- Gegevens
- Hoofdcategorie: Databases
Het Amerikaanse dna-laboratorium DNA Diagnostics Center (DDC), dat voor mensen wereldwijd dna-tests uitvoert waaronder in Nederland, heeft een groot datalek geschikt dat zich in 2021 voordeed. Een aanvaller wist de persoonlijke gegevens van 2,1 miljoen mensen te stelen die dna-tests hadden laten uitvoeren. DDC betaalde de aanvaller uiteindelijk voor het vernietigen van de gestolen data.
Het lukte de aanvaller om op 24 mei 2021 toegang tot de servers te krijgen. Op 28 mei verstuurde de managed serviceprovider van DDC geautomatiseerde waarschuwingen dat er verdachte activiteit op het netwerk was waargenomen. Deze meldingen werden twee maanden lang verstuurd. Op 6 augustus liet de provider weten dat er malware was aangetroffen.
In september van dat jaar werd DDC door de aanvaller benaderd, die liet weten over de data van 2,1 miljoen mensen te beschikken. Het bedrijf betaalde de aanvaller vervolgens voor het vernietigen van de gegevens. Getroffen klanten werden pas eind november 2021 ingelicht.
"Nalatigheid is geen excuus om klantgegevens gestolen te laten worden", zegt Dave Yost, procureur-generaal van de Amerikaanse staat Ohio. DDC heeft nu een schikking met de staat getroffen van 400.000 dollar.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Divers Nieuws
Alle auto's van Tesla beschikken over een camerasysteem waarmee alles rondom de auto in beeld gebracht kan worden. Zodra je de wagen parkeert schakelt de zogenoemde Sentry Mode in, een beveiliging tegen vandalisme en diefstal.
Als de beveiligingsmodus ingeschakeld was, filmden de camera's standaard continu alles rond de geparkeerde Tesla. De auto bewaarde steeds een uur beeldmateriaal.
Door software-updates staan de camera's nu standaard uit. En als de gebruiker ze wel aanzet, slaan ze maximaal tien minuten aan beeldmateriaal op.
"Veel geparkeerde Tesla's filmden iedereen die in de buurt kwam", zegt Katja Mur, bestuurslid van de AP. "Als iedere auto dat doet, krijg je een situatie waarin je nergens meer vrij over straat kunt lopen - dus zonder bespied te worden."
Volgens Mur werden voorbijgangers door de Tesla's gefilmd zonder dat ze dat wisten. De eigenaar van de auto kon die beelden terugkijken.
Zelfs spionage was mogelijk. Als een Tesla-eigenaar de auto voor het raam van iemand anders parkeerde, dan kon die naar binnen gluren en zien wat die persoon allemaal deed.
Tesla heeft verschillende aanpassingen gedaan, nadat de AP een onderzoek was gestart. Zo komt de Sentry Mode nu alleen in actie als het voertuig aangeraakt wordt. En niet zodra de camera's een verdachte beweging rond de auto registreren. Ook gaat de wagen op zo'n moment niet standaard filmen, maar ontvangt de eigenaar alleen een tekstbericht op de telefoon.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Cryptobeurs Coinbase is begin deze maand getroffen door een datalek nadat een medewerker in een phishingaanval trapte. Bij de aanval werden contactgegevens van personeel buitgemaakt. Volgens Coinbase kan iedereen slachtoffer van social engineering worden.
De aanval begon met een sms-bericht waarin ontvangers werd gesteld dat ze via de meegestuurde link moesten inloggen om een belangrijk bericht te zien. Eén medewerker deed dit en vulde zijn gebruikersnaam en wachtwoord op een phishingsite in. Met de inloggegevens probeerde de aanvaller vervolgens op systemen van Coinbase in te loggen. Dit mislukte, omdat de cryptobeurs van multifactorauthenticatie gebruikmaakt en de aanvaller hier niet over beschikte.
