- Gegevens
- Hoofdcategorie: Internet en Telecom
Het UWV wist al sinds 2020 dat het de privacy van uitkeringsgerechtigden schond door zonder toestemming cookies te plaatsen. Die cookies werden ook gebruikt om illegaal fraudeurs op te sporen. Waarschuwingen van een interne toezichthouder werden in de wind geslagen, blijkt uit onderzoek. Pas begin dit jaar werd het probleem opgelost.
Het UWV stelde sitebezoekers wel op de hoogte van het plaatsen van cookies, maar bood niet de kans om ze te weigeren. In dit geval had dat wel gemoeten, aldus de functionaris gegevensbescherming, de interne toezichthouder.
Sommige cookies werden ook gebruikt om te onderzoeken welke uitkeringsontvangers illegaal in het buitenland verbleven. Die data mogen voor dat doel niet gebruikt worden, met of zonder toestemming, oordeelde het advocatenkantoor van de overheid later.
Vakbond FNV overweegt een kort geding om het UWV te laten stoppen met alle fraude-algoritmes.
Alles bij de bron; NOS
- Gegevens
- Hoofdcategorie: Internet en Telecom
Meta, het moederbedrijf van Facebook, Instagram en WhatsApp, gaat aan zijn gebruikers in de Europese Unie toestemming vragen vooraleer hun gegevens te delen. Het doel is om u gerichte advertenties op sociale media te kunnen tonen.
In januari kreeg Meta nog twee zware boetes van in totaal 390 miljoen euro van de Ierse privacywaakhond vanwege de schending van de Europese GDPR-regels. De boete had te maken met de manier waarop het bedrijf klantengegevens gebruikte voor persoonlijke advertenties bij Facebook en Instagram.
Europa is een belangrijke markt voor Meta. De Europese gebruikers zijn goed voor een vijfde van de reclameomzet van het bedrijf.
Alles bij de bron; HLN
- Gegevens
- Hoofdcategorie: Internet en Telecom
De backdoor die recentelijk werd ontdekt in de Terrestrial Trunked Radio (TETRA) standaard, gebruikt voor het beveiligen van radioverkeer van hulpdiensten, is dertig jaar geleden opgelegd door de Nederlandse overheid. Dat laat Gert Roelofsen, die destijds verantwoordelijk was voor de beveiliging van TETRA aan de Volkskrant weten.
De backdoor in het TEA1-algoritme van de TETRA-standaard zorgt ervoor dat de originele 80-bits key gebruikt voor het versleutelen van het radioverkeer wordt teruggebracht naar een sleutellengte van slechts 32-bits. Daardoor is de sleutel volgens onderzoekers binnen enkele minuten op "consumentenhardware" te kraken. Vervolgens kan het versleutelde verkeer worden afgeluisterd en aangepast...
...Volgens Roelofsen had de beslissing te maken met het Akkoord van Wassenaar, waarin Europese landen afspraken maakten over de export van zogeheten dual-use-technologieën. Technologieën die ook militair te gebruiken zijn. Het sterkere TEA2-algoritme, waar ook het Nederlandse C2000-systeem op is gebaseerd, was voor West-Europese politiediensten. TEA1 wordt echter wel in de Nederlandse vitale infrastructuur gebruikt, zoals de Rotterdamse haven. De AIVD wil geen antwoord geven hoelang het van de backdoor afwist. Roelofsen merkt op dat het voor experts eenvoudig is om de backdoor te ontdekken. "Dat is niet heel moeilijk om te achterhalen."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Ierse privacytoezichthouder DPC bevond zich gisteren en donderdag voor het Ierse hooggerechtshof in een zaak over het niet onderzoeken van Googles online advertentieveilingen. De zaak is aangespannen door Johnny Ryan, die in 2017 al melding bij de DPC maakte van Googles "Real-Time Bidding" (RTB) systeem. RTB is een technologie waarbij advertentieruimte op websites en binnen apps via een geautomatiseerde veiling wordt verkocht aan adverteerders.
Elke keer dat iemand een website bezoekt of app gebruikt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd.
De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. "Het probleem is dat Googles RTB-veiling privé-informatie over wat mensen online aan het doen zijn en waar ze zich fysiek bevinden naar meer dan duizend trackingbedrijven stuurt", aldus het Irish Council for Civil Liberties (ICCL) waar Ryan senior fellow is.
Na zijn melding in 2017 diende Ryan bij de DPC een AVG-klacht in tegen Googles advertentieveiling. In mei 2019 maakte de Ierse privacytoezichthouder bekend dat het een onderzoek zou instellen, maar dat hier niet naar de veiligheid van persoonsgegevens werd gekeken, terwijl dat de kern van de klacht van Ryan was. Volgens de ICCL en Ryan is er met het veilingsysteem sprake van het grootste datalek dat ooit is vastgelegd.
De DPC weigert echter al vijf jaar om de veiligheid van persoonsgegevens binnen Googles systeem goed te onderzoeken, stelt Ryan, die het onverklaarbaar noemt dat de toezichthouder niet in actie komt.
