- Gegevens
- Hoofdcategorie: Internet en Telecom
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Van een oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt. Hij eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wilde daar niet in mee gaan. Wel kreeg hij een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen. Daarop spande hij een rechtszaak aan.
De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren.
De rechter merkt op dat de hogeschool slecht gereageerd heeft op de klacht van de student dat het webformulier verouderd was en er geen sprake van een passende technische maatregel is, zoals de AVG vereist. Hierop stelde de hogeschool dat het formulier sinds 2018 online staat en niet eerder is gecompromitteerd.
De oud-student eiste een vergoeding wegens immateriële schade. Volgens de rechter heeft het lekken van de persoonsgegevens van de oud-student niet tot schade geleid. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf zeer zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was.
Gezien het feit dat het om gevoelige medische gegevens gaat, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van driehonderd euro uit.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bits of Freedom maakt zich zorgen over een wetsvoorstel waardoor het voor de AIVD en MIVD tijdelijk mogelijk wordt om van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) af te wijken. Daarnaast wordt ook het toezicht aangepast.
Zo zal, in plaats van bindende toetsing vooraf door de Toetsingscommissie Inzet Bevoegdheden (TIB), er tijdens en na de inzet van een bevoegdheid toezicht plaatsvinden door de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD).
Verder wordt het mogelijk om tijdens een lopend onderzoek waarbij een aanvaller overstapt naar een nieuwe server of apparaat, deze te blijven volgen zonder dat er eerst toestemmingsaanvraag moet worden ingediend. Normaliter hadden de inlichtingendiensten eerst toestemming moeten vragen aan de minister en moet de TIB deze toestemming toetsen.
Het wetsvoorstel verruimt ook de medewerkingsplicht van derde partijen, zoals telecomproviders en opslagdiensten. De inlichtingendiensten kunnen gegevens opvragen bij aanbieders van telecommunicatie- en opslagdiensten. Het gaat dan meestal om het opvragen van disk-images van servers.
In de Wiv 2017 is geregeld dat wanneer de bronbescherming op het spel staat, voordat het systeem van een journalist mag worden binnengedrongen, de rechtbank eerst toestemming moet geven. Door de nieuwe wet mogen de inlichtingendiensten op het systeem van een journalist inbreken als dat door aanvallers wordt gebruikt. Bits of Freedom maakt zich zorgen dat met de nieuwe regels de bronbescherming, en daarmee het werk van journalisten, op het spel komt te staan, zo liet de burgerrechtenbeweging tegenover het radioprogramma Argos weten.
Ook hekelt Bits of Freedom de genoemde noodzaak van de wet en hoe die behandeld wordt.
"De "spoedwet" die de huidige wet zal wijzigen is inmiddels al 2,5 jaar in de maak. Je zou je kunnen afvragen of hier wel echt sprake is van hoge urgentie. Bovendien is dit de zóveelste (tijdelijke) wijziging van de Wet op de inlichtingen- en veiligheidsdiensten", zegt directeur Evelyn Austin.
Volgens Austin is er inmiddels een complete studie vereist om goed te kunnen begrijpen wat de geheime diensten mogen en wat daarvan de gevolgen zijn. "Het lijkt wel alsof de democratische controle opzettelijk wordt verward en uitgeput. Op maandag 16 oktober wordt de wet in de Tweede Kamer behandeld. Aan Kamerleden de haast onmogelijke taak goed beslagen ten ijs te komen. Wij zijn benieuwd."
Eerder uitte ook voormalig TIB-lid Bert Hubert felle kritiek. "Het voorstel pakt geen cybertuig aan, het voorstel maakt het met name makkelijker onschuldige Nederlanders af te luisteren en te hacken, en de opbrengst te delen met het buitenland. Voor ons ligt een wet waarmee niet alleen hele wijken afgeluisterd kunnen worden, het hele land mag er mee afgeluisterd worden. En de diensten menen dat dat geen afluisteren is, want het is slechts ter verkenning."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Ze heeft een hekel aan de herfst. Het kost steeds meer moeite om uit bed te komen en ze komt haar appartement nauwelijks meer uit. Ze hangt voornamelijk op de bank en streamt wat video’s. Ze zou eigenlijk meer moeten bellen en chatten, maar wat als iemand dan vraagt hoe het met haar gaat? Dan maar even niks. Sensoren in haar telefoon geven aan dat ze al dagen nauwelijks actief is en dat ze veel in het donker zit. Gps vertelt dat ze niet buiten is geweest. In de microfoon klinkt haar stem mat en volgens het logboek maakt ze nauwelijks contact. Een getraind AI-netwerk trekt uit al die gegevens de conclusie dat ze mogelijk afglijdt naar een depressie.
Klinkt dat als sciencefiction? Niet voor de ontwikkelaars van ‘digital phenotyping’ of ‘personal sensing’; een continue meting op afstand van individueel gedrag aan de hand van data van persoonlijke gadgets zoals smartphones en gezondheidshorloges.
