Bij een aanval op datingsite MeetMindful zijn de privégegevens van ruim 2,2 miljoen gebruikers gestolen en vervolgens op internet gelekt. Het gaat om namen, e-mailadressen, woonplaats, lichaamskenmerken, datingvoorkeuren, burgerlijke staat, geboortedatum, ip-adres, via bcrypt gehasht wachtwoord en Facebookgebruikersnaam en -authenticatietokens, meldt ZDnet.
Berichten, foto's, bekeken profielen of andere persoonlijke informatie met betrekking tot matches zijn niet in handen van de gebruiker gekomen.
Volgens MeetMindful maakte de aanvaller misbruik van een kwetsbaarheid om de gebruikersgegevens, die zo'n zes maanden oud zijn, te stelen. Om wat voor beveiligingslek het precies gaat laat de datingsite niet weten, maar het probleem is inmiddels verholpen. Alle gedupeerde gebruikers zijn door de datingsite ingelicht.
Alles bij de bron; Security
Afgelopen jaar is er voor meer dan 41 miljoen euro aan schade door fraude gemeld bij de Fraudehelpdesk. In 2019 was dit nog ruim 26 miljoen. In totaal ontving de Fraudehelpdesk in 2020 ongeveer 350.000 meldingen .
Wat in 2020 het meest opviel was dat (cyber)criminelen vooraf bepaalde gegevens ontfutselden om zich daarmee later zeer overtuigend te kunnen voordoen als een ander. Dit deed de oplichter bijvoorbeeld door vooraf een phishinglink te sturen of een telefoongesprek op te nemen. Met kennis van persoonlijke financiële gegevens of het stemgeluid van een zoon of dochter, was de misleiding voor latere slachtoffers nauwelijks te herkennen.
Wat betreft de aantallen zijn er drie top-3’s voor 2020.
Op het gebied van meldingen zijn dat (1) identiteitsfraude (vooral WhatsApp-hulpvraag), (2) cybercrime en (3) handelsplaats/webwinkelfraude.
Voor wat betreft slachtoffers gaat het om (1) handelsplaats/webwinkelfraude, (2) identiteitsfraude (vooral WhatsApp-hulpvraag) en (3) voorschotfraude (alles waarbij mensen betalen om iets te ontvangen, waaronder datingfraude en valse leningen).
Ten aanzien van schadebedragen gaat het om (1) beleggingsfraude (2) identiteitsfraude Rechtspersonen (waaronder misbruik bedrijfsnaam) en (3) voorschotfraude (alles waarbij mensen betalen om iets te ontvangen).
Alles bij de bron; BeveilNieuws
Een medewerker van beveiligingsbedrijf ADT heeft zo'n tweehonderd klanten jarenlang via hun eigen beveiligingscamera's bespioneerd. Hij keek meer dan 9600 keer mee met de camera's van klanten, onder andere tijdens intieme momenten. Dat heeft de inmiddels ontslagen werknemer bekend, zo meldt het Amerikaanse ministerie van Justitie.
Tijdens onderhoudswerkzaamheden bij klanten voegde de man geregeld zijn e-mailadres aan de "ADT Pulse" accounts van klanten toe, zonder hen dit te laten weten. Zo kreeg hij real-time toegang tot de camera's in de woningen van klanten.
Eerder liet ADT zelf al weten dat de man over een periode van zeven jaar bij zo'n 220 klanten in de omgeving van Dallas had gespioneerd. Daarop werd er een massaclaim tegen het beveiligingsbedrijf aangespannen. De ex-medewerker kan een gevangenisstraf van maximaal vijf jaar krijgen.
Alles bij de bron; Security
Het zal je maar gebeuren. Guilhermina, die al haar hele leven keihard werkt en nooit in aanraking kwam met justitie, zag zichzelf ineens terug bij Opsporing Verzocht. Op de nationale televisie werd ze onterecht beschuldigd van diefstal en babbeltrucs. Guilhermina was onschuldig en had niets met de zaak te maken...
...In de uitzending van 8 januari 2019 wordt er bij Opsporing Verzocht aandacht besteed aan een babbeltruc. Op beelden is te zien hoe twee mannen eerst de pincode, en daarna de pinpas van een oudere man afhandig maken. En even later worden er beelden getoond van Guilhermina, die geld opneemt bij een pinautomaat...
De voice-over van het programma zegt: "Kijk alstublieft even of u deze vrouw herkent, of wellicht vaker heeft gezien."
En dat is precies wat er gebeurt: Guilhermina wordt herkend. Gelukkig door haar stiefdochter, die ook meteen alarm slaat bij de politie en meldt dat het om een grove fout gaat. Maar ook anderen herkennen Guilhermina. "We kregen heel veel telefoontjes van mensen die ons gezien hadden, of die getipt waren door anderen die mij gezien hadden bij Opsporing Verzocht."