Twintig minuten nadat de medewerker zijn inloggegevens op de phishingsite had ingevuld werd hij door de aanvaller gebeld, die zich voordeed als een medewerker van de automatiseringsafdeling. Op verzoek van de aanvaller logde de Coinbase-medewerker in op zijn werkstation en volgde diens instructies op. Volgens Coinbase werden de verzoeken van de aanvaller aan de medewerker naarmate het gesprek vorderde steeds verdachter.
Uiteindelijk wist de aanvaller toegang tot het interne telefoonboek van Coinbase te krijgen en contactgegevens van medewerkers te stelen. Het gaat om namen, e-mailadressen en telefoonnummers. Het Computer Security Incident Response Team (CSIRT) van Coinbase werd door het eigen Security Incident and Event Management (SIEM) systeem gewaarschuwd over verdachte activiteit met account. Het securityteam nam hierna contact op met de medewerker die toen alle communicatie met de aanvaller verbrak.
Coinbase claimt dat er geen geld en klantgegevens zijn buitgemaakt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Ouderenbond Anbo wil dat apothekers worden verplicht om contant geld te accepteren. Onlangs bleek uit onderzoek van De Nederlandsche Bank dat bij twaalf procent van de apotheken alleen nog maar met pin kan worden betaald. "Dat is onacceptabel", aldus de Anbo. "Niet alle ouderen kunnen of willen met de pinpas betalen."
Volgens de ouderenbond wordt deze groep nu door sommige apotheken buitengesloten, terwijl juist deze branche voor iedereen toegankelijk moet zijn. "Een patiënt die zijn medicijnen komt ophalen, moet deze contant kunnen betalen. Hij kan namelijk niet zomaar even naar een andere apotheek", stelt Anbo, dat het ook belangrijk vindt dat mensen in bijvoorbeeld bibliotheken en ziekenhuizen contant kunnen blijven betalen.
In Nederland geldt op dit moment geen acceptatieplicht voor contant geld. Voor apotheken en overheidsdiensten moet deze er wel komen, vindt Anbo. Als het aan de SGP, SP en PVV ligt worden winkels verplicht om contant geld te accepteren.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Minister Yeşilgöz-Zegerius van Justitie en Veiligheid wil ‘heldere grondslagen en stevige waarborgen bij gegevensuitwisseling door samenwerkingsverbanden, voor privacy en veiligheid’. Voor iedereen moet duidelijker zijn onder welke voorwaarden informatie kan worden verwerkt binnen vier bestaande samenwerkingsverbanden. Die pakken complexe problemen rond bijvoorbeeld verwarde personen en georganiseerde criminaliteit aan.
Daarom heeft Yeşilgöz een algemene maatregel van bestuur (AMvB) in internetconsultatie gebracht. Het is een aanvulling op het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS), dat op dit moment in behandeling is in de Eerste Kamer.
De WGS al bijna vijf jaar in voorbereiding. Het voorstel ging oorspronkelijk als onderdeel van de Ondermijningswetgeving in 2018 in consultatie. Er was veel kritiek onder meer vanuit de VNG en de Raad van State.
Alles bij de bron; GemeenteNu
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Het ministerie van Justitie en Veiligheid moet per direct stoppen met de grootschalige verwerking van gegevens van luchtvaartpassagiers, de zogenoemde PNR-gegevens (Passenger Name Records), zo stelt de Autoriteit Persoonsgegevens. De Europese PNR-richtlijn verplicht luchtvaartmaatschappijen om passagiersgegevens aan de overheid te verstrekken.
Vrijwel alle EU-lidstaten hebben de PNR-richtlijn tot nationale wetgeving verwerkt. In Nederland zorgt de wet ervoor dat gegevens van vliegtuigpassagiers met vertrek of aankomst in Nederland vijf jaar lang worden bewaard in een database van de eenheid Passagiersinformatie Nederland (Pi-NL). Het gaat dan om reserverings- en check-in-gegevens, zoals naam- en adresgegevens, telefoonnummers, e-mailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens.
