Namen en 'werkgerelateerde contactgegevens' van alle Nederlandse politiewerknemers zijn bij een hack gestolen.
Minister David van Weel van Justitie en Veiligheid schrijft in een brief aan de Tweede Kamer dat de gegevens van alle politiewerknemers in Nederland zijn buitgemaakt bij een hack. "Bij de hack zijn werkgerelateerde contactgegevens van alle politiemedewerkers buitgemaakt. Behalve de namen van politiemedewerkers gaat het verder niet om privégegevens of onderzoeksgegevens", schrijft Van Weel.
Volgens de politie werden de gegevens gestolen nadat er 'een account werd gehackt'. "Afgelopen week is bekend geworden dat een politieaccount is gehackt", schrijft de politie in een eigen nieuwsbericht, maar verder geeft de organisatie geen informatie.
De politie heeft een melding gedaan bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Een kwetsbaarheid in een dealerportaal van Kia maakte het mogelijk om miljoenen auto's van de fabrikant over te nemen.
Kia biedt bij verschillende modellen Kia Connect, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten. Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.
De onderzoekers ontdekten dat ze zich via het HTTP-request waarmee Kia-eigenaren zich bij de autofabrikant kunnen registreren zich ook als dealer kunnen registreren. Vervolgens was het mogelijk om via de dealerportaal informatie van Kia-eigenaren op te vragen, zoals naam, telefoonnummer en e-mailadres. Daarna konden de onderzoekers de eigenaar onteigenen en zichzelf eigenaar van de betreffende Kia maken en zo via de app bedienen.
Eigenaren kregen geen bericht dat er toegang tot de auto was verkregen of dat hun toegangspermissies waren aangepast.
Alles bij de bron; Security
De Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) gaat onderzoek doen naar de verwerking van bulkdatasets door de AIVD en de MIVD.
De inlichtingendiensten hebben bulkbevoegdheden waardoor ze grote hoeveelheden gegevens kunnen verzamelen van miljoenen mensen, waarvan het overgrote deel gaat over mensen waar de diensten geen onderzoek naar doen of zullen gaan doen. Dat doen de inlichtingendiensten naar eigen zeggen om een klein deel binnen te kunnen halen dat wél relevant is voor een onderzoek. Vervolgens moeten alle gegevens die niet relevant zijn zo snel mogelijk worden vernietigd.
Oorspronkelijk mochten bulkdatasets anderhalf jaar bewaard worden, en moesten daarna worden vernietigd. In de praktijk bleek dat niet te gebeuren en werden datasets langer bewaard.
Eerder dit jaar werd door de Eerste en Tweede Kamer het wetsvoorstel 'Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma' aangenomen. De bewaartermijn van bulkdatasets kan nu door de betrokken minister op grond van een beargumenteerd verzoek van de diensten jaarlijks worden verlengd.
Volgens de CTIVD zijn de bulkdatasets belangrijk voor de inlichtingendiensten, maar brengt de verwerving en verwerking ervan inbreuk op de privacy van burgers. "Gezien het belang van goede processen aangaande de verwerking van bulkdatasets binnen de diensten en de correcte uitvoering daarvan acht de CTIVD het van belang om onderzoek te doen naar de verwerking van bulkdatasets in algemene zin", aldus de toezichthouder, die gaat kijken of de inlichtingendiensten bij de verwerking van bulkdatasets wel rechtmatig handelen. Het onderzoek wordt afgesloten met een openbaar toezichtsrapport.
Alles bij de bron; Security
De ransomwaregroep Killsec heeft 50.000 documenten van het Belgische bedrijf MediCheck in handen gekregen. In de documenten zouden gevoelige patiëntgegevens staan.
Het bedrijf heeft tegenover HLN bevestigd dat hackers communicatie van artsen hebben kunnen onderscheppen. Het zou gaan om artsverslagen van januari 2023 tot nu. In deze verslagen staan gevoelige gegevens. Het bedrijf weet nog niet hoe de hackers de communicatie hebben kunnen onderscheppen.
