Dave, een app voor mobiel bankieren en budgettering, heeft de privégegevens van meer dan 2,9 miljoen gebruikers gelekt. Aanvallers wisten geboortedata, namen, via bcrypt gehashte wachtwoorden, telefoonnummers, adresgegevens, social security nummers en e-mailadressen van ruim 2,9 miljoen unieke accounts te bemachtigen. De gestolen data werd vervolgens op internet aangeboden.
Het bedrijf zegt dat bankrekeningnummers en creditcardnummers niet zijn gecompromitteerd. Ook zijn er geen aanwijzingen dat er ongeautoriseerde acties met de getroffen accounts zijn uitgevoerd. Dave zal alle gedupeerde gebruikers waarschuwen en heeft een onderzoek naar het incident ingesteld. Verdere details over de inbraak zijn niet gegeven.
Alles bij de bron; Security
Om de transparantie richting de inwoners te verhogen, plaatsen veel gemeenten de declaraties van het college op de gemeentesite. Zo ook het college van Bloemendaal. Alleen bevatten die gepubliceerde declaraties tot voor kort allerlei persoonlijke gegevens waaronder adressen, bankgegevens, kentekens en ov-chipkaartnummers. De oudste declaraties kwamen ruim twee jaar geleden online.
De gemeente bevestigt het datalek, maar heeft het niet gemeld bij de Autoriteit Persoonsgegevens. De persoonsgegevens zijn inmiddels verwijderd uit de declaraties.
Alles bij de bron; NHD
Door Magister, het leerlingvolgsysteem dat op bijna 80 procent van de middelbare scholen wordt gebruikt, weten je ouders precies wanneer je afwezig was bij een les, wat je cijfers zijn, wanneer je een nieuw cijfer hebt en zelfs wanneer je een ‘persoonlijke afspraak’ hebt. ‘We worden eigenlijk een soort bol.com-pakketjes”, zegt Menno Adelaar (14), „Ze weten alles van je. Je kunt niet nog even naar een vriend zonder dat je dat thuis moet uitleggen."
Zíjn ouders gaan er goed mee om, vindt hij. Ze hebben hun meldingen uitstaan, zodat niet elk cijfer direct op hun mobiel verschijnt. „Dat willen ze van mij horen”, zegt Menno. „Maar ik heb ook mensen in de klas die thuiskomen en van hun ouders horen wat hun cijfer is.”
Magister was al volop in gebruik voor het gebruik van ict door scholen vanwege de coronacrisis een enorme vlucht nam. Wat vinden leerlingen eigenlijk van deze en andere technologie in de klas?
Technologie kán helpen het onderwijs beter en efficiënter te maken, vinden ze. Maar er zijn ook schaduwzijden, waar niet altijd goed over wordt nagedacht.
Die nadelen springen het meest in het oog bij Magister. „Je cijfergemiddelden worden automatisch uitgerekend”, zegt Menno, die zijn telefoon erbij pakt om de app te laten zien. „Kijk, en dan komen er pijltjes: omhoog als het stijgt, omlaag als het daalt. Als je een onvoldoende staat, dan is het cijfer rood en dikgedrukt.”
„Dat is best demotiverend”, zegt Nienke Luijckx (16) onlangs begonnen als voorzitter van scholierencomité LAKS. Menno: „Je kunt ook een gele kaart krijgen van een docent. Dat krijg jij niet te zien, alleen je ouders, als je onder de 16 bent.”
De school van Ella Slot (15) gebruikt Magister alleen voor de invoer van cijfers, voor het rooster is er een andere app. Ouders zien alleen cijfers en afwezigheid. „Bij mij is het dus minder ingrijpend.” Menno: „Ik ken ook mensen die een stuk of vier apps moeten downloaden.”
Nienke: „Bij andere leerlingvolgsystemen zie je zelfs met grafiekjes je cijfergemiddelde omhoog en naar beneden gaan.” Bij Ella laten docenten soms de statistieken per leerling zien op het bord. Menno herkent dat. Als je een opdracht slecht maakt, vertelt hij, krijg je een rood blokje, een beetje goed is oranje, goed is groen. „En dat laat de docent allemaal zien op het digibord, met de naam erbij.” Bij LAKS krijgen ze daar klachten over, zegt Nienke. „Zo van: ‘Mijn docent laat alle cijfers het hele uur op het bord staan. Mag dat?’
Doordat je zo vaak op Magister moet kijken, krijg je het gevoel continu met school bezig te zijn, zeggen ze. Menno: „Of het huiswerk komt pas om tien uur ‘s avonds op Magister. Dan kijk je voor het slapengaan en zie je: o, ik had dat nog moeten maken.”
