De website van een Nederlandse vermogensbeheerder is lek. Nobel Vermogensbeheer, dat particulieren en ondernemingen bedient die minstens 100.000 euro kunnen beleggen, heeft informatie op internet staan die niet voor de buitenwereld is bedoeld. Zo was op de website een persoonlijke brief aan een klant te lezen. Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land.

De brief is gericht aan een winkelier die zijn zaak heeft gesloten en voorbereidingen treft voor zijn pensioen. ‘Persoonlijk’ staat erboven en de ondertekening is van directeur Suzanne Band en een vermogensbeheerder van Nobel. De brief schetst de vermogenspositie van de winkelier en noemt allerlei bedragen. Bijvoorbeeld over de hypotheken van de winkelier zelf en een van zijn kinderen. De brief stond tot gisteren in een map die publiek toegankelijk is en door Google te vinden is.

Ook stond er per abuis een handleiding online waarin Nobel de IT-procedures en de gebruikte computersystemen beschrijft. Deze procedures moeten het risico beheersen “dat dataverlies ontstaat vanwege falende of gebrekkige procedures en systemen in combinatie met tekortschietende interne controles.” Dit document is voor intern gebruik...

...in allerlei mappen zijn computerbestanden zichtbaar, onder meer met een verouderde softwarebibliotheek genaamd ‘PHPExcel’. De ontwikkelaars ervan ontraden al twee jaar om het nog te gebruiken. Opgeteld wijzen deze voorbeelden op een slordige en riskante manier van werken. Nobel heeft de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten op de hoogte gesteld. Ook heeft Nobel contact gezocht met de klant en de brief verwijderd.

Alles bij de bron; Trouw


 

Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten.

Gisteren verschenen de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt.

De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder en met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen.

De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is.

Alles bij de bron; Security


 

Een reserveringssysteem dat door tal van hotels, reisbureaus en accommodaties wordt gebruikt heeft via een open database 179GB aan data van hotelgasten en reizigers gelekt. De database was afkomstig van AutoClerk, een reserveringssysteem dat eigendom van Best Western Hotels is en door allerlei partijen en externe platformen wordt gebruikt.

Onderzoekers van vpnMentor ontdekten de database, die miljoenen records bleek te bevatten. Het ging onder andere om naam, geboortedatum, adresgegevens, telefoonnummer, datums, reiskosten, gemaskeerde creditcardgegevens, kamernummers en inchecktijd.  

In één van de databases werden persoonsgegevens en reisplannen van Amerikaanse overheids- en militair personeel gevonden. Het ging onder andere om gegevens van Amerikaanse generaals, waaronder hun e-mailadressen, telefoonnummers en andere gevoelige persoonlijke data.

De database werd op 13 september ontdekt, waarna het United States Computer Emergency Readiness Team (US-CERT) werd benaderd. De onderzoekers stellen dat US-CERT niets met de melding deed. Vervolgens benaderden de onderzoekers op 26 september een contact bij het Pentagon, waarna de database op 2 oktober werd beveiligd.

Alles bij de bron; Security


 

Vroeger – opa vertelt – was een briefje van de dokter de normaalste zaak van de wereld. Mijn oude school was tuk op die briefjes, herinner ik mij, bij leerlingen die geen zin (of echt een probleem) hadden om mee te doen met gym. Maar toen ik laatst zo’n briefje wilde hebben voor mijn annuleringsverzekering, kreeg ik nul op het rekest van mijn huisarts. Ik kwam niet eens verder dan zijn assistente: “Privacyregels, meneer!”

Vreemd. Privacyregels? Maar welke dan? Als ik zélf om een doktersverklaring vraag, waarin de dokter bevestigt dat ik om gezondheidsredenen dit of dat niet kan doen, dan geef ik daarmee toch (impliciet) toestemming om mijn gegevens te delen met anderen? En ik kan toch zélf bepalen aan wie ik zo’n verklaring doorgeef? Ik ken geen enkele privacyregel die met zo’n briefje geschonden wordt...

...En zoals ik al vermoedde: met privacy heeft zo’n geweigerde verklaring weinig tot niets te maken. Het blijkt gewoon een richtlijn te zijn van de artsenfederatie KNMG [KNMG-richtlijn ‘Omgaan met medische gegevens’, KNMG, mei 2018 – p.20]. Daarin wordt de amices afgeraden om geneeskundige verklaringen af te geven. Niet vanwege de AVG, maar omdat artsen niet voor het karretje van de patiënt gespannen willen worden. 

