De aanvallers achter de wereldwijde SolarWinds-aanval hebben toegang gekregen tot interne bedrijfsmails van Malwarebytes, zo heeft het securitybedrijf zelf bekendgemaakt. Malwarebytes maakt geen gebruik van de software van SolarWinds. De aanvallers die voor de SolarWinds-aanval verantwoordelijk worden gehouden wisten echter de Microsoft Office 365- en Azure-omgevingen van het securitybedrijf te compromitteren...
...Vorige week maakte e-mailbeveiliger Mimecast nog bekend dat aanvallers een certificaat van het bedrijf hadden gebruikt voor aanvallen op Microsoft 365-accounts bij klanten. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat is door aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf. Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-accounts van klanten te krijgen.
Hoe de aanval bij Malwarebytes precies in zijn werk is gegaan is niet bekendgemaakt. Malwarebytes meldt dat de aanvaller toegang tot de Office 365-omgeving wist te krijgen en vervolgens een zelf gesigneerd certificaat toevoegde aan het "principal account". Vervolgens konden de aanvallers zich via het certificaat authenticeren en toegang tot de e-mails van Malwarebytes krijgen.
Alles bij de bron; Security
Amsterdammers kunnen binnenkort een ‘vergeet-me-knop’ indrukken waarmee hun digitale informatie die de overheid niet wettelijk hoeft vast te leggen bij gemeentediensten wordt gewist.
“We moeten toe naar een data-economie die niet uitsluitend gedreven wordt door commerciële belangen,” aldus wethouder Meliani, “maar ook door andere waarden die we in Amsterdam belangrijk vinden: het waarborgen van digitale rechten, goed werkgeverschap, tegengaan van monopolies en bescherming van kwetsbare groepen. Amsterdammers moeten beter zelf kunnen bepalen wat er met data over hen gebeurt en wie daar toegang toe heeft.”..
...Het college steekt de hand ook in eigen boezem. De gemeente moet volgens Meliani veel beter laten zien welke gegevens ze allemaal verzamelt en verwerkt. Zoals informatie over parkeren, straatvuil, kapotte lantaarnpalen of van veiligheidscamera’s in de openbare ruimte.
Vaak gebeurt dat verzamelen, beheren en verwerken door bedrijven die de gemeente inhuurt, of wordt die informatie zelfs van ondernemers gekocht. In het vervolg moeten al die digitale toeleveranciers de digitale code van de stad ondertekenen. Daarin staat ook dat de in opdracht van de overheid verzamelde gegevens altijd eigendom zijn van de gemeente, niet van het bedrijf.
Bedrijven die via onder meer wifi, bluetooth, mobiele netwerken, camera’s of sensoren op straat digitale informatie verzamelen voor commerciële doeleinden, zoals bijvoorbeeld Google doet met Streetview-auto’s of TomTom met de navigatie, moeten dat in het vervolg melden in een register en ook verantwoorden wat ze met die gegevens doen. Daarnaast wil het college dat bedrijven die digitale informatie in de stad verzamelen, bereid zijn om gegevens te delen.
De hoeveelheid sensoren en camera’s op straat moet volgens het stadsbestuur zoveel mogelijk worden beperkt, is het uitgangspunt, zodat Amsterdammers zich niet voortdurend bespied voelen. Dat staat haaks op de trend dat er juist steeds meer taken in de stad worden overgelaten aan de techniek.
Amsterdam zette vorig jaar al een ‘algoritmeregister’ op waarin alle gemeentediensten worden opgenomen die kunstmatige intelligentie gebruiken bij het verwerken van data.
Alles bij de bron; Parool
Turkije wijzigde in de zomer van 2020 zijn op techbedrijven gerichte wetgeving. Die bedrijven zijn hierdoor verplicht een vertegenwoordiger in het land aan te wijzen.
Met de wet kan het land ook internetverkeer beperken als een bedrijf de regels overtreedt. Critici vrezen dat vertegenwoordigers van bedrijven onder druk gezet gaan worden om bijvoorbeeld sociale media te censureren.
Volgens ingewijden verzette Facebook zich vorig jaar tegen de wet en had het bedrijf gesteld zich hier niet aan te zullen houden. Meer dan de helft van alle Turkse inwoners gebruikt het sociale netwerk.
Nu blijkt het platform er alsnog voor te kiezen om de regels te volgen. "We hebben net als andere bedrijven besloten een vertegenwoordiger te selecteren om zo de wet te volgen", bericht Facebook.
Alles bij de bron; NU
De gegevens van aanhangers van de Nederlandse organisatie Viruswaarheid waren te achterhalen door de URL van een petitie te veranderen.
Het gaat om zeker zestienduizend formulieren, meldt de Volkskrant. Viruswaarheid bevestigt het lek en gaat een melding doen bij de Autoriteit Persoonsgegevens. Kwaadwillenden konden bij onder meer de voor- en achternaam en e-mailadres van ondertekenaars van de petitie door de URL te wijzigen. Zo waren de gegevens van andere ondertekenaars in te zien.
Volgens Viruswaarheid ontstond het lek mogelijk na het herstellen van de website na een ddos-aanval van eerder deze maand. Bewijs of uitleg daarvoor geeft de organisatie niet. De petitie is anoniem te ondertekenen, maar ook de gegevens van die mensen waren daardoor opvraagbaar. Inmiddels is het lek gedicht en zijn de gegevens niet meer in te zien. Het is onbekend of kwaadwillenden de gegevens van de ondertekenaars hebben achterhaald.
