Volgens de website the Markup kunnen apps die standaard op Android zitten bij gevoelige gezondheidsgegevens. Het zou gaan om gegevens van mensen die via bluetooth contact hadden met de app van iemand anders toen ze bij elkaar in de buurt waren en daarna besmet zijn geraakt met het coronavirus.
Die gegevens zouden enkel anoniem moeten zijn, maar lijken nu toch niet anoniem te worden opgeslagen. Terwijl dat wel de bedoeling is.
Het is niet voor het eerst dat er privacyproblemen rond de CoronaMelder-app zijn. GGD-medewerkers konden vorig jaar in de app zien of besmette personen gebruikmaakten van de CoronaMelder. De app werd destijds regionaal getest.
Alles bij de bron; RTL
Het is een bekende filmische plotwending: de held of schurk die plotseling aan z'n nek begint te peuteren en een masker omhoog trekt om te onthullen dat hij helemaal niet is wie we dachten. Hoe onrealistisch het ook klinkt: het blijkt niet puur fictie. Volgens financiële technologiebedrijven die digitaal de identiteit van klanten controleren voor banken en bedrijven, komen pogingen tot identiteitsfraude met siliconen maskers regelmatig voor.
...Ook het Nederlandse Fourthline zag afgelopen jaar voor het eerst criminelen voorbijkomen die met een siliconen masker probeerden de identiteit van een ander aan te nemen. Het bedrijf voert jaarlijks bij elkaar een paar miljoen identiteitscontroles uit voor verschillende Europese banken, bedrijven en instellingen. Onder de klanten zijn de nationale Franse politie, de mobiele bank N26 en de Nederlandse bedrijven De Giro, KPN en Bol.com.
...klanten die een rekening bij een bank willen openen worden door het bedrijf gevraagd om zich via een app aan te melden en te laten zien wie ze zijn. Via de app moeten ze dan hun gezicht en paspoort vanuit verschillende hoeken laten scannen. Vervolgens analyseren algoritmes de gezichten en data die ze vinden en vergelijken ze de gevonden informatie ook met berichten in de media, openbare sanctielijsten en andere data.
Volgens het Britse iProov wijst er op dat 'deep fakes', waarbij beelden digitaal gemanipuleerd worden om op iemand anders te lijken, een nog grotere bedreiging zijn. "Die zijn schaalbaar en kunnen toegepast worden op veel verschillende identiteiten."
Volgens Krik Gunning van Fourthline raken criminelen steeds meer bedreven in identiteitsfraude. "Fraudeurs zijn niet alleen beter geworden in het vervalsen van een officieel door de overheid uitgegeven ID-bewijs, maar zijn ook bewuster van iemands digitale identiteit in het algemeen."
De analisten van het bedrijf zien geregeld valse ID-bewijzen voorbijkomen die exact overeenkomen met de informatie op socialemedia-accounts. "Een Facebook- of LinkedIn-account, inclusief volledige naam, geboortedatum, geboorteplaats en connecties met (nep) vrienden en familie."
Alles bij de bron; NOS
Het lijkt zo mooi: een pas waarmee je kunt laten zien of je gevaccineerd bent, dan wel corona hebt gehad of dat je recent negatief bent getest. Maar bij alle juichverhalen blijven ethische vragen vaak onbeantwoord.
Zo is de vraag waarvoor de pas precies gebruikt moet gaan worden, nog steeds niet volledig beantwoord. Eerder zei Von der Leyen dat het uitsluitend om „medische doeleinden” zou moeten gaan. In de aankondiging stelde ze later dat de Green Pass „het leven van Europeanen moet faciliteren”. Die moeten zich „veilig binnen en buiten de EU kunnen bewegen”, een soort extra toegangsbewijs dus bij grensoverschrijdend verkeer.
De Oostenrijkse bondskanselier Sebastian Kurz bepleit een Green Pass naar Israëlische stijl. Daar mag het gevaccineerde grote deel van de bevolking sinds een paar weken met behulp van een app weer naar het zwembad of een gebedshuis.