Uit een enquête van het LAKS onder 510 scholieren kwam naar voren dat 98 procent mailtjes buiten schooltijd ontvangt over school. De meeste gaan over aanpassing van het huiswerk voor de volgende dag of die daarna. „Dat achtervolgt je”, zegt Nienke.
Alles bij de bron; NRC
De ACM gaat per 1 juli 2021 telecomproviders op termijn verplichten om locatiegegevens op basis van smartphones mee te sturen bij oproepen naar 112. Dat meldt de autoriteit in zijn nieuwe beleidsregels. Momenteel is het al verplicht om locatiegegevens op basis van zendmasten te versturen bij een oproep naar 112, zoals staat vermeld in artikel 11.10 van de Telecomwet.
'Sinds enige tijd' is het echter ook mogelijk om locatiegegevens mee te versturen die niet gebaseerd zijn op zendmasten, maar afkomstig zijn uit de telefoon van de gebruiker. Volgens de autoriteit zal dat 'naar verwachting' op termijn in artikel 11.10 van de Telecomwet verwerkt worden. "Er is volgens de ACM echter geen reden om deze implementatie af te wachten", meldt de autoriteit.
...De markttoezichthouder spreekt hierbij over 'Advanced Mobile Location', een opensourcetechnologie waarmee een smartphone bij een noodoproep automatisch en in realtime zijn precieze locatie doorgeeft. AML wordt alleen aangezet tijdens het maken van een noodoproep.
Ook meldt de ACM dat telecomproviders 'verplicht zijn om de naam en adres-, postcode- en woonplaatsgegevens van abonnees' te verstrekken bij een noodoproep. Dit is echter al langer verplicht in de Telecomwet. Eerder dit jaar stelde de toezichthouder al dat 112 ook 'bereikbaar moet zijn via opkomende technologieën'.
Alles bij de bron; Tweakers
Profielen van dna-database GEDmatch waren door een aanval op een server tijdelijk voor alle gebruikers toegankelijk, waaronder politie. GEDmatch is een database met genetische data afkomstig van verschillende dna-testdiensten zoals 23andMe, FTDNA en AncestryDNA. In database staan 1,2 miljoen mensen.
...Afgelopen zondag werd GEDmatch naar eigen zeggen doelwit van een "geraffineerde aanval" op één van de servers, waarbij de aanvallers via een bestaand gebruikersaccount wisten binnen te komen. Door de aanval werden de permissies van gebruikers gereset. Daardoor waren alle profielen voor alle gebruikers zichtbaar, waaronder politie. Profielen van gebruikers die geen toestemming hadden gegeven om toegankelijk te zijn voor opsporingsdiensten waren dat drie uur lang wel...
...Tijdens onderzoek naar de aanval werd ontdekt dat de website nog steeds kwetsbaar was, waarop besloten werd die uit de lucht te halen. Twee dagen na de aanval op GEDmatch meldde dna-testdienst MyHeritage dat gebruikers het doelwit van een phishingaanval waren. De phishingsite is inmiddels uit de lucht gehaald. MyHeritage biedt twee-factor-authenticatie voor accounts en raadt gebruikers aan dit in te stellen.
Alles bij de bron; Security
Het klinkt als een flauwe grap, maar ondertussen zijn meer dan duizend onbeveiligde databases permanent verwijderd door de aanvallen. Daarbij laat de aanvaller in kwestie alleen het woord 'meow' (de Engelse versie van 'miauw', moest dat niet duidelijk zijn) achter als visitekaartje.
De aanval kwam eerst aan het licht toen hij een database van gelekte gebruikersgegevens vernietigde. Het gaat daarbij om een slecht beveiligde database aan gebruikersgegevens van de UFO vpn-dienst. Dat lek bevatte onder meer wachtwoorden, IP-adressen, sessie-logs, locaties en andere gevoelige informatie van gebruikers, die door de dienst zelf niet met de nodige voorzichtigheid werd bijgehouden.
Dat UFO vpn-lek is op zich al een schandaal, niet alleen omdat er dus bijzonder gevoelige informatie werd gelekt, maar ook omdat de vpn-dienst altijd beloofd had dat het geen logs bijhield, iets wat het lekken van sessie-logs moeilijk zou moeten maken.
Meow (want zo gaan we die aanval vanaf nu uiteraard altijd noemen) heeft sindsdien nog meer dan duizend andere databanken vernietigd. Het lijkt te gaan om een bot die automatisch op zoek gaat naar slecht beveiligde databases. Er wordt geen losgeld gevraagd en geen verdere uitleg gegeven. De data zijn gewoon weg, zoals het glas dat je kat net van de kast heeft gemept.