De ransomwaregroep heeft inmiddels een klein aantal documenten van het bedrijf gepubliceerd. Volgens MediCheck is er nog geen contact geweest met de hackers.
Alles bij de bron; Tweakers
Telegram gaat voortaan aan de hand van gerechtelijke bevelen telefoonnummers en IP-adressen van gebruikers overhandigen aan opsporingsinstanties. Het gaat om een ommezwaai bij het socialmedia-platform, dat juist de reputatie heeft weinig tot geen medewerking te verlenen aan dergelijke instanties.
Telegram zegt hiermee harder te willen optreden tegen criminelen en hen te willen afschrikken. Het bedrijf meldt voortaan de IP-adressen en telefoonnummers te delen met 'relevante autoriteiten' indien een 'valide juridisch verzoek' is ingediend
Alles bij de bron; Dutch-IT-Channel
De aanvaller verkoopt via chatbots op Telegram privégegevens van miljoenen klanten van Star Health, de grootste zorgverzekeraar van India. De verzekeraar erkent het datalek in een reactie en meldt hiervan melding te hebben gemaakt bij de lokale autoriteiten.
Reuters probeerde de chatbots uit en kon zo onder meer documenten gerelateerd aan verzekeringsclaims en verzekeringspolissen downloaden. Hierop zijn onder meer namen, telefoonnummers, adresgegevens, belastinggegevens, kopieën van ID-kaarten, testresultaten en medische diagnoses te vinden.
Alles bij de bron; Dutch-IT-Channel
Socialemediagebruikers vinden hun foto’s regelmatig terug op nepaccounts. Waarom grijpen de platforms en toezichthouders niet in?
Vincent de Paauw werkt als purser bij Transavia en maakt voor het YouTube-kanaal van de vliegmaatschappij vlogs. Op zijn eigen Instagram plaatst hij voor zijn drieduizend volgers vrolijke foto’s van zijn werkdagen op Schiphol en in de lucht.
„Gelukkig sturen mijn volgers mij een bericht als ze nepaccounts met mijn foto’s tegenkomen. Ik rapporteer die accounts meteen. Je weet dat dit soort dingen gebeuren dus ik ben dan ook niet echt in shock, maar het is echt heel gek om er achter te komen dat ik op andere accounts blijkbaar naaktfoto’s van mezelf verkoop.”
Eind augustus sprak NRC met influencer Demi Maric haar foto’s zijn zonder haar toestemming al op de gekste plekken terechtgekomen. Telkens wanneer zij bij Meta, het bedrijf achter Instagram en Facebook, een nepaccount rapporteert krijgt ze te horen dat er niets aan de hand lijkt te zijn en het waarschijnlijk niet om een nepaccount gaat.
Maric en De Paauw zijn geen uitzonderingen NRC sprak een tiental mensen, die niet met hun naam in de krant willen, van wie aan de lopende band foto’s worden gebruikt zonder hun toestemming. De één kreeg meerdere Tinderprofielen doorgestuurd met zijn eigen foto’s, een ander kreeg te horen dat haar hond op Facebook te koop werd aangeboden. Iemand kwam er zelfs achter dat er in zijn naam professionele opdrachten door iemand anders werden uitgevoerd.
Iedereen die de krant sprak reageert op dezelfde manier; ze rapporteren het nepaccount bij het sociale netwerk waarop het account actief is en vullen daar ook het online klachtenformulier. Van X (voorheen Twitter) en Meta zeggen gebruikers niet eens meer te verwachten dat er iets met die meldingen wordt gedaan. Het werkt beter om je volgers te waarschuwen op je eigen account.
De toezichthouder Autoriteit Persoonsgegevens (AP) adviseert gedupeerden niet alleen melding te doen bij het platform zelf, maar ook bij het AP óf het Centraal Meldpunt Identiteitsfraude. „Het lijkt alsof veel mensen niet weten dat het illegaal is om een foto van iemand anders zomaar te gebruiken. Als ik mijn auto parkeer, is het strafbaar als jij die ongevraagd meeneemt voor een ritje. Dit geldt ook voor andermans foto’s online”, zegt AP-woordvoerder Caspar Itz.
