Verschillende individuen dienden de afgelopen tijd klachten in bij DPC. Volgens de Britse krant The Telegraph zou het gaan om het publiekelijk toegankelijk maken van e-mailadressen en telefoonnummers van gebruikers onder de achttien jaar.
DPC wil in de eerste plaats bepalen of Facebook op een legale wijze met deze data omspringt en of de veiligheid van kinderen op Instagram genoeg gewaarborgd is. Daarnaast onderzoekt de privacywaakhond Instagrams profielinstellingen. Ook daar moet data afdoende beschermd worden.
Alles bij de bron; NU
Bij Dickey's Barbecue Pit, de grootste keten van bbq-restaurants in de Verenigde Staten, hebben criminelen de gegevens van drie miljoen creditcards gestolen. Aanvallers wisten de kassasystemen van de restaurantketen te compromitteren en zo bij 156 locaties in dertig Amerikaanse staten de creditcardgegevens te stelen.
De gestolen creditcarddata werd vervolgens te koop aangeboden op een forum voor cybercriminelen. Het grootste deel van de buitgemaakte creditcardgegevens is afkomstig van Amerikaanse staten, maar volgens de aanbieder van de dataset zit er ook data tussen van Europeanen en Aziaten. Het gaat om "Track 1" en "Track 2" data, waaronder naam van de kaarthouder, verloopdatum, bank en rekeningnummer.
Alles bij de bron; Security
De privacyautoriteit van het Verenigd Koninkrijk geeft luchtvaartmaatschappij British Airways een boete van 20 miljoen pond (bijna 22 miljoen euro), meldt ze op haar website. Het bedrijf krijgt de geldstraf omdat het gegevens van 400.000 klanten onvoldoende beschermde tegen digitale aanvallen. De privacywaakhond noemt het onacceptabel dat honderduizenden mensen hier slachtoffer van werden.
Het bedrag van 20 miljoen pond is een stuk kleiner dan de 183,4 miljoen pond die het ICO eigenlijk wilde opleggen. Toch is het de hoogste boete die de Britse privacyautoriteit ooit heeft opgelegd.
Alles bij de bron; NU
Uit een nieuw onderzoek van Amnesty International blijkt dat de Nederlandse politie al meer dan anderhalf jaar Roermond onder massasurveillance heeft. Iedere autobeweging wordt minutieus vastgelegd, geanalyseerd en bewaard. Dat de meeste bestuurders van de auto’s niets met criminaliteit te maken hebben, lijkt de politie niet uit te maken. Door het verzamelen van al die gegevens worden op grote schaal de privacyrechten geschonden van inwoners van Roermond en bezoekers aan de stad.
..Bij het project in Roermond speelt discriminatie ook een rol door het gebruik van nationaliteiten in risicoprofielen, net als bij de toeslagenaffaire van de Belastingdienst gebeurde. Dat is verboden. Maar niemand bij de politie, het Openbaar Ministerie of de gemeente Roermond greep in. Ook de toezichthouder (de Autoriteit Persoonsgegevens) deed niets want deze putte uit één informatiebron met betrekking tot dit experiment: de politie zelf – en die bleef stil.
Het feit dat de politie onder het mom van ‘een experiment’ onze privacy op grote schaal heeft kunnen schenden, zegt veel over de politie en andere overheidsorganen die betrokken zijn bij het project, maar zegt nog meer over het gebrek aan heldere regels voor het gebruik van algoritmes. Dat overheden algoritmes kunnen misbruiken wanneer ze niet zijn gebonden aan heldere regels, weten we...
Op dit moment weet niemand welke instanties algoritmes gebruiken en op welke manier, en of er sprake is van discriminatie of geautomatiseerd etnisch profileren. En dat is zorgwekkend. Daarom is het hoog tijd dat de Tweede Kamer in actie komt. Want iedereen is gebaat bij de bescherming van onze privacy.
Om massasurveillance en discriminatie met algoritmes te stoppen, moet het hele proces transparanter worden. Er moet een bindende mensenrechtentoets komen die instanties verplicht zijn uit te voeren voorafgaand en tijdens het gebruik van algoritmes. Voor geslaagd toezicht op het gebruik van algoritmes is het belangrijk dat een toezichthouder bij de data, de gebruikte risicoprofielen en algoritmes kan om er verder onderzoek naar te doen.
Alles bij de bron; NRC
Wie op social media actief is moet voorzichtig zijn met het delen van contactgegevens, informatie over het werk, foto's, video's en andere gegevens. Statelijke actoren kunnen hier namelijk misbruik van maken, zo stelt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in een nieuwe infosheet met de titel "Kennen ze jou ergens van?". Aanleiding voor het maken van de infosheet is berichtgeving over een gelekte data van het Chinese techbedrijf Zhenhua Data.