De DPC wordt al jaren verweten op de hand van techbedrijven te zijn en is herhaaldelijk door Europese privacytoezichthouders op de vingers getikt omdat de AVG-boetes die het aan techbedrijven oplegt te laag zijn en die vervolgens gedwongen moet aanpassen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Overheidsinstantie Logius heeft ruim drieduizend actieve DigiD-accounts verwijderd die door criminelen op de illegale online marktplaats Genesis Market werden aangeboden.
De Genesis Market was een marktplaats waarop gestolen gegevens van met malware besmette computers werden aangeboden. Het ging om zaken als inloggegevens, cookies en andere data, waaronder ook gebruikersnamen en wachtwoorden van DigiD-accounts. Naar schatting werden via de marktplaats de gegevens van twee miljoen slachtoffers verhandeld, waaronder vijftigduizend Nederlanders.
Begin april werd de marktplaats tijdens een internationale operatie offline gehaald. Daarbij kregen de autoriteiten gegevens in handen van zowel personen die op Genesis Market actief waren als slachtoffers. Zo bleek dat de inloggegevens van 3154 actieve DigiD-accounts via de marktplaats werden aangeboden.
"Hiermee kunnen hackers het digitale leven van hun slachtoffers overnemen en kunnen mensen de dupe worden van identiteitsfraude", aldus Logius, dat de betreffende accounts heeft verwijderd en gedupeerden via een brief heeft ingelicht.
Alles bij de bron; Security [Thnx-2-Niek]
- Gegevens
- Hoofdcategorie: Internet en Telecom
De cookies die de Nederlandse uitkeringsinstantie UWV gebruikte om websitebezoekers te volgen, werden ook gebruikt om gebruikers tijdens meerdere sessies te volgen. Daarmee lijkt de overtreding die eerder aan het licht kwam groter dan gedacht.
De NOS, die eerder het nieuws over de UWV-cookies bracht, schrijft nu dat de overtreding verder ging dan aanvankelijk werd gedacht.
Aanvankelijk stelde het UWV dat het alleen om cookies ging die voor een enkele sessie werden gebruikt en daarna werden verwijderd. Dat blijkt nu niet waar te zijn. De cookies konden in bepaalde gevallen bezoekers tot wel een half jaar in de gaten houden, waardoor alle bezoeken in die periode aan elkaar konden worden gekoppeld.
Dat gebeurde bovendien ook voor bezoekers die niet inlogden op de website van de UWV. Aanvankelijk werden IP-adressen van bezoekers gekoppeld als ze inlogden via DigiD, maar nu blijkt ook dat bezoekers werden gevolgd als ze niet inlogden.
Inmiddels is het systeem stopgezet, nadat de landsadvocaat daar kritiek op had geleverd en had gesteld dat er geen juridische basis bleek te zijn. De Autoriteit Persoonsgegevens is inmiddels een onderzoek gestart.
Alles bij de bron; Tweakers [Thnx-2-Niek]
- Gegevens
- Hoofdcategorie: Internet en Telecom
Meta Platforms, het moederbedrijf van Facebook, is woensdag in Australië veroordeeld tot een boete van 20 miljoen Australische dollar (ruim 12 miljoen euro) wegens het verzamelen van privédata via een applicatie die juist de privacy van Facebookgebruikers moest vergroten. Ook moet het bedrijf 400.000 dollar betalen om de juridische kosten te dekken van de Australische consumentenautoriteit, die de zaak had aangespannen.
De kwestie draaide om de VPN-app (virtual private network) die Facebook in 2016 en 2017 zijn gebruikers aanbood voor op hun smartphone. Facebook adverteerde zijn app Onavo als een middel om persoonlijke informatie te beschermen. Ondertussen verzamelde Onavo echter gegevens over locatie, gebruik, bezochte websites en andere applicaties op de telefoon. Facebook gebruikte die informatie weer voor advertentiedoeleinden.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers hebben verschillende kwetsbaarheden in de Terrestrial Trunked Radio (TETRA) standaard ontdekt, die wereldwijd gebruikt wordt door hulpdiensten zoals het Nederlandse C2000, alsmede militaire communicatie en de vitale infrastructuur.
Het gaat onder andere om een 'backdoor' in het algoritme voor het versleutelen van radioverkeer...
...De kwetsbaarheden die onderzoekers van securitybedrijf Midnight Blue ontdekten, en de naam TETRA:BURST kregen, maken het mogelijk voor aanvallers om versleutelde berichten te ontsleutelen en valse berichten te injecteren. Het gaat onder andere om een 'cryptografische achterdeur' in het TEA1-algoritme dat veel gebruikt wordt in de vitale infrastructuur. "Deze backdoor doorbreekt alle beveiliging van het algoritme, en maakt ontsleuteling en manipulatie van radioverkeer mogelijk", zegt Carlo Meijer van Midnight Blue.
Volgens Meijer kunnen aanvallers via de backdoor niet alleen radiocommunicatie van private beveiligingsdiensten van havens, vliegvelden en spoorwegen onderscheppen, maar kunnen ze ook dataverkeer injecteren dat gebruikt wordt voor monitoring of voor de aansturing van industriële apparatuur. "Dit kan een aanvaller potentieel gevaarlijke acties uit laten voeren, zoals het openen van schakelaars in elektrische verdeelstations of het manipuleren van spoorwegsignaleringsberichten."
