- Gegevens
- Hoofdcategorie: Internet en Telecom
WhatsApp biedt een nieuwe functionaliteit waarmee het IP-adres van gebruikers tijdens het bellen kunnen worden verborgen. Het bedrijf leidt de verbinding hierbij om via servers van WhatsApp, waardoor het IP-adres van de gebruikers niet zichtbaar is.
De werking van het systeem lijkt op het eerste oog veel op die van een Virtual Private Network (VPN). Gebruikers maken verbinding met een server, waarna hun verkeer via deze server wordt geleid om de identiteit van de gebruiker af te schermen.
"De meeste belproducten waar mensen vandaag de dag van gebruikmaken hebben peer-to-peer verbindingen tussen deelnemers. Deze directe verbinding maakt snellere dataoverdracht en betere belkwaliteit mogelijk, maar betekent ook dat deelnemers elkaars IP-adres moeten weten zodat datapackets op het juiste apparaat afgeleverd kunnen worden - dit betekent dat de IP-adressen zichtbaar zijn voor beide bellers bij een 1:1 gesprek", legt WhatsApp uit.
De nieuwe functionaliteit is beschikbaar op zowel Android als iOS. Gebruikers moeten de functionaliteit zelf inschakelen om hiervan gebruik te maken. Dit kan door naar de 'Instellingen' te gaan, op 'Privacy' te klikken en naar 'Geavanceerd' te gaan. Schakel hier de optie 'IP-adressen in oproepen beschermen' in.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws
De ID-wallet Yivi is na zes jaar investeren, testen en bouwen door SIDN weer in handen van zijn makers, de stichting Privacy by Design. Daar kreeg het initiatief ooit vorm onder de naam Irma. SIDN geeft Nederland daarmee een goed, veelgebruikt, privacyvriendelijke eID-middel.
Roelof Meijer, algemeen directeur SIDN: “We hebben veel mooie resultaten bereikt. Tegelijk verliep de adoptie in de markt minder snel dan gehoopt. Vooral de blijvende onduidelijkheid over de eisen die de overheid stelt aan eID-oplossingen zorgde dat organisaties terughoudend waren om met Yivi aan de slag te gaan. ... Door Yivi weer over te dragen aan de stichting Privacy by Design komt het in vertrouwde handen en borgen we de continuïteit”.
Deze bouw aan digitale ID’s past in een trend waarbij burgers en consumenten meer controle krijgen over hun digitale identiteit en privacy.
Eerder deze week, verzelfstandigde Rabobank zijn project Datakeeper, een systeem voor beheer ID-wallets. En gisteren keurde Europa een nieuwe set regels goed die de algemene invoering van digitale ID-wallets en mogelijk maakt. In de toekomst moet je bijvoorbeeld met je eigen Nederlandse ID kunnen inloggen bij Google en Facebook.
Alles bij de bron; Emerce
- Gegevens
- Hoofdcategorie: Internet en Telecom
In de zaak tegen de privacy-schending door Tiktok heeft de rechter massaclaims voor immateriële schade afgewezen. Dit is een gevoelige slag voor de massaclaim namens miljoenen Nederlanders tegen TikTok, maar het raakt ook andere zaken.
Op 25 oktober 2023 heeft de rechtbank Amsterdam vonnis gewezen in de zaak tegen TikTok in Europa en het Chinese moederbedrijf ByteDance van de stichtingen Massaclaim & Consument, Take Back Your Privacy (gesteund door de Consumentenbond) en Somi. Alle drie de stichtingen proberen bij TikTok duizenden euro's per gebruiker te vorderen wegens privacyschending.
Dit vonnis is nog niet gepubliceerd, maar in kleine kring bekend. Het vonnis betreft de ontvankelijkheid van de drie partijen. De rechtbank heeft Somi ontvankelijk verklaard. Voor Take Back Your Privacy en Massaclaim & Consument maakt de rechtbank een voorbehoud 'dat zij alsnog duidelijk dienen te maken dat de zeggenschap over de rechtsvordering in voldoende mate bij hen ligt.'
Immers, deze stichtingen hebben een commerciële investeerder achter zich en de rechtbank is er niet van overtuigd dat de invloed beperkt is zoals de stichtingen beweren. De beide stichtingen moeten hun overeenkomsten met de investeerders op korte termijn aanpassen om elke inhoudelijke invloed op de zaak uit te sluiten.
...De Rechtbank Amsterdam stelt in de TikTok-zaken letterlijk dat “ten aanzien van het gebruik van de TikTok Dienst een eventuele vordering tot immateriële schadevergoeding van iedere gebruiker zozeer afhangt van de individuele situatie van die gebruiker, dat er geen sprake is van een bundelbare (voldoende gelijksoortige) vordering.”