Uiteindelijk besluit het stel om hun vakantie af te breken, en terug te komen naar Nederland. "Ik wilde zo snel mogelijk naar de politie om uit te leggen dat ik onschuldig was en dat ik niets met die zaak te maken had", vertelt Guilhermina. Guilhermina kan al snel aantonen dat ze onschuldig is.
De politie ziet in dat ze een grote fout heeft gemaakt en biedt direct excuses aan. Maar daar stopt de ellende niet. Een week later is Guilhermina opnieuw in Opsporing Verzocht te zien. In de uitzending wordt gezegd dat ze zeven tips hebben binnengekregen over 'deze vrouwelijke verdachte' en dat ze op basis daarvan is herkend.
Dat was het moment dat ze advocaat Gert Poot in de arm heeft genomen, die de familie sindsdien bijstaat.
Voor Guilhermina zijn de gevolgen van haar ongewenste landelijke bekendheid niet te overzien. Bij haar werk wordt haar de toegang tot het gebouw ontzegd. "Mijn toegangspasje is geblokkeerd. Ik zei natuurlijk dat ik onschuldig was en er niets mee te maken had, maar mijn baas zei: laten we de zaak afwachten. Tot die tijd mocht ik niet meer komen werken."
Twee weken na de eerste uitzending komt er een rectificatie in de uitzending van Opsporing Verzocht. "Daarmee kon ik in ieder geval bij mijn werkgever aantonen dat ik onschuldig was", vertelt ze. "Maar voor de rest was het kwaad al geschied. Veel mensen hebben die rectificatie niet gezien. Voor hen bleef ik verdacht."
Sinds de gewraakte uitzendingen is Guilhermina's leven flink veranderd. Haar contract werd niet verlengd. Dit deed hen mede besluiten om terug te gaan naar Portugal, waar ze op dit moment nog steeds wonen. Het liefst zou Guilhermina weer terug naar Nederland gaan, vertelt ze "maar ik ben ook bang dat we daar nog steeds met de nek worden aangekeken."
Alles bij de bron; RTLNieuws
MyFreeCams, een website voor webcammodellen, heeft twee miljoen gebruikers gewaarschuwd voor een datalek uit 2010 waarbij gebruikersnamen, e-mailadressen en wachtwoorden in plaintext werden buitgemaakt. Ook het aantal MyFreeCams Tokens dat gebruikers hadden aangeschaft werd inzichtelijk voor de aanvaller.
De gestolen gebruikersgegevens worden nu in delen te koop aangeboden op internet. De vraagprijs is 1500 dollar per 10.000 gebruikers. De aanvaller zou op zijn bitcoinadres 49 transacties ter waarde van 22.000 dollar hebben ontvangen.
Hoewel het datalek tien jaar geleden plaatsvond is het nooit ontdekt totdat de aanvaller de gegevens te koop aanbood. MyFreeCams zou zo'n 70 miljoen bezoekers per maand krijgen.
Alles bij de bron; Security
Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich op corona lieten testen bij een commercieel bedrijf zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.
Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.
Het gaat om bijvoorbeeld toeristen die via TUI of Corendon een vakantie boekten, werknemers van voedingsmiddelenconcern Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook het ministerie van Defensie laat militairen die uitgezonden worden testen bij het bedrijf.
Alles bij de bron; NOS
Het valt niet te achterhalen of UWV-medewerkers misbruik van klantgegevens hebben gemaakt, zo heeft minister Koolmees van Sociale Zaken laten weten. De minister reageerde op Kamervragen van de PvdA over het nieuws dat privégegevens van miljoenen huidige en voormalige UWV-klanten eenvoudig voor duizenden ambtenaren toegankelijk zijn...
...PvdA-Kamerlid Gijs van Dam wilde van Koolmees weten of er misbruik van klantgegevens is gemaakt en of de minister dit wil onderzoeken. "Door de technisch beperkte logging en monitoring op het systeem Sonar, kan niet achterhaald worden welke medewerkers op welk moment welke gegevens hebben ingezien. Daardoor kan het niet worden uitgesloten dat er ongeoorloofd gebruik is gemaakt van klantgegevens", reageert Koolmees.
Volgens de minister houdt dit in dat medewerkers met toegang tot Sonar mogelijk meer persoonsgegevens hebben verwerkt of hebben ingezien dan strikt noodzakelijk is voor de uitvoering van hun taken. Het UWV is nu bezig om het loggen en monitoren te verbeteren, zodat het wel mogelijk wordt om ongeoorloofd gebruik vast te stellen...