Feit is dat surveillance via smartphones al voor diverse gedragsproblemen wordt uitgeprobeerd zoals verslaving, autisme, posttraumatische stress, schizofrenie, stemmingsstoornissen, slaapproblemen en suïcidepreventie. En de lijst is langer.
Promovendus Karin Bogdanova baseert zich op de zorgethiek van Joan Tronto die de vier pijlers van zorg definieerde: reactievermogen, verantwoordelijkheid, oplettendheid en vakbekwaamheid.
Als antropoloog op het gebied van wetenschap en technologie ontwikkelt Bogdanova zelf geen AI-applicaties maar werkt ze aan een kader voor de toepassing van AI in de psychiatrie.
“Ik ben er geen tegenstander van. Ook al weet ik dat er veel te doen is over privacy, autonomie van patiënten en het geven van toestemming voor het gebruik van data. Waar ik me wel tegen verzet is het idee dat de interpretatie van telefoondata een objectieve maat zou zijn voor gedrag, of dat AI de crisis in de geestelijke gezondheidszorg zou kunnen oplossen.”
Bogdanova ziet ook ideeën die wel tot positieve sociale veranderingen kunnen leiden. Een voorbeeld is de verbeterde toegang tot psychiatrische hulp voor patiënten in nood. “In plaats van een jaar te moeten wachten voor een persoon met suicidale gedachten kan digital phenotyping helpen vaststellen dat er haast bij is en snel een afspraak maken met een professional. Je kunt je voorstellen dat de patiënt een app opent die, op basis van geïnterpreteerd gedrag, directe toegang geeft tot de zorgverlener en de starre zorginfrastructuur omzeilt.”
Nu informatietechnologie in rap tempo de zorg verandert, is het volgens Bodanova hoog tijd om na te denken over de richting van de verandering. “Krijgen patiënten wel zeggenschap over hun eigen gegevens, wat wordt de rol van verpleegkundigen, en hoe komt een diagnose tot stand? Over die vragen moeten we goed nadenken voordat allerlei persoonlijke gegevens in het zorgsysteem opgenomen worden. Want ik denk wel dat dat gaat gebeuren.”
Alles bij de bron; Delta-TU-Delft
- Gegevens
- Hoofdcategorie: Internet en Telecom
Grindr moet een in Noorwegen oplegde privacyboete van omgerekend 5,8 miljoen euro betalen, zo heeft een commissie van beroep geoordeeld. Grindr kreeg de boete opgelegd omdat het van juli 2018 tot en met april 2020 locatiegegevens, ip-adressen, advertentie-ID, geslacht en leeftijd van gebruikers voor advertentiedoeleinden met meerdere derde partijen deelde, zonder dat het hiervoor een gerechtvaardigd belang had.
De dating-app ging tegen de boete in beroep, maar zonder succes. De commissie van beroep oordeelt dat de toestemming die gebruikers gaven voor het verzamelen en delen van hun gegevens niet vrijwillig, specifiek of geïnformeerd was.
Gebruikers kregen tijdens de registratie voor de app geen vrije keuze om met het delen van hun gegevens akkoord te gaan. Daarnaast stond de informatie dat de gebruiker akkoord ging met het delen van zijn persoonlijke data met advertentiepartners alleen in het privacybeleid vermeld.
Gezien de ernst van de overtreding en het aantal getroffen gebruikers ziet de commissie geen aanleiding om de hoogte van het bedrag te veranderen. De Noorse consumentenbond is blij met het oordeel. Grindr had vorig jaar een omzet van omgerekend 184 miljoen euro.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De KNVB wil met slimme technologie het gedrag van supporters voorspellen en beïnvloeden. Daarnaast verwacht de voetbalbond dat door de komst van de digitale meldplicht die vaker zal worden opgelegd. Dat staat in een nieuw rapport met de titel 'Ons voetbal is van iedereen - Plan van aanpak 2023-2025', waarmee de voetbalbond racisme en discriminatie in voetbalstadions wil aanpakken (pdf).
Zo wil de KNVB discriminerende en kwetsende spreekkoren in stadions bestrijden met slimme technologie. Zo zijn bedrijven gevraagd om 'passende technische oplossingen' te ontwikkelen die vroegtijdig signalen en uitingen van discriminatie en racisme vastleggen. Inmiddels zijn verschillende oplossingen al getest in stadions met publiek. De oplossingen die de KNVB noemt zijn onder andere gericht op het voorspellen en beïnvloeden van het gedrag van supporters.
Een ander punt waar de slimme technologie bij moet helpen is het opschalen en valideren van persoonsgebonden toegang. "Waardoor betaald voetbalclubs precies kunnen weten wie er in hun stadion zit"
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
DarkBeam, een bedrijf dat voor organisaties op internet naar datalekken monitort, heeft miljarden records met wachtwoorden en e-mailadressen van slachtoffers van bekende en onbekende datalekken gelekt. Dat ontdekte beveiligingsonderzoeker Bob Diachenko.