De eventuele schade van individuen kan louter worden gebundeld in een massaclaim als die materieel is. Dat is volgens de rechtbank vooralsnog niet bewezen.
Andere zaken kunnen worden geraakt door dit vonnis; “In vele advocatenkantoren wordt het vonnis intensief bestudeerd. Wat moeten we hiermee?”, aldus Gerrit-Jan Zwenne, hoogleraar aan de Universiteit Leiden en bij de Open Universiteit, en ook als advocaat betrokken bij verschillende claimacties.
Toch zegt hij over deze uitspraak: “Er is bij TikTok en andere sociale netwerken sprake van heel veel, langdurige en ernstige overtredingen van de privacywet, heeft de Europese rechter verschillende keren vastgesteld. Gebruikers lijden zonder meer schade. Het kan niet zijn dat TikTok en de anderen daar zo maar mee wegkomen.”
In Nederland zijn claimzaken aantrekkelijk omdat de Wet afhandeling massaschade in collectieve actie (Wamca) het toestaat dat claims worden ingediend namens personen die zich nog niet hebben ingeschreven. Pas als een claim wordt toegewezen kunnen vele gebruikers aanspraak maken op vergoeding van hun schade.
Zwenne: “Het gaat om zogenaamde strooischade. Veel gebruikers hebben schade geleden, maar het schadebedrag per persoon is veel te laag om individueel te procederen. Daarvoor zijn collectieve acties met krachtenbundeling bedoeld. De schadeveroorzaker komt er niet mee weg.”
Alles bij de bron; Iex
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een database die beweert het Aadhaar-nummer, paspoortnummer en andere persoonlijke gegevens van 815 miljoen Indiërs te bevatten, staat sinds 9 oktober te koop op BreachForums .
“Om deze slachtoffergroep in perspectief te plaatsen: de totale bevolking van India telt iets meer dan 1,486 miljard mensen”, merkte cyberbeveiligingsbedrijf Resecurity op in zijn blogpost , waarbij hij benadrukte dat dit de grootste datalek van persoonlijke gegevens in het land zou kunnen zijn. In de verkeerde handen kunnen deze gegevens worden gebruikt voor digitale identiteitsdiefstal, wat verder kan resulteren in andere cybercriminaliteit, zoals bankfraude.
Onderzoekers van Resecurity legden contact met de hacker die de database verkocht en kwamen erachter dat ze bereid waren deze voor $ 80.000 te verkopen. De hacker deelde ook spreadsheets met daarin vier grote lekmonsters met fragmenten van Aadhaar-gegevens als bewijs.
Het Resecurity-team kon geldige Aadhaar-ID's in de monsters identificeren door deze te vergelijken met de functie Verify Aadhaar van UIDAI . De authenticiteit van de gehele database is echter niet geverifieerd.
Het is nog niet duidelijk waar deze database vandaan lekte. Sommige mediakanalen hebben het lek toegeschreven aan de Indian Council of Medical Research (ICMR), maar ICMR heeft dit niet bevestigd. De Times of India meldde dat de regering dit lek onderzoekt.
Alles bij de bron; Medianama [via Security & googliaans vertaald]
- Gegevens
- Hoofdcategorie: Internet en Telecom
Authenticatieplatform Okta heeft duizenden werknemers gewaarschuwd voor een datalek waarbij naam, social-securitynummer en zorgverzekeringsgegevens zijn gestolen.
Het datalek waarover het bedrijf medewerkers nu informeert deed zich voor bij een zorgverlener genaamd Rightway waar Okta gebruik van maakt. Rightway meldde op 12 oktober aan Okta dat een aanvaller toegang had gekregen tot een bestand met de gegevens van zo'n vijfduizend Okta-medewerkers. Het bestand zou op 23 september zijn gestolen.
Personeel kan kosteloos twee jaar lang gebruikmaken van diensten die voor kredietmonitoring, 'identiteitsherstel' en fraudedetectie zorgen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers melden grootschalig misbruik van een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway waardoor aanvallers toegang tot systemen kunnen krijgen. Volgens securitybedrijf Mandiant zijn onder andere overheidsinstanties en techbedrijven getroffen. Onder de aanvallers bevinden zich ook verschillende ransomwaregroepen.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.
Via de kwetsbaarheid (CVE-2023-4966) kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen.
