Gezellig kletsen in Clubhouse-rooms: een miljoen Nederlanders doet het inmiddels. De audio-app neemt het intussen niet zo nauw met de privacy – van gebruikers, maar ook van mensen die zelf niet op Clubhouse zitten...
...Waar zoekt Clubhouse de grenzen van het toelaatbare nog meer op?
Als een gebruiker Clubhouse toegang geeft tot zijn of haar contactenlijst, uploadt de app die gegevens naar een eigen server. Daar worden persoonlijke profielen opgebouwd van de contacten – mensen die dus zelf Clubhouse helemaal niet gebruiken. Volgens Eskens is die werkwijze een inbreuk op de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet. De app mag niet zomaar een database opbouwen met contactpersonen van Clubhouse-gebruikers.
Clubhouse gebruikt allerlei psychologische trucjes om gebruikers akkoord te laten gaan met het delen van hun contactenlijst. Zo is het woord ‘ja’ dikgedrukt en in een groter lettertype opgemaakt, en wijst een emoji van een vinger op de ja-optie.
Alles bij de bron; NRC
In twaalf minuten raakte Sven zijn telefoonnummer en zijn digitale identiteit kwijt, hij werd slachtoffer van een sim-swap. Foutje van de helpdesk van T-Mobile, die door corona de gebruikersaccounts minder goed beveiligde.
Sim-swaps zijn een bekend fenomeen met grote impact. Vaak hebben cybercriminelen het op bitcoins gemunt – ze selecteren hun slachtoffers uit gestolen databases van cryptomarktplaatsen. In tegenstelling tot een gewone bankrekening kun je zo’n crypto wallet leegtrekken en anoniem blijven. Pakkans: nihil.
Svens verhaal toont de kwetsbaarheid van je digitale identiteit, dikwijls gekoppeld aan een telefoonnummer. „Mijn identiteit lag al half op straat. Nou hebben ze ook nog mijn email-account en een kopie van mijn paspoort. Iemand kan zich volledig voordoen als mij”, zegt Sven tijdens een gesprek met zijn provider. „Ik begrijp het”, luidt de reactie, „maar T-Mobile kan er niets aan doen dat iemand uw nummer heeft overgenomen.”
Microsoft maakte woensdag bekend dat er nieuwe zerodaykwetsbaarheden waren gevonden in de onpremiseversie van Exchange Server. Er waren gevallen bekend uit de Verenigde Staten dat dit lek actief werd misbruikt.
De hackers hebben het vooral gemunt op bedrijven, universiteiten en onderzoeksinstituten die zich richten op zaken die uiteenlopen van besmettelijke ziekten tot militaire techniek. De hackers hadden niet alleen toegang tot mails door de bugs, maar installeerden ook eigen software waarmee ze later weer toegang tot computers konden krijgen.
NCSC heeft nu aanwijzingen dat de zerodaykwetsbaarheid ook in Nederland is gebruikt om bij geheime informatie te komen. De dienst raadt niet alleen aan snel de patch aan te brengen maar ook te controleren of misbruik heeft plaatsgevonden. Bij welk bedrijf of instelling hackers binnen zijn gekomen door de bugs te misbruiken, maakt het NCSC niet bekend.
Alles bij de bron; AGConnect
Hierbij bied ik uw Kamer het onderzoeksrapport “Inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister” van de Audit Dienst Rijk (ADR) aan. Op 10 maart 2020 is uw Kamer geïnformeerd over het datalek dat zich heeft voorgedaan bij het CIBG ten aanzien van het Donorregister.
Twee fysieke gegevensdragers (externe harde schijven) met daarop een kopie van donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010 lagen niet meer in de kluis waar ze werden bewaard. Na de melding van het datalek bij het ministerie van VWS en de Autoriteit Persoonsgegevens heeft het CIBG de ADR gevraagd onafhankelijk onderzoek uit te voeren...
...Specifiek heeft de ADR geconstateerd dat procedures en werkinstructies voor het bewaren en vernietigen van externe gegevensdragers niet of onvoldoende aanwezig waren. Hierdoor heeft het kunnen gebeuren dat de twee harde schijven zijn verdwenen, zonder dat kan worden nagegaan wat er precies is gebeurd met deze gegevensdragers. De ADR constateerde voor het nieuwe Donorregister dat het ten tijde van het onderzoek nog ontbrak aan een voldoende invulling en borging van het bijbehorend informatiebeveiligingsplan.