DarkBeam monitort naar eigen zeggen het 'dark web' op datalekken. Vervolgens worden bedrijven die klant van het 'digital risk protection platform' zijn en in deze datalekken voorkomen gewaarschuwd.
Volgens Diachenko had DarkBeam de eigen Elasticsearch- en Kibana-instances niet beveiligd, waardoor die zonder inloggegevens te benaderen waren. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Kibana is een datavisualisatie-tool voor Elasticsearch.
Via de instances vond Diachenko 3,8 miljard records met e-mailadressen en wachtwoorden van slachtoffers van zowel bekende als onbekende datalekken. De installaties zijn inmiddels weer beveiligd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Telecomtoezichthouder FCC gaat kijken of het regels voor netneutraliteit weer kan instellen. Die regels werden in 2015 ingevoerd, maar later weer afgeschaft. Volgens de FCC heeft de coronacrisis aangetoond dat breedbandinternet een 'essentiële infrastructuur is'.
Onder het voorstel zou breedband 'dezelfde status krijgen als water, elektriciteit en telefoondiensten; dat betekent essentieel'. De FCC wil dat regelen voor zowel vaste als mobiele verbindingen.
Volgens FCC-voorzitter Jessica Rosenworcel toonde de pandemie aan dat internet die status verdient. "Nu werk, de gezondheidszorg, het onderwijs, economie en veel meer zich online afspelen, zou geen enkel Amerikaans huishouden of bedrijf een onbetrouwbare internetverbinding hoeven te hebben", zegt Rosenworcel in een verklaring.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Technische Universiteit Eindhoven heeft een 1,3 uit de vijf mogelijke punten gekregen voor de omgang op de universiteit met de privacyregels. Dat blijkt het het rapport van de Functionaris Gegevensbescherming.
Het rapport over 2022 werd dinsdagmiddag behandeld door de universiteitsraad.
Volgens Functionaris Gegevensbescherming (FG) ontbreekt het vooral aan volwassenheid in de omgang met data. De FG ziet ook positieve punten, zoals bewustzijn rond privacyregels. Gehoopt wordt dan ook dat dat leidt tot een echt ‘privacy-cultuur’ op de universiteit. Ook ziet de FG dat steeds vaker de goede raad van privacy-professionals wordt gevraagd, maar niettemin wordt nog altijd onvoldoende gehoor gegeven aan privacywetgeving.
Ook wordt in het rapport teruggekeken naar het grote datalek van campuskaarten van de universiteit. “Hoewel de universiteit dit datalek correct heeft afgehandeld, bleek de verwerking tussen de TU/e en ID-Ware zelf niet in overeenstemming met de AVG. Door het lage volwassenheidsniveau van de TU/e was de omvang van het incident zo excessief”, aldus de FG.
De universiteit wil eind 2025 de omgang met privacyregels hebben verbeterd, tegen die tijd moet de universiteit drie van de vijf punten weten te behalen.
Alles bij de bron; Studio040
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers van beveiliger Kaspersky hebben in de ‘snelgroeiende’ wereld van Internet of Things (IoT) enkele grote bedreigingen benoemd.
In die wereld (er zijn in 2030 meer dan 29 miljard IoT-apparaten) is een ‘bloeiende ondergrondse economie op het darkweb’ te zien, gericht op IoT-gerelateerde diensten zoals DDoS-aanvallen via IoT-botnets.
Die aanvallen kosten soms niet meer dan twintig dollar per dag. Het darkweb biedt daarnaast exploits voor zero-day kwetsbaarheden in IoT-apparaten en andere IoT-malware die er soms alleen maar op gericht is om rivaliserende malware te dwarsbomen. IoT-apparaten zijn daarnaast vatbaar voor ransomware, miners en proxy bots.
Leveranciers van IoT-apparaten moeten daarom meer aan cybersecurity doen, in zowel consumenten- als industriële apparaten. ‘Het veranderen van standaardwachtwoorden op IoT-apparaten zou verplicht moeten zijn’, aldus Kaspersky. Leveranciers zouden verder consequent patches moeten uitbrengen om kwetsbaarheden te verhelpen.
Alles bij de bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Canadese overheidsinstantie die informatie bijhoudt over zwangerschappen en pasgeborenen heeft de informatie van 3,4 miljoen personen gelekt. De gegevens werden eind mei gestolen via een zerodaylek in de MOVEit Transfer, een applicatie voor het uitwisselen van bestanden.
Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van inmiddels duizend organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren.
Better Outcomes Registry & Network (BORN) Ontario is één van de nieuwste slachtoffers die naar buiten treedt. De Canadese overheidsinstantie laat in een persbericht weten dat bij de aanval gegevens van 3,4 miljoen mensen zijn gestolen, voornamelijk van personen die zwangerschapszorg zochten en pasgeborenen. De gegevens dateren van 2010 tot en met mei 2023.
Alles bij de bron; Security