Agentschap Telecom liet 22 veelgebruikte apparaten onderzoeken in de categorieën: routers, slim speelgoed, IP-camera’s, slimme sloten, babyfoons en slimme thermostaten.
Zeventien van de 22 apparaten scoorden matig tot zeer slecht op het gebied van basisveiligheid en privacyaspecten. In totaal vijf onderzochte apparaten zijn relatief veilig: bij de thermosstaat Nest Learning V3 en de babyfoon Alecto IVM-100 troffen de onderzoekers zelfs geen beveiligingsproblemen aan. Fabrikanten en leveranciers van onveilige apparaten zijn op de hoogte gesteld.
Veel apparaten maken gebruik van slecht beveiligde verbindingen en standaardinstellingen die niet veilig zijn. Het uitvoeren van een update is vaak omslachtig. Hierdoor zijn persoonlijke gegevens of zelfs wachtwoorden te bekijken en kan de besturing worden overgenomen. Dat maakt apparaten kwetsbaar voor infecties en ongewenste toegang.
Gebruikers van IoT-apparatuur kunnen zelf veel doen om hun apparatuur minder kwetsbaar te maken voor ongewenste toegang en cyberaanvallen. In het rapport staat een aantal tips: voer regelmatig updates uit, kies een sterk wachtwoord, deel zo min mogelijk informatie met het apparaat en koppel het apparaat niet onnodig aan een netwerk. Veel apparaten hoeven voor gebruik niet online te zijn.
Alles bij de bron; RijksOverheid
Door een datalek bij de provincie Zuid-Holland zijn de persoonlijke gegevens van Provinciale Statenleden en hun medewerkers 'tijdelijk onvoldoende beschermd' geweest. Om hoeveel politici en hun medewerkers het gaat, is niet duidelijk. Wel is de brief aan alle provinciale fracties gestuurd die momenteel in het provincieparlement actief zijn. Mogelijk zijn ook oud-Statenleden en hun medewerkers aan het lek blootgesteld.
Het ging om een lek in het IT-systeem van de provincie, waarin de persoonsgegevens worden geregistreerd 'voor de salarisverwerking, het verstrekken van toegangspassen en IT-middelen'. Voor zover bekend ging het om een intern lek, dus alleen medewerkers van de provincie hebben informatie kunnen verkrijgen die zij niet voor hun werk nodig hebben.
Het datalek is ontdekt door een alerte medewerker van de provincie, die opmerkte dat hij meer gegevens kon inzien dan nodig was voor zijn werkzaamheden. Hij heeft daarvan melding gedaan bij de provincie.
Statenlid Jeremy Mooiman vroeg onlangs nog aandacht voor de beveiliging van het IT-systeem van de provincie, nadat de provincie voorkwam op de Faalkaart, een lijst met overheden die slecht scoren als het gaat om ICT-beveiliging.
Mooiman: 'Op de Faalkaart is te zien dat onze provincie in de slechtste categorie valt. Als naar de data wordt gekeken blijkt dat op 22-8-2019 (week 34) er 224 risico’s zijn waargenomen, waarvan 29 'hoog risico' en 76 'gemiddeld risico'. Zuid-Holland is hiermee de derde meest kwetsbare provincie.'
Alles bij de bron; Rijnmond
De persoonlijke gegevens, waaronder namen, adressen, telefoonnummers en e-mailadressen van twintig miljoen inwoners van Ecuador zijn opnieuw gevonden op een onbeveiligde server. De onbeveiligde server stond in Duitsland en werd volgens twee Israëlische beveiligingsonderzoekers gebruikt door het Ecuadoriaanse bedrijf DataBook.
Eerder in september ontdekten dezelfde onderzoekers dat de data van 20,8 miljoen Ecuadorianen was te vinden op een onbeveiligde server van een ander bedrijf, Novaestrat. In hoeverre de data uit de twee lekken overeenkomen, is onduidelijk.
Alles bij de bron; NU
Nextdoor is in alles een typisch techbedrijf uit Silicon Valley. Het motto klinkt prachtig en maatschappelijk verantwoord: „Nextdoor enables truly local conversations that empower neighbors to build stronger and safer communities.” Nextdoor wil de wereld verbeteren, onder meer door te helpen burgers „uit een sociaal isolement te halen”, vertelt Nextdoor-baas Sarah Friar in een telefonisch interview...
... Er is ook een keerzijde. Discussies over overlast hebben er de neiging uit de hand te lopen. Privacyorganisaties als Bits of Freedom zijn kritisch over Nextdoor. Soms worden er herkenbare foto’s van ‘verdachte personen’ geplaatst en burgers zouden elkaar onnodig bang maken. „Nextdoor is een bedrijf dat geld verdient aan ons gevoel van onveiligheid”, zegt Esther Crabbendam van Bits of Freedom. De politie roept gebruikers op vooral voorzichtig te zijn met wat ze delen op Nextdoor.
Onder gebruikers blijkt nogal wat bezorgdheid over de manier waarop Nextdoor met data omgaat. 3.300 Nederlanders vulden dit jaar een formulier in om hun data te kunnen inzien of te verwijderen via My Data Done Right, een project van Bits of Freedom. Daarmee was Nextdoor koploper wat betreft verzoeken tot inzage in of verwijdering van opgeslagen data.