Bron; Tweakers
WhatsApp gaat de geplande aanpassing van zijn gebruikersvoorwaarden uitstellen vanwege de ophef die erover is ontstaan. Met de aanpassing zou gebruikersinformatie worden gedeeld met moederbedrijf Facebook. Volgens WhatsApp is hierover veel verwarring bij gebruikers en is meer tijd nodig om uitleg te geven over datagebruik.
WhatsApp wilde eigenlijk dat de aanpassing op 8 februari van kracht zou worden. Gebruikers moesten akkoord gaan met de nieuwe voorwaarden, anders verloren ze de toegang tot hun accounts, zo werd eerder deze maand aangekondigd. Deze deadline wordt nu naar 15 mei verplaatst.
Alles bij de bron; NU
Gebruikers van de Ledger-cryptowallet zijn bedreigd en slachtoffer van een nieuw datalek geworden. Het gaat om gegevens die werden gestolen door medewerkers van webwinkelplatform Shopify. Dit nieuwe datalek staat los van een datalek dat vorig jaar juli door Ledger werd gemeld.
Uit onderzoek blijkt dat de gegevens van 292.000 klanten zijn buitgemaakt. Vorig jaar juli maakte Ledger bekend dat het slachtoffer van een ander datalek was geworden. Bij deze aanval waren de gegevens van 272.000 klanten gestolen. Het gaat om namen, adresgegevens, telefoonnummer, e-mailadres en gekochte producten.
Alles bij de bron; Security
Alle gebruikers moeten straks akkoord gaan met een update van de gebruiksvoorwaarden om de dienst na 8 februari te kunnen blijven gebruiken. Sinds begin dit jaar verschijnen de nieuwe voorwaarden al als popup in de app. Daarin staat een passage die wereldwijd tot veel kritiek leidde van gebruikers en privacyvoorvechters: dat WhatsApp gebruiksgegevens gaat delen met eigenaar Facebook...
...De data die de dienst nu wil kunnen gaan delen met Facebook zijn zogeheten metadata: het unieke ID van je telefoon, hoe vaak je WhatsApp gebruikt en wanneer je dat voor het laatst hebt gedaan. Overigens gebeurt dat al voor het grootste deel van de 2 miljard gebruikers, omdat ze nooit hebben aangegeven dat het níet mocht.
Hoewel Europese gebruikers verplicht akkoord moeten gaan met de nieuwe voorwaarden, mag WhatsApp onder de Europese privacywetgeving geen data delen met Facebook op straffe van hoge boetes. In de praktijk verandert er voor Europeanen dus niets: WhatsApp blijft gebonden aan die privacywet.
En er zijn alternatieven. Berichtendiensten Telegram en Signal, die privacy als speerpunt hebben, zagen de afgelopen dagen het aantal gebruikers enorm toenemen doordat mensen WhatsApp de rug toekeerden.
Alles bij de bron; Volkskrant
Facebook kwam in 2018 met de mogelijkheid om je privacyinstellingen via de app te controleren. Nu, bijna drie jaar later, maakt het social media bedrijf bekend dat ze deze sectie volledig vernieuwd hebben. Deze wijzigingen moet de functie “bruikbaarder en transparanter” maken, aldus Facebook.
Deze verbeterde ‘Toegang tot je informatie’ bereik je in de Facebook app als volgt:
Alles bij de bron; iCulture
Het Europees geneesmiddelenbureau EMA meldt dat in december gestolen documentatie over coronamedicatie en -vaccins online verschenen is.
In een update op haar website meldt het Europees geneesmiddelenbureau dat onderzoek naar de cyberaanval in december uitgewezen heeft dat enkele gestolen documenten die betrekking hebben tot medicatie en vaccins tegen het coronavirus van derden, online verschenen zijn.
Het bureau meldt in de update niet welke gegevens er online verschenen zijn, waar deze staan en of deze te koop aangeboden zijn. Bleepingcomputer zegt dat het gaat om gegevens over het Pfizer/BioNTech-vaccin. Op 31 december ontdekte de website dat vermeende gestolen EMA-data online verschenen op verschillende hackerfora. In een screenshot is te zien dat iemand claimt gegevens van het Pfizer-vaccin te hebben. Bronnen zeggen tegen BleepingComputer dat in ieder geval email screenshots, EMA-peer review commentaar, Word-documenten, pdf's en PowerPoint-presentaties gelekt zijn.
Volgens de NOS is de hack in december een gerichte aanval om informatie te verzamelen over de werking van de verschillende coronavaccins van Pfizer en Moderna dat de EMA beoordeelde. Het is nog niet bekend wie of welke organisatie er voor de hack verantwoordelijk is.
Alles bij de bron; Tweakers
De aanvallers achter de aanval op SolarWinds kregen begin september 2019 voor het eerst toegang tot de systemen van het bedrijf, wat inhoudt dat ze maandenlang onopgemerkt hun gang konden gaan. Dat laat SolarWinds in een update over de wereldwijde supply-chain-aanval weten.
Alles bij de bron; Security