Alles bij de bron; DutchIT
Krijg je een sms met een link om de CoronaMelder-app of CoronaApp te downloaden? Klik dan niet op de link die in het bericht staat. De sms komt namelijk niet echt van het RIVM, het gaat hier om phishing.
De afzender van het sms-bericht wordt weergegeven als het telefoonnummer 0800-1202. Dit klopt echter niet; de berichten zijn niet verzonden door de Nederlandse overheid. Het ministerie raadt dan ook aan om niet op de link in de sms te klikken en het bericht direct te verwijderen van je telefoon.
Alles bij de bron; Margriet
Een app die de Zuid-Koreaanse overheid ontwikkelde voor mensen die in quarantaine moeten heeft de privégegevens van 162.000 gebruikers gelekt. Het gaat om naam, geboortedatum, geslacht, nationaliteit, adresgegevens, telefoonnummer, real-time locatie en medische klachten.
"We hadden erg veel haast om deze app zo snel als mogelijk te ontwikkelen en uit te rollen om de verspreiding van het virus tegen te gaan", zegt Jung Chan-hyun van het Zuid-Koreaanse ministerie van Binnenlandse Zaken. "We konden geen tijdrovende veiligheidscontrole van de app veroorloven die de uitrol zou vertragen."
Alles bij de bron; Security
Internetgebruikers worden op allerlei manieren op internet gevolgd en het gebruik van trackingparameters in url's is er daar één van. Aanleiding voor de Brave-browser om bekende trackingparamters uit de url's te verwijderen die gebruikers openen, zo laat de ontwikkelaar in een blogposting weten.
Via een url-parameter is het mogelijk om informatie over een klik van een gebruiker te verzamelen. De parameter wordt na het ? in de url toegevoegd, bijvoorbeeld https://example.org?fbclid=uniquevalue. Via de Facebook Click Identifier (fbclid) kan Facebook zien wanneer iemand op de link klikt en zo welke websites hij of zij buiten Facebook bezoekt. De Google Click Identifier (gclid) van Google koppelt advertentie- en analyticsdata aan elkaar, net zoals Microsoft via het Microsoft Click ID (msclkid) doet.
De ontwikkelaars van Brave stellen dat trackingparameters lastig door een browser zijn te blokkeren, omdat ze aanwezig zijn in de url die de gebruiker wil bezoeken, naast mogelijke onschuldige waardes in de link. Het willekeurig blokkeren van url's met een parameter zou ervoor zorgen dat gebruikers allerlei websites niet meer kunnen bezoeken. Daarom maakt Brave gebruik van een lijst met bekende trackingparameters. Wanneer de browser een dergelijke parameter tegenkomt, zoals fbclid, wordt die uit de url verwijderd.
De browserontwikkelaar merkt op dat het meer trackingparameters wil gaan identificeren en blokkeren, en zal hiervoor binnenkort automatische crawlers in gaan zetten. Verder worden er maatregelen genomen om false positives met het verwijderen van de parameters tegen te gaan. De functionaliteit om trackingparameters te verwijderen is alleen aanwezig in de Android- en desktopsversies van Brave.
Alles bij de bron; Security
Het HagaZiekenhuis is opnieuw de fout in gegaan met patiëntgegevens. Twee jaar lang heeft het hospitaal gegevens van patiënten van de KNO-afdeling gedeeld met een bedrijf terwijl dat niet conform de AVG gebeurde. Volgens het ziekenhuis zijn alle betrokken patiënten geïnformeerd. Volgens Omroep West zou het om 6493 mensen gaan.
De patiënten vulden voor een consult vragenlijsten in die waren ontwikkeld door het bedrijf Outcome Measurement. De antwoorden werden zowel in het patiëntendossier als in de database van het bedrijf opgeslagen. Omdat de methode zo succesvol was, wilde het ziekenhuis bekijken of die ook bij andere poliklinieken kon worden gebruikt. Tijdens dat onderzoek bleek dat de vragenlijsten niet aan de AVG-privacyregels voldoen.
Reden voor Haga direct te stoppen met de vragenlijsten en een externe partij in te schakelen om na te gaan hoe het verkeerd is kunnen gaan.
Het is niet de eerste keer dat het ziekenhuis in opspraak raakte vanwege persoonsgegevens. In 2018 werd bekend dat zorgmedewerkers zonder toestemming het dossier van realityster Barbie hadden bekeken. Een medewerker van het ziekenhuis werd vorig jaar ontslagen omdat ze patiëntgegevens in een winkelwagentje van een supermarkt liet liggen. Ze had het papier gebruikt als boodschappenlijstje.
Alles bij de bron; Telegraaf