Afsluitend laat de minister weten dat niet alle privacyproblemen en kwetsbaarheden in Sonar met betrekking tot de AVG zijn te verhelpen. Uiteindelijk zal het systeem dan ook na 2025 worden vervangen. In aanloop naar deze vervanging zal het UWV wel stapsgewijs verschillende maatregelen doorvoeren. Zo worden in het eerste kwartaal van dit jaar de gegevens verwijderd van klanten die vijf jaar of langer inactief zijn.
Alles bij de bron; Security
De aanvallers achter de wereldwijde SolarWinds-aanval hebben toegang gekregen tot interne bedrijfsmails van Malwarebytes, zo heeft het securitybedrijf zelf bekendgemaakt. Malwarebytes maakt geen gebruik van de software van SolarWinds. De aanvallers die voor de SolarWinds-aanval verantwoordelijk worden gehouden wisten echter de Microsoft Office 365- en Azure-omgevingen van het securitybedrijf te compromitteren...
...Vorige week maakte e-mailbeveiliger Mimecast nog bekend dat aanvallers een certificaat van het bedrijf hadden gebruikt voor aanvallen op Microsoft 365-accounts bij klanten. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat is door aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf. Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-accounts van klanten te krijgen.
Hoe de aanval bij Malwarebytes precies in zijn werk is gegaan is niet bekendgemaakt. Malwarebytes meldt dat de aanvaller toegang tot de Office 365-omgeving wist te krijgen en vervolgens een zelf gesigneerd certificaat toevoegde aan het "principal account". Vervolgens konden de aanvallers zich via het certificaat authenticeren en toegang tot de e-mails van Malwarebytes krijgen.
Alles bij de bron; Security
Amsterdammers kunnen binnenkort een ‘vergeet-me-knop’ indrukken waarmee hun digitale informatie die de overheid niet wettelijk hoeft vast te leggen bij gemeentediensten wordt gewist.
“We moeten toe naar een data-economie die niet uitsluitend gedreven wordt door commerciële belangen,” aldus wethouder Meliani, “maar ook door andere waarden die we in Amsterdam belangrijk vinden: het waarborgen van digitale rechten, goed werkgeverschap, tegengaan van monopolies en bescherming van kwetsbare groepen. Amsterdammers moeten beter zelf kunnen bepalen wat er met data over hen gebeurt en wie daar toegang toe heeft.”..
...Het college steekt de hand ook in eigen boezem. De gemeente moet volgens Meliani veel beter laten zien welke gegevens ze allemaal verzamelt en verwerkt. Zoals informatie over parkeren, straatvuil, kapotte lantaarnpalen of van veiligheidscamera’s in de openbare ruimte.
Vaak gebeurt dat verzamelen, beheren en verwerken door bedrijven die de gemeente inhuurt, of wordt die informatie zelfs van ondernemers gekocht. In het vervolg moeten al die digitale toeleveranciers de digitale code van de stad ondertekenen. Daarin staat ook dat de in opdracht van de overheid verzamelde gegevens altijd eigendom zijn van de gemeente, niet van het bedrijf.
Bedrijven die via onder meer wifi, bluetooth, mobiele netwerken, camera’s of sensoren op straat digitale informatie verzamelen voor commerciële doeleinden, zoals bijvoorbeeld Google doet met Streetview-auto’s of TomTom met de navigatie, moeten dat in het vervolg melden in een register en ook verantwoorden wat ze met die gegevens doen. Daarnaast wil het college dat bedrijven die digitale informatie in de stad verzamelen, bereid zijn om gegevens te delen.
De hoeveelheid sensoren en camera’s op straat moet volgens het stadsbestuur zoveel mogelijk worden beperkt, is het uitgangspunt, zodat Amsterdammers zich niet voortdurend bespied voelen. Dat staat haaks op de trend dat er juist steeds meer taken in de stad worden overgelaten aan de techniek.
Amsterdam zette vorig jaar al een ‘algoritmeregister’ op waarin alle gemeentediensten worden opgenomen die kunstmatige intelligentie gebruiken bij het verwerken van data.
Alles bij de bron; Parool
Turkije wijzigde in de zomer van 2020 zijn op techbedrijven gerichte wetgeving. Die bedrijven zijn hierdoor verplicht een vertegenwoordiger in het land aan te wijzen.
Met de wet kan het land ook internetverkeer beperken als een bedrijf de regels overtreedt. Critici vrezen dat vertegenwoordigers van bedrijven onder druk gezet gaan worden om bijvoorbeeld sociale media te censureren.
Volgens ingewijden verzette Facebook zich vorig jaar tegen de wet en had het bedrijf gesteld zich hier niet aan te zullen houden. Meer dan de helft van alle Turkse inwoners gebruikt het sociale netwerk.
Nu blijkt het platform er alsnog voor te kiezen om de regels te volgen. "We hebben net als andere bedrijven besloten een vertegenwoordiger te selecteren om zo de wet te volgen", bericht Facebook.
Alles bij de bron; NU