Het beveiligingslek, aangeduid als CVE-2022-24402, zorgt ervoor dat de originele 80-bit key wordt teruggebracht naar een sleutellengte die binnen enkele minuten op "consumentenhardware" is te kraken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Oostenrijkse privacy-ngo noyb (‘none of your business’) heeft bij de Belgische Gegevensbeschermingsautoriteit (GBA) klacht ingediend tegen vijftien Belgische nieuwssites omdat die onrechtmatige cookiebanners zouden plaatsen.
De ngo beschuldigt de GBA er tegelijk van dat die zou toelaten dat nieuwssites hun GDPR-verplichtingen ‘afkopen’.
Noyb diende twee jaar geleden al honderden klachten in tegen websites die misleidende cookiebanners gebruikten. Het leidde ertoe dat het Europees Comité voor Gegevensbescherming in januari van dit jaar een rapport publiceerde waarin overeengekomen werd wat de minimumvereisten zijn voor cookiebanners.
Volgens noyb voldoen de vijftien Belgische nieuwssites nog steeds niet aan de minimumvereisten.
De GBA onderzocht de websites de voorbije jaren al op eigen initiatief, dus niet na een klacht van een burger. Noyb verwijt de GBA dat ze telkens een ‘dubieuze schikking’ sloot, waarbij uitgevers akkoord gingen met het betalen van een administratieve boete van 10.000 euro, maar dat ze nooit het bevel gaf om onrechtmatige cookiebanners aan te passen.
In de beslissingen van de GBA wordt verwezen naar ‘de context van een groot aantal dossiers’ en ‘lange doorlooptijden’ als reden om over te gaan tot de schikkingen. Waarom er geen bevel tot naleving kwam, legt de GBA niet uit.
Alles bij de bron; DataNews
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het lijkt een even simpele als doeltreffende maatregel om de verspreiding van kinderpornografisch materiaal tegen te gaan: scan iedere afbeelding die met een smartphone wordt verstuurd op mogelijke kinderporno. Het is de kern van een voorstel van de Europese Commissie tegen online kindermisbruik.
Maar de gevolgen zijn zó verstrekkend dat wetenschappers, privacy-activisten en andere critici steeds fermer waarschuwen: begin er niet aan ze waarschuwen voor de verstrekkende gevolgen van deze ‘cliënt scanning’, waarmee er ‘een politieagent in ieders broekzak’ komt.
...De ‘cliënt scanning’, zoals het in jargon heet, moet namelijk gaan plaatsvinden vóórdat een bericht wordt versleuteld. In feite wordt er dus een derde partij toegevoegd aan de communicatie tussen verzender en ontvanger...
...de belangrijkste kritiek op de EU-voorstellen, raakt een fundamenteler punt. Zoals Jaap-Henk Hoepman, universitair hoofddocent privacy en technologie aan de Radboud Universiteit, het verwoordt: ‘Dit voorstel plaatst een koevoet in het privéleven van alle burgers. We slaan hiermee een pad in waar je eigenlijk niet wilt gaan.’
De implicaties zijn volgens hem enorm. ‘Het komt erop neer dat instanties de mogelijkheid krijgen om mee te kijken in ons privéleven, met wat we doen en zeggen op onze telefoon’, zegt hij. Hoepman vergelijkt het met het installeren van een beveiligingscamera in álle huizen in Nederland. ‘Een camera van de overheid die geactiveerd wordt en een livestream opzet als deze een verdacht geluid oppikt.’
Experts vrezen twee scenario’s. Eén: het scannen blijft niet beperkt tot kinderpornografisch materiaal maar wordt sluipenderwijs uitgebreid naar teksten en afbeeldingen die bijvoorbeeld terrorisme, geweld of desinformatie bevatten. Hoepman: ‘Dat is een bekende dynamiek: als de mogelijkheid er eenmaal is, is het verleidelijk om hem breder in te zetten.’
Een andere vrees is dat autoritaire regimes de optie zullen gebruiken voor andere doeleinden, zoals eerder gebeurde met Israëlische spionagesoftware. Die was bedoeld voor het opsporen van terroristen maar werd door landen als Hongarije, Polen en ook Spanje ingezet tegen journalisten, mensenrechtenactivisten en oppositieleden. Hoepman: ‘De drempel om die functionaliteit toe te voegen, gaat omlaag.’
Het voorstel van de Europese Commissie wordt binnenkort besproken in het Europees Parlement en de EU-raad. Voorlopig koesteren de tegenstanders van de plannen weinig hoop. Een eerder Zweeds voorstel om end-to-end-encryptie te beschermen en géén client scanning toe te staan, werd door Spanje verworpen.
Ook het, inmiddels demissionaire, Nederlandse kabinet is voorstander van het scannen. Een door de Tweede Kamer aangenomen motie uit april om niet akkoord te gaan met ‘encryptiebedreigende chatcontrole’, legde het kabinet naast zich neer.
Alles bij de bron; Volkskrant