"Hoewel bedoeld om reisbewegingen van terroristen en zware criminelen in beeld te krijgen, worden nu de reisdetails van alle luchtvaartpassagiers verzameld en jarenlang bijgehouden in een database. Dat is niet toegestaan en moet per onmiddellijke ingang stoppen", aldus de Autoriteit Persoonsgegevens (AP) in een brief aan minister Yesilgöz van Justitie en Veiligheid.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De Autoriteit Persoonsgegevens (AP) hekelt minister Adriaanses van Economische Zaken omdat ze advies negeert over het niet publiceren van een lijst van mensen met een zogeheten bestuursverbod. De privacytoezichthouder vreest een digitale schandpaal en roept de Tweede Kamer op om niet met het besluit akkoord te gaan. De minister wil dat de Kamer van Koophandel (KvK) voortaan een lijst publiceert van mensen met een bestuursverbod, bijvoorbeeld vanwege faillissementsfraude.
Het advies gaat over een wijziging van het Handelsregisterbesluit. Volgens die wijziging zullen mensen die een bestuursverbod opgelegd krijgen, maximaal vijf jaar op een openbare lijst in het Handelsregister komen te staan. Sinds 2016 kunnen mensen die faillissementsfraude hebben gepleegd zo’n verbod krijgen. Zij mogen dan tijdelijk geen bedrijf meer besturen.
De AP vindt het niet noodzakelijk en niet evenredig om de lijst te publiceren. Nieuwe bestuurders moeten zich namelijk altijd aanmelden bij de KvK. Meldt iemand zich aan die een bestuursverbod heeft, dan kan de KvK dat meteen zien op de lijst en die persoon vervolgens weigeren als bestuurder.
Minister Adriaanses heeft aangegeven dat ze het advies van de Autoriteit Persoonsgegevens niet zal opvolgen en AP-voorzitter Aleid Wolfsen noemt het 'ontoelaatbaar'. "Op het doel op zich is niets aan te merken, maar de uitwerking van de wet is in strijd met de grondrechten van iedereen." Volgens Wolfsen krijgen mensen met het voorstel van de minister eigenlijk nog een extra straf. "Ze worden tot in de lengte der dagen aan de schandpaal genageld."
Op de lijst staat met naam en toenaam, geboortedatum, geboorteplaats en welke misdaad mensen precies hebben gepleegd. "Dat doet de wetgever bij andere wetsovertredingen ook niet", gaat de AP-voorzitter verder. Daarnaast bestaat het risico dat de informatie gaat rondzwerven, ook als die van de oorspronkelijke lijst is verwijderd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Een comité van het Europees Parlement roept de Europese Commissie op niet akkoord te gaan met het huidige EU-US Data Privacy Framework. Dit raamwerk moet een nieuwe juridische basis scheppen voor de uitwisseling van persoonsgegevens tussen de EUropese Unie (EU) en de Verenigde Staten (VS)...
...Het Committee on Civil Liberties, Justice and Home Affairs van het Europees Parlement is echter kritisch en wijst in een niet-bindend advies op tekortkomingen van het nieuwe raamwerk waardoor deze niet zou voldoen aan de Algemene verordening gegevensbescherming (AVG). Het wijst hierbij onder meer op het ontbreken van sterke waarborgen rondom het voorkomen van overheidssurveillance en consumentenbescherming. De VS zouden hierdoor niet hetzelfde beschermingsniveau bieden voor Europese burgers waarvan data worden doorgestuurd naar de VS.
Ook hekelt het dat in de eerder getekende executive order grootschalige dataverzameling door opsporingsinstanties niet aan banden is gelegd en het gaat daarbij onder meer om de inhoud van communicatie.
Tot slot wijst het comité erop dat de Amerikaanse president het lijst met legitieme doeleinden waarvoor Europese persoonsgegevens wel mogen worden gebruikt op ieder moment kan uitbreiden. Deze updates hoeven niet openbaar te worden gemaakt.
Alles bij de bron; DutchIT