En de ethische kwesties die aan een dergelijke pas kleven gaan dieper. De Royal Society, de Britse academie voor wetenschappen, publiceerde onlangs een studie naar de vele kwesties die een rol spelen. Zij waarschuwde voor de mogelijke precedentwerking van vaccinatiebewijzen. Werken zij gezondheidssurveillance door de staat in de hand? In China worden bijvoorbeeld persoonsgegevens die via een corona-app zijn verkregen gedeeld met de politie.
Op Aruba krijgen alle werknemers van het bedrijf Wind Creek Aruba een bonus van 300 Amerikaanse dollar (omgerekend ruim 250 euro) als ze zich twee keer laten vaccineren tegen het coronavirus. Zo kan het bedrijf, dat eigenaar is van hotels op Aruba en Curaçao, verschillende casino’s en Starbucks, zich zo goed mogelijk voorbereiden op de komst van Amerikaanse toeristen.
Er gelden in Nederland via de Algemene Verordening Gegevensbescherming (AVG) strenge regels als het gaat om de bescherming van de gezondheidssituatie van werknemers - en daaronder vallen ook vaccinatiegegevens en de werkgever mag op grond van de AVG deze gegevens van zijn werknemers niet verwerken. Ook het vragen naar en gebruiken van deze informatie is verboden, zelfs als de werknemer hiervoor uitdrukkelijke toestemming verleent. De Autoriteit Persoonsgegevens is namelijk van mening dat een werknemer vanwege de gezagsverhouding op de werkvloer per definitie niet in staat is om zijn wil vrij te bepalen.
Maar er zijn natuurlijk allerlei manieren waarop informele druk kan worden uitgeoefend op werknemers om toch, zij het mondeling, te weten te komen of iemand wel of niet is gevaccineerd.
Lotte Houwing, beleids-adviseur van privacybeschermingsorganisatie Bits of Freedom hamert ook op de uitsluitende werking die een paspoort per definitie heeft. ,,De functie van paspoorten is om onderscheid te maken tussen groepen mensen. Het is het tastbare bewijs dat je tot een bepaalde groep behoort. Voor die groep gelden bepaalde regels. Het laten gelden van verschillende regels voor verschillende groepen mensen kan zorgen voor ongelijkheid in de samenleving. Zo ook met gezondheidspaspoorten.”
In bredere zin zijn volgens haar digitale immuniteitspaspoorten – en zeker die verbonden zijn met biometrische gegevens – onderdeel van een groeiende infrastructuur van massasurveillance die mensen kan bekijken, analyseren en sturen over tijd en locatie. ,,Zulke systemen leunen op het bijhouden van enorme databanken over mensen en brengen schade toe aan de kern van ons recht op waardigheid, privacy en lichamelijke integriteit.”
De Gezondheidsraad heeft in Nederland geadviseerd dat de gerechtvaardigheid van het wel of niet eisen van een coronavaccinatie per setting kan verschillen. Dit klinkt allemaal nog betrekkelijk vaag en vaak zal de rechter eraan te pas moeten komen om te bepalen of een eis tot vaccinatie gerechtvaardigd is of niet.
Alles bij de bron; FrieschDagblad
Passwordstate, een wachtwoordmanager voor bedrijven, is getroffen door een supply chain attack. De aanvallers zaten ongeveer 28 uur lang in de leveringsketen van de software, maar hoeveel van de meer dan 29.000 klanten getroffen zijn, is niet bekend.
De aanvallers braken in bij de systemen van ontwikkelaar ClickStudios en plaatsten daar een software-update voor de self-hosted-wachtwoordmanager. Die vervalste update bevatte een aangepaste versie van 'Moserware.SecretSplitter.dll', met een 'Loader' aan boord die contact zocht met een server die in handen was van de aanvallers. Daar zou de malware de payload ophalen, maar het is onbekend wat daarin zou zitten; CSIS heeft die niet kunnen bemachtigen omdat de server al offline is.