Citrix ontdekte de kwetsbaarheid zelf en kwam hiervoor op 10 oktober met een beveiligingsupdate, maar sinds een week is er sprake van grootschalig misbruik, zegt beveiligingsonderzoeker Kevin Beaumont. Vorige week besloot Citrix organisaties op te roepen om de update meteen te installeren.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
IPhones hebben jarenlang de unieke MAC-adressen van gebruikers gelekt waardoor die waren te volgen, ondanks een privacyfeature van Apple die dit juist moest voorkomen. Deze week kwam Apple met een beveiligingsupdate om het probleem te verhelpen.
Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen.
Drie jaar geleden kwam Apple met een feature genaamd 'private Wi-Fi addresses', die moest voorkomen dat iPhones hun unieke MAC-adres met wifi-netwerken delen.
Met de lancering van iOS 14, iPadOS 14 en watchOS 7 besloot Apple private Wi-Fi addresses te introduceren dat ervoor moet zorgen dat het toestel voor elk wifi-netwerk een ander MAC-adres gebruikt. Met iOS 15, iPadOS 15 en watchOS 8 werd er vervolgens automatisch voor elk wifi-netwerk waar meer dan zes weken geen verbinding mee was gemaakt een ander MAC-adres gegenereerd.
De privacyfeature bleek echter zinloos. "Wanneer een iPhone verbinding met een netwerk maakt, verstuurt het multicast requests om AirPlay-apparaten in het netwerk te vinden. In deze requests verstuurt iOS het echt Wi-Fi MAC-adres", aldus beveiligingsonderzoeker Tommy Mysk die het probleem (CVE-2023-42846) eind juli aan Apple rapporteerde.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.
Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory.
Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.
...Hackers zijn er in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.
Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.
Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.
....Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.
Alles bij de bron; TechZine
- Gegevens
- Hoofdcategorie: Internet en Telecom
De AIVD en MIVD krijgen, met een verruiming van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv), meer bevoegdheden in de cyberstrijd tegen hackers uit bijvoorbeeld China en Rusland.
De Tweede Kamer is akkoord, de Eerste Kamer zal dit naar verwachting ook doen – ondanks bezwaren van experts dat de privacy van Nederlanders geschaad gaat worden.
Het wordt voor de diensten straks mogelijk om internetverkeer dat via kabels gaat ‘te verkennen’. Bij die ‘verkenningsoperaties’ wordt echter ook het internetverkeer van Nederlanders opgevangen – en geanalyseerd.
Volgens privacyorganisaties wordt zo toch een sleepnetmethode geïntroduceerd, terwijl Nederland zich daar in 2017 in een referendum nog tegen uitsprak.
Ook BiZa-minister Hugo de Jonge reageerde laconiek op alle kritiek. ‘We zijn niet geïnteresseerd in het Netflix-gedrag van uw buurman’.
Alles bij de bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Internet en Telecom
Privégegevens van ggz-patiënten die een privacyverklaring hebben ondertekend dat ze hun gegevens niet willen delen zijn door een softwarefout toch gedeeld, zo heeft demissionair minister Helder voor Langdurige Zorg laten weten (pdf). Psychiaters en psychologen zijn sinds 1 juli door de NZa verplicht om informatie over iedere patiënt aan te leveren. Het gaat daarbij om zeer vertrouwelijke informatie.
Gegevens worden standaard verzameld en patiënten moeten actief bezwaar tegen de dataverzameling maken.
Hierdoor wordt echter niet alleen het delen van gegevens met de NZa stopgezet, maar ook het delen van gegevens met de desbetreffende zorgverzekeraar. Dijk wilde uitleg waarom er geen aparte privacyverklaring is ontwikkeld die alleen over het delen van gegevens met de NZa gaat.
Volgens Helder heeft de NZa dit onderzocht. ".... De partijen die de ict-systemen van zorgaanbieders verzorgen gaven in dit kader aan de NZa aan dat het onmogelijk was deze splitsing (tijdig) gerealiseerd te krijgen."
Daarnaast blijkt dat gegevens van patiënten die een privacyverklaring hadden getekend toch zijn gedeeld. Eén systeem waar zorgverleners gebruik van maken gaf door 'een probleem in de programmatuur' aan dat er geen privacyverklaring was ondertekend, terwijl dit wel het geval was. De NZa ontving van vijf zorgaanbieders een melding dat dit probleem zich bij hen had voorgedaan.
Helder stelt dat de toezichthouder alle bestanden waarin deze fout zat heeft verwijderd en de zorgaanbieders heeft gevraagd om deze opnieuw aan te leveren met gecorrigeerde gegevens. De minister merkt op dat de NZa heeft onderzocht of dit soort situaties met extra automatische of menselijke interventies voorkomen kunnen worden. "Dit blijkt helaas niet het geval volgens de NZa, omdat de fout zit in de ict-systemen waaruit de bestanden worden aangeleverd."
Alles bij de bron; Security