Het management van het CIBG geeft aan dit ernstige constateringen te vinden en stelt dat dit niet had mogen gebeuren. De interne sturing op de naleving van de regels omtrent informatiebeveiliging is onvoldoende geweest.
Ik sluit mij hierbij aan. Ook ik vind de bevindingen zeer ernstig. Iedereen moet erop kunnen vertrouwen dat met persoonsgegevens in het Donorregister zorgvuldig en op een goed beveiligde manier wordt omgegaan. Hierin is helaas tekortgeschoten...
...Het CIBG is direct aan de slag gegaan met de constateringen van de ADR en heeft al tijdens het lopende onderzoek de informatiebeveiliging rondom het nieuwe Donorregister verbeterd. Als resultaat hiervan zijn op dit moment de meeste maatregelen die het CIBG diende te nemen al geïmplementeerd. Nu richt het CIBG haar aandacht op de resterende maatregelen en het integreren van de maatregelen in de besturingscyclus van het CIBG om de kwaliteit continu te verbeteren. Op deze manier worden de aanbevelingen van het ADR-onderzoek structureel ingebed in de werkwijze van het CIBG.
Alles bij de bron; RijksOverheid
Om third-party cookies te vervangen en toch nog gericht te kunnen adverteren bedacht Google de "Privacy Sandbox". Hierbij worden gebruikers op basis van hun browsegedrag in zogeheten cohorten geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar het browsegedrag en plaatst de gebruiker vervolgens in een cohort. Dit cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren.
"De technologie voorkomt de privacyrisico's van third-party cookies, maar introduceert tegelijkertijd allerlei nieuwe risico's", zegt Bennett Cyphers van de EFF. Het gaat dan bijvoorbeeld om discriminatie en fingerprinting.
De EFF-medewerker spreekt van een tweesprong waarbij er moet worden gekozen tussen een toekomst waar gebruikers zelf kiezen welke informatie ze met een website willen delen en een toekomst waarbij gebruikers op basis van hun browsegedrag een label krijgen opgeplakt dat hen op alle websites achtervolgt. Volgens Cyphers moet de nieuwe oplossing van Google en andere pogingen om gedragsgerichte advertenties te tonen worden verworpen. De EFF roept Google dan ook op om de nu gepresenteerde oplossing in te trekken.
Alles bij de bron; Security
Het hele doel van fitnesswearables en smartwatches is om zoveel mogelijk data te registeren, zodat je een goed beeld krijgt van je algehele gezondheid. Maar wat wordt er zoal met die gegevens gedaan? We kijken naar het privacybeleid van Garmin om daar een indruk van te geven...
...Eindoordeel
Het privacybeleid van Garmin is overzichtelijk en duidelijk. Garmin informeert per type persoonsgegeven dat het verwerkt, uitgebreid over de grondslag daarvoor en het doel. Ook de door Garmin aangeboden producten en diensten lijken zo privacyvriendelijk mogelijk te zijn ingesteld. Dat is ook van groot belang nu de smartwatches van Garmin een variatie aan gezondheidsgegevens verwerken.
Er zijn tenslotte ook een aantal aandachtspunten. Zo zou Garmin de grondslag voor doorgiften naar de VS moeten heroverwegen. Het Privacy Shield is namelijk ongeldig verklaard. Garmin deelt data met overige derden, maar specificeert niet duidelijk genoeg wie onder deze categorie vallen.
Alles bij de bron; PCM-Web
De Nederlandse cryptobeurs LiteBit heeft persoonsgegevens van gebruikers gelekt, zo meldt het bedrijf via de eigen website. Het gaat om persoonsgegevens, zoals e-mailadres, telefoonnummer en IBAN, die voor december 2019 door gebruikers zijn verstrekt.
Op 27 februari van dit jaar ontving LiteBit een bericht waarin werd gemeld dat gegevens van LiteBit-gebruikers in handen van een derde partij waren. "Er is gedreigd om deze persoonsgegevens openbaar te maken als LiteBit niet zou betalen voor deze data.", zo stelt de cryptobeurs in een verklaring.
