De Autoriteit Persoonsgegevens (AP) stelt dat het onvoldoende tijd heeft om een goede privacy-toetsing uit te voeren van de CoronaMelder. Het ministerie van VWS streeft ernaar om rond 15 juli een besluit te nemen over de invoering van de corona-app. De AP heeft echter pas afgelopen woensdag 8 juli de laatste benodigde informatie van VWS binnengekregen.
De toezichthouder heeft normaal 8-14 weken nodig om het onderzoek uit te voeren dat hoort bij het soort privacy-impact dat de tracking- en tracing-app van VWS kan hebben. Een woordvoerder weten dat er extra mensen op het dossier van de corona-app zijn gezet, maar dan nog zijn er minimaal enkele weken nodig voor een goede beoordeling.
AP en VWS zijn de afgelopen maanden al vaker met elkaar in botsing gekomen over privacy-zaken rondom coronagerelateerde initiatieven en regulering.
Zo is er ook nog steeds frictie tussen VWS en de AP over de aanpassing van de Telecomwet met een zogeheten noodwet. Hiermee wil de overheid het mogelijk maken om locatiegegevens van klanten van telecomaanbieders op te vragen. Met deze data wil de overheid eenvoudiger bepalen waar mensen met een coronabesmetting woonachtig zijn.
De AP wees begin juli het kabinetsplan af om gegevens van mobiele telefoons te verzamelen voor de bestrijding van de Covid-19 uitbraak. AP-voorzitter Aleid Wolfsen adviseert het kabinet de wet in de huidige vorm niet in te voeren. De kans op herleidbaarheid van de gegevens tot (groepen van) individuele personen is aanwezig. Daarom vindt de AP dat de gegevens niet als anonieme gegevens kunnen worden beschouwd.
Alles bij de bron; ICT&Health
Privacy Company constateerde zes hoge en drie lage privacyrisico's bij een data protection impact assessment voor de mobiele apps voor Office 365 en Office for Web. Het bedrijf voerde die beoordeling uit in opdracht van het Ministerie van Justitie en Veiligheid, dat via zijn Strategisch Leveranciersmanagement Microsoft Rijk afspraken met Microsoft maakt over gebruik van software en diensten voor werkplekken.
Privacy Company bekeek de apps Word, PowerPoint, Outlook, Excel en Teams, in combinatie met online diensten als de spellingchecker, SharePoint Online, OneDrive for Business, Azure Active Directory en Exchange Online. De mobiele Office-apps en Office for Web verzamelen namelijk telemetriegegevens en sturen deze door naar Microsoft-servers. Privacy Company analyseerde de risico’s van de verwerking van deze diagnostische gegevens, niet die van inhoudelijke gegevens.
Daarbij constateerde het bedrijf onder andere dat Microsoft bij Office for the Web persoonsgegevens naar Optimizely en Giphy en bij de mobiele apps verkeer naar zes andere bedrijven stuurt. Geen van deze bedrijven zijn verwerkers en het risico bestaat dat via deze weg gepseudonimiseerde gegevens misbruikt kunnen worden. Sommige telemetriegegevens bleken inhoudelijke gegevens zoals bestands- en gebruikersnamen te bevatten en bij Office for the Web en de mobiele Teams, OneDrive en Office hadden beheerders geen optie om die telemetriedoorgifte te minimaliseren. Privacy Company spreekt onder meer over gebrek aan transparantie over de verzamelde diagnostische gegevens
Microsoft belooft na gesprekken met SLM Microsoft Rijk nog voor het einde van de zomer maatregelen voor drie van de zes hoge risico's door te voeren. De rest volgt later dit jaar. De maatregelen gelden uitsluitend voor Office-diensten en -apps die overheidsorganisaties gebruiken. Privacy Company adviseert bedrijven en organisaties die geen deel uitmaken van de Rijksoverheid via bijvoorbeeld vakorganisaties vergelijkbare privacygaranties te bedingen.
Privacy Company nam ook Microsofts Intune voor beheer van mobiele apparaten onder de loep. Daar kwamen vijf lage privacyrisico's uit. Een van de risico's kwam bijvoorbeeld doordat systeembeheerders de status van een apparaat ongemerkt kunnen wijzigen van ‘persoonlijk’ naar ‘zakelijk’, waarna ze alle geïnstalleerde apps op een apparaat kunnen zien.
Alles bij de bron; Tweakers
Een beveiligingslek in een veelgebruikt platform voor gps-trackers gaf toegang tot miljoenen apparaten, waaronder gps-horloges voor dementiepatiënten en kinderen, zo stelt het Britse securitybedrijf Pen Test Partners dat het probleem ontdekte.
Het beveiligingslek kwam aan het licht nadat de onderzoekers een back-up van de broncode op de website van 3G Electronics aantroffen. SETracker bleek voor de server-to-server communicatie van een API met een hardcoded string gebruik te maken die in de broncode werd aangetroffen. Er was verder geen andere authenticatie of autorisatie vereist om als vertrouwde server commando's te versturen.
De broncode liet verder zien dat er 57 verschillende commando's waren die naar een SETracker-server konden worden gestuurd. De onderzoekers ontdekten ook een commando waarbij het mogelijk is om een apparaat stilletjes te bellen en zo de gebruiker af te luisteren, zonder dat die dit doorheeft.
Naast de mogelijkheid om commando's naar gps-apparaten te versturen vonden de onderzoekers in de broncode ook de MySQL-wachtwoorden van alle databases en inloggegevens voor Aliyun-buckets, de Alibaba tegenhanger van Amazon S3-buckets. Eén van de buckets bevatte informatie van de gps-horloges voor kinderen, met zeer waarschijnlijk ook afbeeldingen van kinderen. De gps-horloges zijn namelijk vaak van een camera voorzien waarbij foto's in de cloud worden opgeslagen. Verder bevatte de broncode root-inloggegevens voor verschillende diensten.
Pen Test Partners waarschuwde 3G Electronics op 22 januari, waarna het Chinese bedrijf op 12 februari reageerde. Op 18 februari was het probleem met de server-API verholpen. Op 20 mei waarschuwden de onderzoekers het bedrijf dat de broncode nog steeds online was te vinden. Negen dagen later meldde 3G Electronics dat het bestand was verwijderd en alle wachtwoorden waren gewijzigd.
Alles bij de bron; Security
Wellicht heb je het blauwe logootje van iDIN al weleens voorbij zien komen. iDIN is een online identificatieprogramma dat is bedoeld om inloggen bij bedrijven en organisaties te versimpelen. De iD staat voor identificeren en IN voor inloggen. Het online hulpmiddel is in 2016 door Betaalvereniging Nederland geïntroduceerd en is in samenwerking met Nederlandse banken ontwikkeld. Inmiddels is iDIN in handen van Currence. Dit bedrijf is ook eigenaar van het merk iDEAL.
Vaak moet je een account aanmaken om bijvoorbeeld toegang te krijgen tot de privéomgeving van je verzekeraar of om een bestelling te plaatsen bij een webshop. iDIN probeert ons dit makkelijker te maken door jou via de beveiligde omgeving van je eigen bank in te loggen, waardoor je geen extra gebruikersnamen of wachtwoorden hoeft te onthouden.
Je kunt iDIN op verschillende manieren gebruiken. Je kunt ermee inloggen, identificeren of je leeftijd bevestigen. Dit doet iDIN met behulp van jouw bankgegevens. Wanneer je kiest voor iDIN als identificatie- of inlogmethode, selecteer je je eigen bank en word je naar het iDIN-startscherm geleid. Je logt in zoals je dat gewend bent van je bank.
Wanneer je je online identificeert met iDIN, krijgt een website gegevens als je naam en adres in te zien via jouw bank. Deze gegevens krijg jij ook te zien voordat je toestemming geeft om deze te delen. Inloggen met behulp van iDIN gaat ongeveer hetzelfde, maar dan hoef je geen persoonlijke gegevens te gebruiken. Je gebruikt dan gewoon de inloggegevens van je bank, die je weer doorverwijst naar de website waar je wilt eindigen.
Als je iDIN gebruikt, kun je altijd zien welke gegevens er precies met andere bedrijven of organisaties worden gedeeld. Het gaat in de meeste gevallen om je naam en adres, maar soms kan er naar je telefoonnummer of e-mailadres gevraagd worden. Hiervoor geef je altijd nadrukkelijk toestemming. Daarnaast krijgen bedrijven geen inzicht in jouw banksaldo of andere financiële gegevens.
Alles bij de bron; Kassa!
Met relatief simpele handelingen is het een promovendus aan de TU Delft gelukt om valse stemmen uit te brengen in de lopende lijsttrekkersverkiezing van het CDA. Door cijfers te wijzigen in stemcodes wist ethisch hacker Jordy San Jose Sanchez ten minste drie valse stemmen uit te brengen. Hij lichtte het CDA in. De lopende verkiezing is daarop gestaakt en wordt vanaf morgen volledig over gedaan.
Kwaadwillenden konden geautomatiseerd valse stemmen uitbrengen. Jordy wijzigde handmatig de stemcodes, door een scriptje te laten draaien dat continu willekeurige cijfers zou invoeren, zouden alle stemmen kunnen worden vervalst. Dit was vooral te wijten aan de lage hoeveelheid mogelijke combinaties. Volgens hem waren met één computer alle stemmen te vervalsen in dertig uur tijd.
Jordy meldde de kwetsbaarheid bij het CDA en liet vervolgens zijn bevindingen toetsen door beveiligingsonderzoekers Tom Wolters en Benjamin Broersma. Zij bevestigden het potentiële gevaar. Hierop besloot het CDA de verkiezing offline te halen.
Alles bij de bron; Computable
...4. Hoe privacyvriendelijk is CoronaMelder?
CoronaMelder heeft toegang tot jouw bluetooth-verbinding en slaat alleen de uitkomst van die digitale dobbelstenen lokaal op jouw toestel op. Verder worden er geen gegevens verwerkt, zo stelt de app. Als je met corona besmet bent, kun je er zelf voor kiezen om jouw dobbelstenen naar de server te uploaden.
Bij Android-toestellen ligt het net wat anders: daar heeft CoronaMelder wel toegang tot de locatie nodig. Dat is nodig omdat apps die via bluetooth naar andere apparaten scannen van Android ook toegang tot de locatie moeten vragen. Dat doet CoronaMelder niet, maar die melding krijg je wel te zien.
Het contact met de server roept ook de nodige privacyvragen op. Een telefoon heeft een naar het apparaat herleidbaar internetadres, ook wel een ip-adres genoemd. En internetproviders zouden kunnen zien wie zijn dobbelstenen naar de server stuurt. Om internetproviders te foppen, stuurt de app soms nepdobbelstenen. Op die manier weten zij niet wie er daadwerkelijk besmet is.
Daarnaast worden ip-adressen bij aankomst van de server direct gefilterd en weggegooid, zo zei Ivo Jansch, de techneut die verantwoordelijk is voor de technische achterkant van de app.
Alles bij de bron; RTL
De site Infectieradar, waarmee het RIVM nieuwe uitbraken van het coronavirus in kaart wilde brengen, blijft voorlopig uit de lucht. Een maand geleden meldde de NOS dat Infectieradar een beveiligingslek bevatte, waardoor de ingevulde formulieren van andere gebruikers konden worden ingezien. Het RIVM haalde de site toen in allerijl offline.
Deelnemers aan Infectieradar gaven één keer per week aan of ze coronaklachten hadden. Bij aanmelding gaven ze bovendien informatie over hun persoonlijke en medische situatie.
Dat het onderzoek nu helemaal stilligt is echter geen probleem, denkt het RIVM. Volgens het instituut zijn er genoeg instrumenten om nieuwe besmettingen in kaart te brengen. Gehoopt wordt wel dat de site in september weer in de lucht is, als de verkoudheidsvirussen de kop weer opsteken.
Alles bij de bron; NOS
Zoom en Microsoft overhandigen voorlopig geen gebruikersdata meer aan de autoriteiten in Hong Kong vanwege de omstreden veiligheidswet. Bij Microsoft gaat het om gegevens uit de Office 365-werkapp en LinkedIn.
Facebook, Google, Twitter en chatapp Telegram hadden al eerder een ‘datapauze’ ingelast en Apple denkt daar nog over na. TikTok heeft besloten zich geheel uit Hong Kong terug te trekken.
Alles bij de bron; Emerce
Het kabinet wuift de kritiek weg op zijn plannen om telecomdata te verzamelen in de strijd tegen het coronavirus. Per uur en per gemeente moet worden ‘geteld’ hoeveel mensen daar zijn (geweest). Als dan later blijkt dat er een besmettingshaard is opgelaaid, kunnen GGD’s worden gewaarschuwd als inwoners uit een bepaald gebied daar op dat moment zijn geweest.
Maar de Autoriteit Persoonsgegevens (AP) heeft grote bezwaren tegen het plan. AP-voorzitter Aleid Wolfsen waarschuwt dat ‘onvoldoende gegarandeerd’ is dat de gegevens die de overheid wil verzamelen anoniem blijven en goed worden beveiligd. Daarnaast heeft het kabinet de ‘noodzaak om deze hypergevoelige data te vergaren’ niet duidelijk gemaakt.
De Jonge bestrijdt de kritiek. ,,De privacy is wél gewaarborgd, er worden geen persoonsgegevens verstrekt.” Hij benadrukt dat de AP bij het schrijven van de wet is geraadpleegd en dat de adviezen van de toezichthouder ‘zo goed mogelijk’ zijn meegewogen.
Aanpassing van het voorstel, dat na de zomer behandeld wordt in de Tweede en Eerste Kamer, ligt dan ook niet voor de hand. ,,Dit is gewoon een goed idee, dat moeten we doen’’, aldus De Jonge. ,,Alle landen om ons heen doen dit ook. Ik ga graag nog een keer in gesprek met de AP om dat toe te lichten.”
De telecomgegevens zouden ‘onherleidbaar’ zijn, telefoonnummers krijgt het RIVM bijvoorbeeld niet te zien. ,,De gegevens worden door de aanbieders ontdaan van alle persoonlijke informatie en daarna opgeteld.” Om de privacy van mensen in dunbevolkte gebieden te waarborgen, worden nergens aantallen onder de 15 gerapporteerd. De aanbieders vernietigen de verzamelde extra gegevens elke dag.
De wet moet voor ‘maximaal een jaar’ gaan gelden. Het gaat om iets anders dan de corona-app. Die moet (vrijwillige) gebruikers waarschuwen als ze dichtbij iemand met het virus zijn geweest.
Alles bij de bron; deLimburger
Een Nederlandse informaticastudent is op verzoek van de Belgische autoriteiten in Amsterdam door de politie aangehouden. De man wordt ervan verdacht meer dan één miljoen gebruikersaccounts van twee Belgische telecomaanbieders en Nederlandse bedrijven te hebben gestolen.
Volgens de Belgische autoriteiten verdiende de student geld door gestolen e-mailadressen aan te vullen met zaken als wachtwoorden, telefoonnummers en bankrekeningnummers, die vervolgens via Telegram-kanalen werden doorverkocht voor een euro per account. Hiervoor zou de student gebruik hebben gemaakt van een database die meer dan 7 miljoen Belgische en Nederlandse e-mailadressen met bijbehorend wachtwoord bevatte. De student, die op heterdaad werd betrapt, zit nu vast. België zal om zijn uitlevering vragen.
Bron; Security