45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit
  • Home
  • Internet enTelecom

Internet en Telecom

Tool die politie gebruikt voor uitlezen telefoons te koop op eBay

Een tool die politiediensten wereldwijd gebruiken voor het uitlezen van Androidtoestellen, iPhones en andere telefoons wordt op eBay te koop aangeboden en de tweedehands apparaten bevatten in sommige gevallen nog data van eerdere onderzoeken. 

Het gaat om de Universal Forensic Extraction Device (UFED) van het Israëlische bedrijf Cellebrite. Het apparaat wordt onder andere door het Nederlands Forensisch Instituut (NFI) gebruikt en de politie. Zo werd enkele jaren geleden bekend dat het NFI de tool gebruikte voor het uitlezen van BlackBerry-smartphones.

Beveiligingsonderzoeker Matthew Hickey kocht zo'n tien stuks en analyseerde die. Hij vond achtergebleven informatie, zoals welke toestellen waren onderzocht, wanneer en wat voor soort data was uitgelezen. Ook IMEI-codes werden door de onderzoeker gevonden. De reden dat de apparaten worden aangeboden is dat er nieuwe versies verschijnen.

Alles bij de bron; Security


 

Privacy, bij ruim 100k Chrome-extensies (g)een issue

Van de 120.000 Chrome-extensies hebben ruim honderdduizend geen privacybeleid. Met andere woorden: een kleine 85 procent. Maar dat is misschien nog niet het ergste: 38.000 extensies gebruiken libraries van derden met bekende kwetsbaarheden en 42.000 van de extensies leest alle data op bezochte websites. 

Sommige extensies zie je praktisch op elke computer. In enkele gevallen kun je er niet omheen dat een applicatie data moet filteren, zoals bij een adblocker. Toch drukt het je als eindgebruiker weer even met de neus op de feiten: installeer niet alles zomaar!

Het beveiligingsbedrijf dat de implicaties onderzocht heeft een app ontwikkeld die extensies kan scannen en beoordelen op problemen. Deze is te vinden op: crxcavator.io.

Alles bij de bron; Computable


 

Miljoenen Indiase burgerservicenummers op straat na groot datalek

De persoonlijke identificatienummers van miljoenen mensen uit India liggen op straat na een datalek bij de oliemaatschappij Indane. Zeker 5,8 miljoen van de identificatienummers zijn inzichtelijk via het lek. Dat aantal kan mogelijk oplopen naar 6,7 miljoen.

Het gaat bij het lek om zogeheten Aadhaar-nummers. Dat is een vertrouwelijk nummer dat wordt gebruikt om mensen bij de overheid te identificeren, net als bijvoorbeeld het Nederlandse burgerservicenummer. 

Het is niet voor het eerst dat er Aadhaar-nummers lekken. Afgelopen jaar was de database met de nummers direct inzichtelijk via een lek bij een energiemaatschappij.

Alles bij de bron; NU


 

Twitter bewaart door gebruikers verwijderde privéberichten

Privéberichten die Twittergebruikers naar elkaar sturen en vervolgens verwijderen zijn niet echt weg. De microbloggindienst blijkt ze te bewaren, zo ontdekte onderzoeker Karan Saini. Ook privéberichten van opgeheven en geschorste accounts worden door Twitter bewaard.

Saini vond jaren oude berichten in een bestand van een archief van zijn gegevens. De onderzoeker spreekt van een "functionele bug" in plaats van een beveiligingslek. Gelijktijdig is het ook een privacyzaak, aangezien verwijderd niet echt verwijderd betekent. In een reactie tegenover TechCrunch laat Twitter weten dat het de zaak onderzoekt.

Alles bij de bron; Security


 

20 miljoen gebruikers fotosite EyeEm slachtoffer datalek

Aanvallers wisten vorig jaar februari toegang tot een database van de site te krijgen die bijna 20 miljoen unieke e-mailadressen, namen, gebruikersnamen, profielomschrijvingen en wachtwoordhashes bevatte.

Dat laat onderzoeker Troy Hunt weten. Hij is de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in zo'n 6,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de ruim 19,6 miljoen unieke e-mailadressen die in de database voorkwamen was 44 procent al via een ander datalek bij Have I Been Pwned bekend.