In de infosheet wordt uitgelegd hoe statelijke actoren te werk gaan en wat hier tegen kan worden gedaan.
Alles bij de bron; Security
Onderzoekers hebben in een horloge voor kinderen een backdoor ontdekt waardoor remote surveillance mogelijk was, zoals het nemen van foto's op afstand, het achterhalen van de locatie en het afluisteren van de omgeving.
Het gaat om een horloge dat door het Noorse Xplora onder de eigen naam op de Europese markt wordt aangeboden. Het kinderhorloge bevat een simkaart en bijbehorend telefoonnummer, alsmede een gps waarmee ouders de locatie van hun kind kunnen zien. Tevens is een microfoon aanwezig waarmee het kind en de ouders kunnen communiceren en een camera voor het maken van foto's of videobellen. Via een app kunnen ouders met de drager van het horloge communiceren.
Onderzoekers van securitybedrijf Mnemonic, die eerder voor de Noorse consumentenautoriteit onderzoek naar smartwatches voor kinderen deden, ontdekten de backdoor. Ze stellen dat de backdoor zelf geen kwetsbaarheid is. "De mogelijkheid om via sms af te luisteren of in het geheim foto's te nemen is geen kwetsbaarheid in de software, een misconfiguratie of een misser in het gebruik van verouderde protocollen. Deze functionaliteit is met opzet ontwikkeld", zo luidt de conclusie van de onderzoekers.
In een reactie laat Xplora weten dat de functionaliteit voor prototypes van het horloge was ontwikkeld. "Vanwege privacyzorgen werd de functionaliteit voor alle commerciële modellen verwijderd. De onderzoekers vonden een deel van de code die niet helemaal uit de firmware was verwijderd", aldus een verklaring van het bedrijf. Na te zijn ingelicht door de onderzoekers heeft Xplora een patch ontwikkeld die de backdoor verwijdert en vorige week onder gebruikers is uitgerold.
Alles bij de bron; Security
Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat overkwam ondernemer Pouwel Slurink uit Lelystad, die een kort geding aanspande tegen het Amerikaanse techbedrijf.
Het wemelt op internet van de verhalen van mensen die toegang verliezen tot hun Microsoft-account. Ze kunnen Windows niet meer gebruiken op hun computer, ze verliezen toegang tot hun bestanden in clouddienst One Drive, ze kunnen niet emailen met Outlook, niet Skypen, Xboxen, vergaderen in Teams, of gebruik maken van Office. De Consumentenbond wijdde er een speciale pagina aan en vond honderden gelijksoortige verhalen op internet.
Het overkwam ook Pouwel Slurink die een kort geding aanspande tegen het Amerikaanse techbedrijf. Hij wil zijn bestanden terug en zijn Microsoft-account weer kunnen gebruiken. Vrijdag wees de rechter zijn eisen af...
...Pas nadat hij een kort geding had aangespannen onthulde Microsoft waarom hij zijn account kwijt was geraakt: het bedrijf had, met hulp van daarvoor bestemde software, een foto op zijn One Drive-account aangemerkt als kinderporno...
...Volgens Microsoft controleert de software die het gebruikt om kinderporno op te sporen, PhotoDNA, alleen foto’s die mensen delen. Delen kan zijn: de foto doorsturen via One Drive, of een map in One Drive waarin de foto staat, open hebben staan voor derden. Is daarmee bewezen dat Slurink de foto heeft gedeeld, of kan de software toch op een andere manier zijn aangeslagen op de foto?
De advocaat van Microsoft leek tijdens de zitting in Lelystad te erkennen dat er geen direct bewijs is voor delen: „We weten alleen dat PhotoDNA werkt als iets gedeeld wordt, maar het is niet na te gaan hoe er wordt gedeeld.” De rechter gaat er van uit dat de software op de juiste manier heeft gewerkt en zegt dat het aan Slurink is om aannemelijk te maken dat hij de foto niet heeft gedeeld. „Dat is de omgekeerde wereld”, zegt Slurink. „Microsoft beschuldigt mij zonder bewijs te leveren en nu moet ík aantonen dat ik het niet heb gedaan.”
Slurink overweegt een bodemprocedure. „Ik laat het hier niet bij. Het klopt niet dat mensen zomaar bestraft kunnen worden voor het ontvangen van een foto. Ik doe dit niet alleen voor mezelf, maar ook voor iedereen die hier in de toekomst mee te maken kan krijgen.”
Alles bij de bron; NRC
De T2-beveiligingschip van Apple bevat een beveiligingsprobleem. De chip is onder meer aanwezig in MacBook Pro's, MacBook Air's, Mac mini's, iMac's, iMac Pro's en Mac Pro's.
Beveiligingsonderzoekers ontdekten dat de bestaande exploit checkm8 voor het jailbreaken van iPhones ook kan worden gebruikt om de T2-chip aan te vallen. checkm8 wordt hierbij gecombineerd met een tweede kwetsbaarheid in de memory controller genaamd blackbird.