ClickStudios heeft een onbekend aantal klanten per e-mail op de hoogte gebracht en treedt naar buiten met een publiekelijk bericht. In dat bericht stelt het dat de malware onder andere gebruikersnamen, wachtwoorden en een lijst van draaiende processen naar de server van de aanvallers zou sturen.
Het Australische bedrijf komt met een hotfix om het geïnfecteerde bestand te vervangen. Ook raadt het aan om alle wachtwoorden te vervangen bij aan het internet blootgestelde systemen, interne infrastructuur en alle wachtwoorden die in Passwordstate opgeslagen staan.
Alles bij de bron; Tweakers
Onderzoekers hebben een fout in Apples AirDrop ontdekt waardoor het e-mailadres en het telefoonnummer van een gebruiker kan lekken naar iedereen in de buurt. Mits ze een apparaat hebben dat wifi-signalen kan opvangen, natuurlijk.
AirDrop lekt gegevens naar nabijgelegen apparaten op het moment dat een gebruiker bestanden deelt, schrijft de Technische Universiteit Darmstadt. Je kan met AirDrop bestanden delen met apparaten die vlakbij zijn.
Om zeker te zijn dat je niet zomaar bestanden naar een vreemde stuurt, checkt de app welke apparaten in de buurt toebehoren aan iemand van je contactlijst. Voor deze vergelijking vraagt AirDrop e-mailadressen en telefoonnummers op van apparaten in de buurt en kijkt of de zender en ontvanger bij elkaar in de contactlijst staan. De data die voor die vergelijking nodig is, is volgens de TU Darmstadt niet goed versleuteld. Een kwaadwillende zou zo deze informatie kunnen onderscheppen.
Het lek is al sinds mei 2019 bekend.
Alles bij de bron; RTL
Nederlandse parlementariërs hebben woensdag, net als hun Britse en Baltische collega’s, via Zoom een gesprek gevoerd met een deepfake-imitatie van de stafchef van de Russische oppositieleider Aleksej Navalny. Dat is vrijdagavond bevestigd door de griffie van de Tweede Kamer.
Tech-trendwatcher Jarno Duursma stelde tegen deze krant dat wat er nu met de nep-Volkov is gebeurd, een zorgwekkende nieuwe stap is. ‘We wisten allemaal dat dit ooit zou gebeuren, en nu blijken we er al middenin te zitten. Dit is zeer overtuigend gedaan.’
Rihards Kols, voorzitter van de buitenlandcommissie van het Letse parlement had in maart een kort videogesprek met Volkov. Pas weken later beseft de politicus dat hij het slachtoffer is geworden van bedrog. Dat besef komt als hij van Oekraïense collega’s hoort van een video-ontmoeting met een nep-Volkov. Anders dan bij Kols was zijn gedrag in dit gesprek zeer vreemd en ‘openlijk provocerend’. Ook politici uit Estland, Litouwen en het Verenigd Koninkrijk zijn op deze manier benaderd.
Verraderlijk genoeg trad de nep-Volkov zowel in Nederland als in andere Europese landen op tijdens een live-videogesprek. Tech-expert Duursma: ‘We zitten in een wereld van videovergaderen. Ook de politiek. Je kan er niet meer van uitgaan dat degene die in een vergadering zit ook degene is voor wie hij zich uitgeeft.’ Het is werk van experts, stelt Duursma. ‘Hier moet lang aan gewerkt zijn. Misschien wel door statelijke actoren.’
Alles bij de bron; Volkskrant
Twitter heeft per ongeluk een e-mail naar gebruikers verstuurd waarin hen werd gevraagd om hun Twitteraccount te bevestigen. Veel gebruikers dachten dat het om een phishingaanval of scam ging, mede omdat de e-mail onverwachts kwam.
Via het officiële Twitter Support-account laat de microbloggingdienst weten dat het om een fout ging en het bericht niet verstuurd had moeten worden. Twittergebruikers die de e-mail hebben ontvangen hoeven hun account niet te bevestigen en kunnen het bericht negeren.