...en belooft Nextdoor: privacy wordt belangrijker nu het bedrijf zo hard groeit. Nextdoor organiseerde onlangs ‘huiskamergesprekken’ met leden om over privacy te praten. De vraag is, zegt Van de Paal, moet je alles willen weten van je buren? Wanneer wegen de voordelen niet meer op tegen de nadelen? „Zoals iemands huisnummer. Dat kun je nu zien in Nextdoor. De vraag is of we dat nog wel willen.”
Zo gaat het vaker bij dit soort techbedrijven, meent onderzoeker Martijn Arets, verbonden aan de Universiteit Utrecht en gespecialiseerd in platformeconomie. „Er gaat iets mis. Het komt in de media. En pas dan wordt het aangepast en gaat het beter. Bij zo’n brief denken ze niet vooraf: is dat nou strategisch wel zo handig? Online platformen leren altijd op kosten van de gebruiker.”
Alles bij de bron; NRC
De Amerikaanse dataspecialist Alex Pentland ziet de gevaren van een wereld die door data wordt gedreven. Maar als burgers hun persoonlijke gegevens bundelen, ontstaan ook mogelijkheden.
Alex Pentland stond aan de wieg van het Media Lab van het Massachusetts Institute of Technology. Hij is adviseur van de secretaris-generaal van de Verenigde Naties. Zijn ideeën lagen mee aan de basis van de General Data Protection Regulation (GDPR), de Europese regels voor het beheer en de beveiliging van persoonlijke data. En in zijn boek ‘Social Physics’ uit 2015 bestudeerde hij al het sociaal gedrag aan de hand van beschikbare data.
Alles bij de bron; deTijd [longread]
Google gaat maatregelen nemen om de privacy van Google Assistant-gebruikers beter te beschermen in de toekomst. Het zal wel blijven luisteren naar audiofragmenten, maar iedereen moet daar expliciet toestemming voor geven.
Gebruikers zullen vanaf nu zelf kunnen instellen of zij Google toestemming willen geven om mee te luisteren met Google Assistant. Google luistert al jarenlang mee naar conversaties tussen gebruikers en de virtuele spraakassistent. Het doet dit naar eigen zeggen om de spraaktechnologie te verbeteren. De AI analyseert deze audiofragmenten om menselijk gedrag beter te kunnen imiteren.
Alles bij de bron; TechPulse
De medewerker van het Haga-ziekenhuis die eerder deze maand papieren met patiëntengegevens liet liggen in een winkelwagentje van een supermarkt, is ontslagen.
De medewerker had de dienstoverdracht gebruikt als boodschappenlijstje. In de overdracht stonden allerlei privacygevoelige gegevens zoals de namen van patiënten, de behandelend arts, de reden voor opname en ook welke medicatie werd verstrekt.
Een andere klant van het winkelcentrum in Rijswijk vond de papieren met de vertrouwelijke gegevens en bracht ze naar de politie.
Alles bij de bron; NOS
De directeur en een medewerker van een Brits cameratoezichtbedrijf zijn maandag veroordeeld tot een celstraf van respectievelijk veertien en vijf maanden voor het opzoeken en verspreiden van beelden van de overleden Argentijnse voetballer Emiliano Sala.
Uit onderzoek bleek dat de directeur van het bedrijf de beelden illegaal had opgezocht en er foto's van had gemaakt, die zij via Facebook Messenger deelde.
Alles bij de bron; NU
Gegevens van deelnemers van de Dam tot Damloop waren gemakkelijk in te zien door derden omdat de app slecht beveiligd was, ontdekte de NOS.
De slechte beveiliging maakte het mogelijk om e-mailadressen, namen en geboortedata in te zien. Het lek zat in het gedeelte van de app waarmee gebruikers deelnemers konden volgen. De zoekfunctie van dit gedeelte was niet goed beschermd tegen misbruik.
NOS wist de e-mailadressen van zo'n vierduizend deelnemers op te vragen. Na melding heeft de app-ontwikkelaar het gat gedicht.
Alles bij de bron; NU
RTL nieuws meldt dat 14.000 slimme camera's in Nederland van de merken Apexis en Sumpple een lek hebben. De database waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken.
Niet alleen is het wachtwoord van de database buitengewoon zwak, maar de database bevat ook de locatiegegevens van het apparaat en het e-mailadres waaraan hij gekoppeld is, waardoor het relatief eenvoudig is om degene die bekeken wordt ook op te sporen. Wie toegang heeft tot de camera, kan niet alleen meekijken, maar ook de camera draaien en door de babyfoonspeaker praten. Omdat de database zelf zo slecht beveiligd is, helpt het voor gebruikers niet om hun wachtwoord te veranderen.
De 14.000 camera's staan in Nederland, maar wereldwijd zou het gaan om 'vele honderdduizenden', aldus de nieuwssite. De camera's werden verkocht bij Bol.com, Amazon en Aliexpress. Ook Trust koopt de camera's in, maar gebruikt zijn eigen inlogsysteem, waardoor het buiten schot blijft.
Apexis is het moederbedrijf van Sumpple, en om die reden delen de twee bedrijven ook een database. De twee hebben niet gereageerd op contactverzoeken van hackercollectief The Arcanum Group, dat het lek in augustus ontdekte, noch op de verzoeken van RTL Nieuws.
Alles bij de bron; Tweakers