Aan de hand van de gestolen data die de afperser aan het bericht had toegevoegd kon worden afgeleid dat het gaat om gegevens die voor december 2019 zijn verstrekt. "Daarnaast zaten er enkel Nederlandse gebruikers in deze sample. Desalniettemin willen we wel al onze gebruikers op de hoogte stellen", laat LiteBit verder weten.
Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Security
LitterCams, zo heten de camera's die spotten wanneer een automobilist afval uit het raam gooit. Van plastic blikjes en fastfood-verpakkingen tot zelfs deels opgerookte sigaretten.
Die informatie wordt gekoppeld aan het kenteken van het voertuig, zodat de autoriteiten weten naar welk adres de boete gestuurd kan worden. Die loopt op tot maximaal 120 pond, omgerekend zo'n 140 euro.
Het systeem wordt nu voor het eerst in de praktijk getest en loopt minstens een jaar, waarbij dezelfde camera geregeld op een nieuwe plek wordt neergezet. Volgens lokale handhavers is men nu nog te afhankelijk van het op heterdaad betrappen van vervuilers. Dat leverde vorig jaar slechts 200 bekeuringen op, terwijl er in totaal voor 1.950 ton aan zwerfafval werd opgeruimd. Een stijging van 250 procent ten opzichte van 2019.
Alles bij de bron; CompIdee
Drie jaar na invoering van de AVG blijken veel websites zich nog altijd niet aan de privacyregels te houden. Dat concludeert de Consumentenbond na een uitgebreide steekproef. Meer dan de helft van de bezochte sites plaatst volgcookies zonder daar toestemming voor te vragen of dwingt die toestemming af.
De Consumentenbond onderzocht 100 populaire websites. 53 daarvan gaat in in de fout. Een kwart (24) van de websites plaatst al volgcookies voordat ze überhaupt om toestemming hebben gevraagd. Bunq plaatst de meeste: 9. En 20 websites, waaronder Coolblue, NLZiet en OKCupid, plaatsen tóch volgcookies ondanks dat de bezoeker ze geweigerd heeft.
De cookiemuren, die de onderzoekers in 2018 en 2019 nog veel aantroffen, blijken grotendeels verdwenen. Alleen Tweakers gebruikt deze techniek nog, ondanks dat die niet is toegestaan.
Wel vonden de onderzoekers meer ingewikkelde en sturende menu’s. Op 41 sites moeten bezoekers allerlei menu’s doorworstelen om reclamecookies uit te schakelen, terwijl het accepteren van alle cookies op diezelfde sites juist heel simpel is. En wie wil controleren of alle cookie-instellingen goed staan, moet pagina’s lang scrollen om 20 cookieschuifjes te controleren.
Sandra Molenaar, directeur Consumentenbond, is teleurgesteld over de resultaten: ‘Het is treurig om te moeten constateren dat bedrijven zo hardnekkig de fout in blijven gaan. Hoe ingewikkeld is het nu helemaal om netjes om toestemming te vragen? In de wet staat dat je je vrijelijk, ondubbelzinnig, geïnformeerd en specifiek toestemming moet geven voor cookies. Daar is absoluut geen sprake van als het keuzemenu meer lijkt op een hindernisbaan of je bezoeker zich eerst door een 170 pagina’s tellende verklaring moet worstelen.’
Alles bij de bron; ConsBond
Snelle vooruitgang in digitale videomanipulatietechnieken en een toename van vermeende deep-fake video’s van beroemdheden, zullen zowel gebruikers van videotechnologie als officieren van justitie onder druk zetten om de integriteit van alle beelden die ze gebruiken aan te tonen. Rechtbanken zullen bewijs verwerpen als knoeien niet kan worden uitgesloten”, zegt dr. Peter Kim, global technical consultant.
“Elke aanval op de integriteit van videobewijs, als deze niet wordt weerlegt, riskeert de waarde van de hele video-oplossing te ondermijnen. Dit geldt met name voor toepassingen waarbij het opsporen en vervolgen van misstanden een sleutelfunctie van het camerasysteem is. Het is dus van vitaal belang dat gebruikers zonder twijfel kunnen aantonen dat er op geen enkele manier met hun beeldmateriaal is geknoeid.”
Alles bij de bron; BeveilNieuws