Naar aanleiding van het datalek besloot EyeEm de wachtwoorden van gebruikers te resetten. Hoe de aanvallers toegang tot de database wisten te krijgen is niet door de fotosite bekendgemaakt.

Alles bij de bron; Security


 

De huiskamer wordt 'slim'. Maar wat doen bedrijven met de verzamelde data?

Nederlanders bezitten inmiddels voor 1,7 miljard euro aan smart-home-apparaten, de markt is in 2018 met 70 procent gegroeid, becijferde onderzoeksbureau Multiscope vorige week. Daarbij helpt het dat Google afgelopen oktober een Nederlandstalige slimme speaker op de markt bracht.

Allerlij apparaten laten zich via zulke praatpalen aansturen. De praatpaal waarin de digitale assistent met vrouwenstem huist, stuurt alle tekst die volgt op het ontwaakcommando, zoals ‘hey Google’, door naar het moederbedrijf. Google verzamelt die gegevens om de assistent te verbeteren. Hetzelfde geldt voor Amazon met zijn assistent Alexa en Apple met Siri. 

Gesproken teksten zijn niet de enige intieme data die techbedrijven uit slimme woningen vissen. Dat geldt ook voor videobeelden van babycamera’s en met camera’s uitgeruste slimme deurbellen. Voor energiegegevens van slimme thermostaten

Wat bedrijven precies met die gegevens doen? Dat is volslagen intransparant, volgens Colette Cuijpers, lector recht en digitale technologie bij de Juridische Hogeschool Avans-Fontys en gerust is ze er niet op. Hoe meer bedrijven van iemand weten, hoe beter ze diegene kunnen profileren en vervolgens ‘manipuleren’ om producten te kopen, redeneert Cuijpers.

Ter illustratie wijst ze op een rapport van de Universiteit van Colorado uit 2008, dat laat zien hoe dagelijkse handelingen zijn te achterhalen uit energiegegevens. Specifieke apparaten leveren bij het aan- en uitzetten herkenbare energiepieken en -dalen op. Het gebruik van grote huishoudelijke apparaten door de dag heen is daarmee te traceren ‘met herkenningsnauwkeurigheden die de perfectie benaderen’.

Alles bij de bron; Volkskrant


 

Gezichtsherkenningsbedrijf lekt database met privégegevens

Een Chinees bedrijf dat gezichtsherkenningssystemen ontwikkelt heeft een database met miljoenen privégegevens van gevolgde mensen gelekt. De Nederlandse beveiligingsonderzoeker Victor Gevers vond een onbeveiligde database van SenseNets Technology.

De database bevatte 2,5 miljoen records van mensen met persoonlijke informatie zoals identiteitskaartnummer, waaronder uitgifte- en verloopdatum, land, adres, geboortedatum, pasfoto, werkgever en welke locaties met trackers de personen in de afgelopen 24 uur hadden gepasseerd. In deze periode werden meer dan 6,7 miljoen locaties gelogd. Gelogde locaties waren onder andere politiebureaus, hotels, parken, internetcafés, moskeeën en toeristische locaties. In totaal ontdekte Gevers meer dan duizend unieke apparaten om mensen te volgen, zo laat hij aan Cnet weten.

Uit de loggegevens zou blijken dat meer mensen in de afgelopen periode de onbeveiligde database hebben gevonden. Inmiddels is de database niet meer toegankelijk.

Alles bij de bron; Security


 

740 miljoen gebruikersgegevens te koop op dark web

Daags na bekendwording van een eerste grote hoeveelheid gebruikersgegevens die te koop was op het dark web, is er een nieuwe batch van 127 miljoen gebruikersgegevens door dezelfde verkoper in de etalage gezet. De nieuwe lading gegevens is afkomstig uit databases van 8 verschillende vooral Amerikaanse bedrijven.

De eerste batch bestond uit gegevens van zestien bedrijven, die zijn buitgemaakt bij diefstallen die vaak al plaatsvonden in het begin van 2018 of zelfs eerder. Zo zijn de gegevens uit de eerdere datalekken bij de populaire fitness-app My Fitness Pal (april 2018) en de website MyHeritage (oktober 2017) onderdeel van de batch.  

Inhoudelijk zouden de gestolen en te koop aangeboden gebruikersgegevens bestaan uit namen, e-mailadressen, versleutelde wachtwoorden en in sommige gevallen andere login- en accountgegevens.

Alles bij de bron; AGConnect