ministerie van Volksgezondheid een "moreel appèl" op iedereen om de CoronaMelder te installeren. Dat is de app die je moet waarschuwen als je recent bij iemand in de buurt bent geweest die later besmet bleek te zijn.
De ontwikkelaars hebben een app gebouwd die technisch puik in elkaar zit, en met veel aandacht voor de bescherming van jouw privacy en het gebruiksgemak. De app voldoet aan de meeste uitgangspunten van Veilig tegen Corona.
Maar goed, moet je die app nu installeren of niet? Dat is aan jou. We raden je het niet af, we raden je het ook niet aan. Wel hebben we samen met Waag, Amnesty International en Platform Burgerrechten de app -en alles daaromheen - langs de lat gelegd die we in april hebben gesteld. De uitgangspunten die we toen in een bredere coalitie hebben opgesteld, zijn wat ons betreft noodzakelijk voor het beschermen van onze vrijheden en rechten, onze veiligheid en sociale cohesie. Voor elk van de uitgangspunten die we een half jaar geleden hebben geformuleerd en uitgewerkt, hebben we beoordeeld in welke mate de app eraan voldoet. Hopelijk geeft dat jou genoeg houvast om een goede keuze te maken...
...Heb je de app geïnstalleerd, maar begin je toch weer te twijfelen? Geen zorgen: je kunt de app en de daarmee verzamelde gegevens altijd weer verwijderen. Op Apple's iOS kun je de app verwijderen op de gebruikelijke manier. De uitwisseling van de codes kun je uitzetten onder "Instellingen", "Blootstellingsmeldingen" en "Schakel blootstellingsmeldingen uit". De gegevens verwijder je via "Instellingen", "Blootstellingsmeldingen", "Status van Blootstelling bijhouden", en "Verwijder blootstellingslogbestand". Op een Android-telefoon kun je de app ook op de gebruikelijke wijze verwijderen. De gegevens kun je verwijderen via "Instellingen", "Google" en dan "Blootstellingsmeldingen voor COVID-19". Tik nu op 'Willekeurige ID's verwijderen" en bevestig.
Alles bij de bron; BitsofFreedom
- Gegevens
- Hoofdcategorie: Internet en Telecom
De browserextensie Privacy Badger is ontwikkeld om gebruikers tegen trackers te beschermen, maar een kernonderdeel van de extensie maakte het juist eenvoudiger voor trackers om gebruikers online te volgen. Dat ontdekten onderzoekers van Google. De Amerikaanse burgerrechtenbeweging EFF, die de extensie ontwikkelde, heeft aanpassingen aangekondigd...
...Onderzoekers van Google ontdekten dat het zelflerende onderdeel van Privacy Badger ook de achilleshiel van de extensie is. Een aanvaller zou namelijk de manier kunnen manipuleren waarop Privacy Badger reageert, in wat het blokkeert en toestaat. Dit zou kunnen worden gebruikt om gebruikers, via een vorm van fingerprinting, te identificeren, of informatie te achterhalen over de websites die ze bezoeken...
...De EFF heeft geen bewijs gevonden dat er misbruik van de feature is gemaakt, maar heeft besloten om die uit voorzorg standaard uit te schakelen. Zodoende worden bij alle gebruikers dezelfde trackers geblokkeerd. Om trackers te blokkeren maakt Privacy Badger voortaan gebruik van een lijst met bekende trackingdomeinen. Deze lijst wordt periodiek bijgewerkt. Gebruikers kunnen het zelflerende onderdeel nog wel zelf inschakelen. Volgens de EFF gaat het hier om een acceptabele afweging die gebruikers voor zichzelf kunnen maken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Zoekmachine DuckDuckGo heeft een nieuwe feature gelanceerd die privacyvriendelijke routebeschrijvingen belooft. Voor het weergeven van routebeschrijvingen maakt de zoekmachine gebruik van Apple Maps. Daarbij wordt geen persoonlijke informatie verzameld of gedeeld, zo laat DuckDuckGo in de aankondiging van de nieuwe feature weten.
Wanneer een gebruiker een locatie gerelateerde zoekopdracht uitvoert verstuurt de browser locatiegegevens naar de zoekmachine, die DuckDuckGo scheidt van andere persoonlijke informatie die de browser meestuurt, en na gebruik worden verwijderd. Om de locatie van de gebruiker te bepalen maakt DuckDuckGo van een Geo IP lookup. Hierbij wordt er geen persoonlijke identificeerbare informatie zoals ip-adressen met derde partijen gedeeld.
Nadat de zoekmachine aan de hand van het ip-adres van de gebruiker zijn locatie heeft bepaald wordt het verwijderd. Op deze manier kan de zoekmachine naar eigen zeggen anonieme lokale resultaten en features bieden zonder het ip-adres van gebruikers op te slaan. Routebeschrijvingen waren een belangrijke feature die nog ontbrak, aldus de zoekmachine.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Na recente innovaties is de vervoerssector in toenemende mate afhankelijk van de uitwisseling van grote hoeveelheden persoonlijke en niet-persoonlijke gegevens tussen meerdere actoren. Dit heeft geleid tot een toename in het genereren van gegevens, waarbij vervoersondernemingen doorgaans gegevens genereren en technologiebedrijven die deze gegevens verwerken en gebruiken.
“Transportbedrijven zijn grote datageneratoren, maar hun kennis van de gegevens en hun paraatheid bevinden zich nog in een zeer vroeg stadium. Dit zorgt voor een onbalans in vergelijking met de expertise en de datakracht van data-aggregatoren. De verantwoordelijkheden van de data-aggregatoren en de rechten van de datageneratoren moeten in een EU-kader worden verduidelijkt om een gelijk speelveld voor alle actoren te waarborgen”, aldus Raluca Marian van IRU.
In een gezamenlijke verklaring aan de EU-besluitvormers en de verenigingen die de sectoren van het personen- en goederenvervoer vertegenwoordigen, wordt opgeroepen tot het opzetten van een EU-kader voor het beheer van B2B-gegevens. Dit kader moet expliciet het beginsel van vrijwillige gegevensverstrekking bevatten en de taken en verantwoordelijkheden van de gegevensaggregatoren en de rechten van de gegevensproducenten verduidelijken. De EU moet ook een leidraad bieden om de gegevensformaten te standaardiseren en de interoperabiliteit van de mobiliteitsplatforms te vergemakkelijken.
Alles bij de bron; TTM