Alles bij de bron; NRC [scanned]
Grote socialmedia- en streamingbedrijven, waaronder Facebook, YouTube en TikTok, houden zich bezig met grootschalige surveillance van gebruikers, zo stelt de Amerikaanse toezichthouder FTC op basis van een eigen onderzoek (pdf) naar negen bedrijven: Amazon, Meta, YouTube, X, Snap, ByteDance, Discord, Reddit en WhatsApp.
"Het rapport laat zien hoe socialmedia- en videostreamingbedrijven enorme hoeveelheden data van Amerikanen verzamelen om daar miljarden dollars per jaar aan te verdienen", zegt Lina Khan van de FTC. "Hoewel lucratief voor de bedrijven, brengen deze surveillancepraktijken de privacy van mensen in gevaar, bedreigen hun vrijheden en stellen ze bloot aan allerlei kwalijke zaken, van identiteitsdiefstal tot stalking." Daarbij maakt de FTC zich vooral zorgen over de slechte bescherming van kinderen en tieners door sommige van de bedrijven.
De systemen van de bedrijven verwerken persoonlijke informatie van zowel gebruikers als niet-gebruikers van hun platforms. Die hebben vaak geen manier om zich voor de gegevensverwerking af te melden. Op basis van het onderzoeksrapport stelt de FTC dat er wetgeving moet komen om de surveillance aan banden te leggen en datarechten aan gebruikers toe te kennen.
Alles bij de bron; Security
Een onderzoek van beveiligingsbedrijf AppOmni heeft aan het licht gebracht dat meer dan 1000 ServiceNow-instanties potentieel gevoelige gegevens uit hun kennisbank blootleggen.
Dit soort gegevens kan een schatkamer zijn aan interne informatie, zoals oplossingen voor veelvoorkomende problemen, IT-ondersteuningsverzoeken, systeemdetails en zelfs inloggegevens.
Als cybercriminelen toegang krijgen tot deze gevoelige informatie, kunnen ze dit gebruiken om andere bedrijfssystemen aan te vallen. Denk hierbij aan het stelen van inloggegevens om toegang te krijgen tot databases of het ontvreemden van vertrouwelijke bedrijfsdocumenten.
De oorzaak van deze datalekken ligt vaak in verouderde of foute configuraties van de toegangsrechten.
ServiceNow bevestigt dat ze op de hoogte zijn van het onderzoek en is nu bezig met een grootschalig initiatief om de configuraties van alle kennisbanken te controleren en waar nodig aan te passen.
Alles bij de bron; Dutch-IT-Channel
Meta rolt speciale accounts uit met nieuwe privacy-instellingen voor tienergebruikers van Instagram. Dit is de nieuwste poging om hun blootstelling aan schadelijke inhoud op zijn apps te beperken onder druk van de regelgeving.
Het sociale mediabedrijf zei dat het alle aangewezen accounts automatisch zal overzetten naar tieneraccounts, die standaard privéaccounts zullen zijn.
Gebruikers van dergelijke accounts kunnen alleen berichten ontvangen en getagd worden door accounts die ze volgen of waarmee ze al verbonden zijn, terwijl de instellingen voor gevoelige inhoud op het meest restrictieve niveau worden gezet.
Gebruikers jonger dan 16 jaar kunnen de standaardinstellingen alleen wijzigen met toestemming van een ouder. Ouders krijgen ook een reeks instellingen om te controleren met wie hun kinderen omgaan en om hun gebruik van de app te beperken.
De stap van Meta komt drie jaar nadat het bedrijf de ontwikkeling van een versie van de Instagram-app voor tieners had gestaakt, nadat wetgevers en belangengroepen het bedrijf hadden aangespoord om de app te laten vallen, vanwege bezorgdheid over de veiligheid.
Meta zegt dat het de geïdentificeerde gebruikers binnen 60 dagen in tieneraccounts zal plaatsen in de VS, het VK, Canada en Australië en later dit jaar in de Europese Unie. Tieners over de hele wereld zullen in januari tieneraccounts krijgen.
Alles bij de bron; MarketScreener