Om het lek uit te buiten hebben aanvallers fysieke toegang nodig tot een systeem. De kwetsbaarheid kan worden misbruikt door aanvallers om in herstelmodus eigen code te draaien. Via deze route kunnen zij beheerdersrechten verkrijgen en zijn onder meer in staat gevoelige data buit te maken, aanpassingen te maken in het besturingssysteem macOS of kernelextensies te laden. Het Belgische beveiligingsbedrijf ironPeak stelt daarnaast dat het lek kan worden misbruikt om firmwarewachtwoorden en functionaliteit om apparaten op afstand te versleutelen uit te schakelen.
Het lijkt niet mogelijk het beveiligingsprobleem te verhelpen. Een beveiliging die wijzigingen voorkomt en bedoelt is om malafide handelingen tegen te gaan, maakt het nu ook onmogelijk de kwetsbaarheid te dichten meldt onderzoek Rick Mark.
Alles bij de bron; DutchITChannel
Beveiligingsonderzoeker Dennis Baaten ontdekte in september een kwetsbaarheid op webshopplatform Mijnwebshoppartner.
De website gebruikte oplopende klantnummers die Baaten kon opvragen via de url. Hij kreeg dan namen, adressen en contactinformatie te zien van gebruikers. Het ging bij dat laatste om e-mailadressen en telefoonnummers. Ook waren in sommige gevallen bedrijfsnamen, KvK-nummers en btw-nummers te zien die tot voor kort waren gebaseerd op hun burgerservicenummer.
Baaten zegt dat het klantbestand op die manier eenvoudig geautomatiseerd te downloaden was. In totaal stonden er 7232 klanten in de database, die verdeeld stonden over vier webshops. Baaten zocht contact met het bedrijf en gaf het datalek via een responsible disclosure-procedure door. Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.
Of het probleem voor alle webshops die onder Mijnwebshoppartner vallen is opgelost weet hij niet. "Mogelijk zijn er nog meer webshops die op dit platform draaien die ik niet heb gevonden. Dan zou het probleem nog groter in omvang zijn", zegt hij.
Alles bij de bron; Tweakers
Opeens lig je eruit. De verbinding met het mobiele netwerk is weg. Aan- en uitzetten helpt niet. Iemand anders heeft de controle over je 06-nummer overgenomen, door een nieuwe simkaart aan te vragen met valse identificatie. Sim-swapping heet deze vorm van oplichting. En zodra je het merkt, is het meestal te laat.
In januari rolde de Europese opsporingsdienst Europol samen met de Spaanse politie de bende op die bedragen tussen de 6.000 en 137.000 euro wegsluisde van bankrekeningen.
Dat ging zo: criminelen hadden de inloggegevens van de rekeningen al buitgemaakt. Om daadwerkelijk transacties uit te voeren onderschepten ze via de gekaapte simkaart het sms’je waarmee sommige banken eenmalige autorisatiecodes versturen. Die code is een extra beveiligingsstap. Sms wordt nog regelmatig voor deze zogeheten tweefactorauthenticatie gebruikt. Dat werkt prima, totdat je 06-nummer wordt overgenomen.
Afgelopen week waarschuwde Europol dat het aantal sim-swapaanvallen in Europa toeneemt. Als voorbeelden noemde het de Spaanse zaak en een bende die Oostenrijkse slachtoffers een half miljoen euro aftroggelde....
...De simkaart speelt een sleutelrol in veel oplichtingstrucs. Dit plastic kaartje gaat op den duur verdwijnen omdat de telecomsector overschakelt naar embedded sims of e-sims: simkaarten die vastzitten in de telefoon. GSMA, de brancheorganisatie van alle telecomproviders, waarschuwde vorig jaar dat de uitgifte van e-sims beter gecontroleerd moeten worden.
De Duitse beveiligingsspecialist Karsten Nohl wist in 2013 de versleuteling van de simkaart te kraken. In zijn ogen schiet de simkaart zelf niet tekort, maar de identiteitscontrole van de telecomproviders. Zolang simkaarten gekaapt kunnen worden is sms een kwetsbaar transportmiddel voor het beschermen van accounts of het verzenden van betaalbevestigingen. „Banken moeten niet vertrouwen op zo’n methode”, zegt Nohl.
Tips om het te voorkomen;
Deel niet te veel persoonlijke gegevens – geboortedatum adres, namen van huisgenoten en huisdieren – op sociale media.
Beveilig je onlineaccounts en mail met een extra check, bij voorkeur via authenticatieapps. Verwijder waar mogelijk je 06-nummer uit de profielgegevens.
Hergebruik geen wachtwoorden maar laat een wachtwoordmanager automatisch moeilijk te raden codes verzinnen en invullen.
Alles bij de bron; NRC