Moraal van dit verhaal: ‘privacy’ wordt tegenwoordig vaak met de haren erbij gesleept, als het gaat om dingen die geweigerd of verboden worden. Op zich is dat winst! De invoering van de AVG heeft kennelijk een heel nieuw privacy-bewustzijn opgeleverd. Maar je moet het niet overdrijven natuurlijk. Zeker niet als er eigenlijk heel andere belangen spelen.

Alles bij de bron; PlatformBurgerrechten


 

BriansClub, een site die gegevens verhandelt van gehackte creditcards en bankkaarten, is zelf gehackt. De buitgemaakte gegevens, zo'n 26 miljoen creditcardgegevens, zijn door de aanvallers doorgestuurd naar betrokken banken zodat de kaarten geblokkeerd kunnen worden.

Volgens Gemini Advisory, dat de zwarte markt in kaartgegevens probeert bij te monitoren, bestaat BriansClub al meerdere jaren. De site verkoopt onder meer 'dumps', reeksen van nullen en enen die op magnetische kaarten kunnen gezet. Met die kaarten kan je vervolgens aankopen doen, met andermans geld. De site zou zo'n 126 miljoen dollar aan bitcoin hebben binnengehaald sinds 2015. De buitgemaakte database is overgemaakt aan de banken, waardoor ze nu onbruikbaar is.

Alles bij de bron; DutchIT


 

Niet alleen politie of douane kunnen tegenwoordig het chipgedeelte van paspoort of rijbewijs scannen. Dankzij simpele telefoonapps lezen ook gewone burgers gegevens, zoals geboortedatum en pasfoto, gemakkelijk uit. Deskundigen slaan alarm.

Veel van de apps claimen de persoonsgegevens alleen op het apparaat zelf te verwerken en niet te versturen naar anderen, maar concreet toezicht daarop ontbreekt. Onbedoeld weglekken van informatie naar kwaadwillenden ligt op de loer.

Vooral in het uitlezen van het burgerservicenummer (bsn) ziet de Autoriteit Persoonsgegevens een risico op identiteitsfraude. Bij oneigenlijk gebruik zouden anderen bijvoorbeeld een bankrekeningnummer kunnen openen of contracten kunnen aangaan onder een valse naam, laat een woordvoerder van de toezichthouder weten. 'Ik vind het bestaan van de apps schokkend', zegt Vincent Böhre, directeur van de privacy-organisatie Privacy First.

Alles bij de bron; FD [scan


 

De inlichtingendiensten AIVD en MIVD hebben fouten gemaakt bij het verstrekken van gegevens aan buitenlandse diensten. Daaraan kleven risico’s voor de rechtsbescherming van burgers over wie gegevens worden verstrekt.

Dit schrijft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een dinsdag verschenen rapport. Daarin signaleert de CTIVD tekortkomingen bij de omgang van de inlichtingendiensten met zogeheten „ongeëvalueerde gegevens”. Dat is informatie die de diensten niet zelf hebben beoordeeld, ook niet op het risico voor de rechtsbescherming van burgers. Dat kan een nog groter probleem worden omdat de AIVD en de MIVD steeds grotere hoeveelheden data krijgen „door de digitalisering van de samenleving”...

...Zo hebben enkele verstrekkingen plaatsgevonden zonder toestemming van de betreffende minister en is in enkele gevallen het onderliggende verzoek om toestemming niet goed gemotiveerd. Het is volgens de CTIVD van groot belang om de procedures zorgvuldig te volgen, omdat de AIVD en de MIVD steeds grotere hoeveelheden gegevens kunnen verwerven. 

Alles bij de bron; NRC


 

Medewerkers van Amazon in India en Roemenië kijken naar fragmenten van beelden die de Amazon Cloud Cam opneemt, meldt Bloomberg op basis van gesprekken die met medewerkers van de techgigant werden gevoerd. Met de Amazon Cloud Cam kan op afstand bekeken worden wat er in huis gebeurt. Ook kan de camera een melding afgeven als er activiteit in huis gedetecteerd wordt.

Om beter te kunnen detecteren of er daadwerkelijk een indringer in huis is, moet de Cloud Cam getraind worden. Daarom analyseert Amazon deze beelden laat een woordvoerder weten. De techgigant benadrukt dat dit alleen wordt gedaan bij beelden die vrijwillig door gebruikers gedeeld worden.

De medewerkers waar Bloomberg mee heeft gesproken betwijfelen dit, omdat ze soms beelden moesten bekijken waarvan het onwaarschijnlijk is dat de gebruiker ze wilde delen. Hierbij ging het bijvoorbeeld om beelden van mensen die seks hadden.
 
Alles bij de bron; NU

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha