Bankgegevens van zo'n 29.000 Facebook-werknemers zijn gestolen toen een dief harde schijven uit een auto van een werknemer had ontvreemd. Het duurde zeker drie weken voor Facebook de diefstal aan de slachtoffers meldde.
De data werd gestolen nadat een werknemer van de salarisafdeling harde schijven in zijn auto had gelegd. Die schijven waren niet versleuteld, maar het was volgens Facebook ook niet de bedoeling dat schijven op die manier worden meegenomen van kantoor. De diefstal vond plaats op 17 november, en Facebook begon op 20 november een forensisch onderzoek. Daaruit bleek op 29 november dat er werknemersinformatie op de schijven stond. Facebook lichtte die medewerkers vrijdag pas in. Volgens Facebook bevatte de harde schijven geen data van gebruikers van het sociale netwerk.
Alles bij de bron; Tweakers
Justitie heeft door een fout jarenlang veel meer vertrouwelijke telefoongesprekken tussen advocaten en cliënten opgenomen dan eerder werd gedacht. De onderzoekscommissie die de kwestie heeft onderzocht, vermoedt dat het gaat om ongeveer 25.000 gesprekken, schrijft minister Sander Dekker (Rechtsbescherming) vrijdag in een brief aan de Tweede Kamer. Door programmeerfouten werkte de nummerherkenning, die telefoonnummers zou moeten filteren, echter niet goed.
Het gaat om telefoongesprekken die gedetineerden vanuit de cel met een advocaat voeren. Gesprekken tussen advocaten en hun cliënten zijn per definitie vertrouwelijk.
De commissie komt tot een schatting van 25.000 telefoongesprekken tussen gedetineerden en advocaten sinds 2013, het jaar vanaf wanneer de telefoondienst gesprekken zou moeten filteren. Op basis van verdere berekeningen schat de commissie dat justitie 75 gesprekken heeft beluisterd en dat 200 gesprekken met de politie zijn gedeeld, terwijl ook dat vanwege de vertrouwelijkheid niet de bedoeling is.
Voor het huidige telefoonsysteem met filter in 2013 in werking trad, werden gesprekken van gedetineerden standaard opgenomen. In het begin van dat jaar beloofde toenmalig staatssecretaris Fred Teeven (Veiligheid en Justitie) daar verandering in te brengen, waarna het filter sinds oktober 2013 wordt toegepast.
Alles bij de bron; NU
Een Duitse telecomprovider moet een boete van 9,55 miljoen euro betalen. De Duitse privacytoezichthouder BfDI heeft de boete opgelegd, omdat de telefonische helpdesk slecht beveiligd was. Door gebrekkige maatregelen konden kwaadwillenden eenvoudig aan persoonsgegevens van klanten komen.
Mensen die de klantenservice belden, hoefden alleen maar de naam en geboortedatum van een klant op te geven om meer persoonlijke informatie in handen te krijgen. Dat is in strijd met de GDPR, de Europese privacywet. Die vereist dat bedrijven voldoende maatregelen nemen om data te beveiligen.
De slechte beveiliging maakt het voor kwaadwillenden mogelijk om de klantenservice te misbruiken voor eigen gewin. Deze techniek wordt ook wel social engineering of social hacking genoemd, omdat de menselijke schakel in het proces 'gehackt' wordt om informatie te winnen.
Alles bij de bron; NU
Facebook zal geen backdoor toevoegen waardoor overheden toegang tot versleutelde berichten kunnen krijgen, zo heeft de social netwerksite op een verzoek van de Amerikaanse, Australische en Britse autoriteiten laten weten. De landen vroegen Facebook afgelopen oktober in een open brief om geen end-to-end-encryptie voor de verschillende berichtendiensten uit te rollen...
...Facebook heeft nu een reactie gegeven. Daarin laat het techbedrijf weten dat experts herhaaldelijk hebben bewezen dat het verzwakken van een versleuteld systeem voor alle gebruikers gevolgen heeft. "De 'backdoor' toegang die jullie voor justitie eisen zou een geschenk voor criminelen, hackers en repressieve regimes zijn, waardoor ze een manier krijgen om onze systemen binnen te dringen en iedereen op ons platform echt gevaar te laten lopen. Het is gewoon onmogelijk om een backdoor voor één doel te ontwikkelen en niet te verwachten dat anderen er gebruik van zullen maken", aldus Facebook. De sociale netwerksite zegt verder dat het justitie wil helpen, zolang het rechtsgeldig is en het niet de veiligheid van gebruikers ondermijnt (pdf).
Alles bij de bron; Security
Wereldwijd zijn in 2019 meer dan 4 miljard persoonlijke gegevens gelekt. Statistisch gezien betekent dat één op de twee personen het slachtoffer werd van cybercriminaliteit. Dat blijkt uit een groot beveiligingsrapport van SecureLink.
De onderzoekers stelden vast dat cybercriminelen stilaan een kantoorjob hebben. De aanvallen gebeuren voornamelijk tussen 9 en 5 uur ...
Bron; BelangvLimburg
De gegevens van Belgische en Nederlandse klanten die een paar jaar geleden online speelgoed kochten, worden door een hacker te koop aangeboden op het internet.
Het gaat om persoonlijke gegevens en bepaalde aankopen van mensen. De overgrote meerderheid van de producten werden gekocht bij een lokale Nederlandse ondernemer via onder meer webwinkel Bol.com. Het bestand met klantengegevens wordt aangeboden op een gespecialiseerd hackersforum op het internet, waar de oplichter beweert een 'bol.com-database' te hebben.
Na intern onderzoek bij de webshop zelf blijkt dat het datalek zit bij partner Toppie Speelgoed. Wie rechtstreeks bij Toppie Speelgoed kocht, duikt ook met e-mailadres en telefoonnummer op in de lijst, als dat bij de aankoop werd achtergelaten. Wie via Bol.com een product kocht, enkel met naam en afleveradres. Dat komt omdat Bol.com slechts beperkte gegevens naar externe partners stuurt.
In het bestand kan je zien wat mensen gekocht hebben, wat hun voor- en achternaam is en soms ook wat de aankoop kost. Daarnaast zijn ook bezorggegevens beschikbaar. Ook zie je welke betalingswijze mensen hebben gekozen, zoals een kredietkaart of bancontact. Volgens Bol.com is de impact van het lek voor haar klanten beperkt omdat de hele dataset geen paswoorden, accounts, e-mailadressen en geen bankrekeningnummers bevat van Bol.com-klanten.
Alles bij de bron; VRT
De Gedragscode Gezondheidsonderzoek geeft onderzoekers sinds 2004 regels waarmee ze verantwoord om kunnen gaan met persoonlijke gegevens. Een nieuwe gedragscode is dringend nodig.
Nieuwe privacywetgeving heeft voor veel onduidelijkheid in het onderzoek gezorgd, en allerlei nieuwe onderzoeksvormen en -technieken zijn in opkomst. Denk maar aan het verzamelen van gegevens via apps, genetica en artificial intelligence. De gedragscode geeft een praktische vertaling van de wettelijke en ethische kaders voor verwerking van persoonsgegevens in richtlijnen voor onderzoekers. Dat is niet alleen voor de onderzoekers van belang, maar ook voor betrokkenen, zoals patiënten en onderzoeksdeelnemers.
Naast COREON, de Commissie Regelgeving in Onderzoek van de Federatie van medisch-wetenschappelijke verenigingen, zullen ook andere organisaties die betrokken zijn bij gezondheidsonderzoek betrokken worden bij de ontwikkeling van de code.
Tijdens het proces wordt regelmatig overlegd met de Autoriteit Persoonsgegevens. De Gedragscode wordt naar verwachting in het eerste kwartaal van 2021 afgerond en gepubliceerd. Daarna zijn de betrokken organisaties samen met COREON verantwoordelijk voor de invoering en naleving van de Gedragscode. Voor meer informatie, zie https://www.coreon.org/codegoedgedrag/
Alles bij de bron; EMerce
TikTok overtreedt de AVG op diverse manieren met zijn manier van gebruikers tracken en doorsturen van data. Dat claimt de Duitse krant Süddeutsche Zeitung.
TikTok heeft ongeveer 800 miljoen gebruikers wereldwijd, meldt Süddeutsche Zeitung op basis van een intern document. De auteur gaat in een reeks tweets in op hoe TikTok precies gebruikers trackt en waar die data heen gaat. Data over bekeken video's en zoektermen gaat naar Facebook en AppsFlyer. Dat laatste is een bedrijf dat zaken doet met 4500 advertentiebedrijven. TikTok-eigenaar ByteDance wil niet zeggen naar welke bedrijven de data gaat. "We laten geen contracten zien", aldus het bedrijf.
Het tracken gebeurt via identifiers in url's en via canvas- en audio-fingerprinting. Daarbij tekent de app op de achtergrond een png of laat hij de telefoon een geluid voortbrengen zonder input van de microfoon of output van de luidsprekers. Die combinatie van data is uniek per telefoon, zodat TikTok individuele telefoons kan volgen. Omdat ByteDance en Facebook niet kunnen laten zien waar de data heen gaat en geen manier geven om die te verwijderen, overtreden de bedrijven volgens de krant de Algemene Verordening Gegevensbescherming. Ook zegt de krant dat TikTok diverse stukken software gebruikt zonder licentie, waaronder Zepto.js, FingerprintJS en Murmur Hash.
Inmiddels hebben enkele ouders in de VS TikTok aangeklaagd wegens het verzamelen van data over hun minderjarige kinderen zonder toestemming.
Alles bij de bron; Tweakers
De AIVD en MIVD lopen nog steeds risico op overtreding van de Wet op Inlichtingen- en Veiligheidsdiensten. De toezichthouder op de inlichtingendiensten zegt dat de diensten zoveel bulkgegevens hebben bewaard dat die niet snel genoeg verwijderd worden.
Het rapport is afkomstig van de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, de CTIVD. Die bekijkt ieder half jaar of de AIVD en MIVD zich houden aan de Wiv 2017, ook wel bekend als de sleepwet.
De diensten lopen op verschillende vlakken risico dat er misbruik kan worden gepleegd met persoonsgegevens. In één geval overtreden de diensten actief de wet. Die overtreding betreft de bulkdatasets die worden verzameld. De diensten bewaren die te lang. Dat komt omdat het om te veel gegevens gaat, concludeert de Ctivd. Bulkdatasets zijn verzamelingen die zijn vergaard via ongerichte interceptie, wat in de volksmond het 'sleepnet' wordt genoemd: data die op grote schaal worden verzameld om te kijken of daar gegevens over een doelwit tussen zitten. De diensten moeten bij die sets binnen een jaar bepalen of ze relevant zijn voor een onderzoek. Alles dat niet relevant is moet worden verwijderd. "Dit vereiste is echter in de praktijk niet goed uitvoerbaar. Het gaat om te veel gegevens", schrijft de toezichthouder. Datasets worden daarom langer bewaard. Het helemaal verwijderen ervan zou leiden tot 'operationele risico's'.
Volgens de toezichthouder zijn de verzamelde datasets wel rechtmatig verzameld. "Alleen het tijdig vernietigen gaat niet volgens de wet", zegt een woordvoerder.
De AIVD en zijn militaire tegenhanger MIVD hebben al vaker kritiek gekregen van de toezichthouder. In oktober bleek bijvoorbeeld al dat de AIVD onrechtmatig handelde rondom het verstrekken van gegevens aan buitenlandse inlichtingendiensten, dat beide diensten risico liepen om te vaak ongericht af te tappen, en dat er een hoog risico bestaat op misbruik van algoritmes.
Alles bij de bron; Tweakers
Twitter geeft toe dat er 'ruimte voor verbetering' is als het om privacyvriendelijkheid gaat, schrijft het bedrijf in een blogpost. Met het nieuwe Privacy Center wil Twitter duidelijker maken wat het doet om de privacy van gebruikers te beschermen, welke nieuwe tools er voor hen beschikbaar komen, en hoe Twitter omgaat met beveiligingsincidenten. Twitter wil zich in de toekomst ook richten op het oplossen van oude, bestaande problemen, en het wil meer privacy by design toepassen op nieuwe producten die het bouwt.
Twitter verandert vanaf 1 januari volgend jaar ook zijn privacyvoorwaarden. Daarin wordt een beter onderscheid gemaakt tussen de Europese en de internationale markt. Europese gebruikers vallen daarmee onder een andere entiteit, waardoor Twitter straks nieuwe instellingen en features voor alleen die groep kan testen. Dat is vooral handig in verband met de AVG.
Eerder al had het sociale netwerk wel last van een aantal dataschandalen. Zo werd in oktober bekend dat e-mailadressen en telefoonnummers werden misbruikt voor advertenties. Ook krijgt het bedrijf al jaren kritiek op het feit dat veel gebruikers zeggen zich er niet veilig te voelen, omdat Twitter te weinig mogelijkheden biedt om intimiderend gedrag te voorkomen.
Alles bij de bron; Tweakers