Alles bij de bron; Security
De federale regering werkt aan een reparatiewet op de vernietigde dataretentiewet. De rechters van het Grondwettelijk Hof beslisten de wet rond dataretentie te vernietigen.
Ze oordelen dat een algemene en ongedifferentieerde bewaring van elektronische communicatiegegevens niet overeenstemt met het Europees recht. Nochtans gelden strenge regels voor zowel de toegang tot als de bewaring van de gegevens, die worden gebruikt in de aanpak van criminaliteit en bedreigingen voor de nationale veiligheid.
De uitspraak komt niettemin niet geheel als een verrassing, bevestigt minister De Sutter. Het Europees Hof van Justitie had zich immers al in gelijkaardige zin uitgesproken. Volgens haar is de regering al met een reparatiewet aan de slag, die ze zo snel mogelijk wil laten.
Alles bij de bron; Nieuwsblad
Antivirusbedrijf Trend Micro waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de beveiligingssoftware van de virusbestrijder. Het beveiligingslek CVE-2020-24557 bevindt zich in Trend Micro Apex One, Apex One as a Service en OfficeScan XG.
Trend Micro kwam vorig jaar augustus met een beveiligingsupdate voor het beveiligingslek, maar maakte gisteren bekend dat de kwetsbaarheid actief wordt aangevallen. Klanten die de update nog niet hebben geïnstalleerd worden dan ook opgeroepen dit zo snel mogelijk te doen.
Het is niet de eerste keer dat Trend Micro Apex One en OfficeScan het doelwit van aanvallen zijn. Vorig jaar liet de virusbestrijder nog weten dat zerodaylekken in de beveiligingssoftware actief waren misbruikt, mogelijk bij Mitsubishi Electric.
Alles bij de bron; Security
Er is een tool opgedoken waarmee gebruikers automatisch kunnen natrekken welk Facebookaccount bij welk e-mailadres hoort, óók als je er als gebruiker voor hebt gekozen om je mailadres niet te openbaren.
Een gebruiker kan met deze tool bovendien tot wel vijf miljoen mailadressen per dag natrekken, wat het interessant maakt voor hackers en andere kwaadwillenden. Techwebsite Ars Technica maakt melding van de tool, die bekend staat onder de naam Facebook Email Search v1.0.
Er circuleert een video van een anonieme onderzoeker die de werking van de tool demonstreert. Naar eigen zeggen is hij met de informatie naar buiten gekomen nadat hij van Facebook te horen had gekregen 'dat de kwetsbaarheid niet belangrijk genoeg was om te verhelpen'. Te zien valt dat verreweg de meeste ingevoerde e-mailadressen daadwerkelijk resultaat opleveren, ook als in de instellingen op Facebook is aangegeven dat het e-mailadres privé moet blijven.
Een fragmentje van een demonstratie van dezelfde tool staat echter op YouTube, en daarop zien we al snel dat gebruikers in een handomdraai een uitdraai op hun scherm zien die bestaat uit je unieke Facebook ID, de naam die bij het Facebookprofiel hoort én het corresponderende e-mailadres:
Een eventueel risico is daarentegen wel dat kwaadwillenden tóch bepaalde informatie van jouw Facebookprofiel weten te halen nadat ze je hebben gevonden door op je mailadres te zoeken, ook al dacht je safe te zijn door bijvoorbeeld een schuilnaam te gebruiken.
Een ander risico is dat de koppeling tussen e-mailadres en Facebookprofiel je in potentie kwetsbaarder maakt voor overtuigende vormen van phishing en andere vormen van oplichting, zeker als deze gegevens worden gecombineerd met gegevens die al eerder op straat zijn komen te liggen. Hoe meer persoonlijke informatie kwaadwillenden van je weten, hoe overtuigender ze te werk kunnen gaan.
Alles bij de bron; Opgelicht!