Internet en Telecom

In Amsterdam e.o. is een levendige handel ontdekt in accounts van Felyx-deelscooters. Deze accounts worden gehackt en online verhandeld, inclusief rijbewijs en betaalgegevens van een ander.

Gebruikers van de scooter-deeldienst vullen normaal gesproken eerst hun betaalgegevens in en valideren dan hun rijbewijs. Die geverifieerde accounts worden nu doorverkocht zodat kopers gratis én zonder rijbewijs een scooter kunnen rijden. Verkeersagent Jeroen Heuts meldde de hack op twitter. Volgens hem zijn precieze aantallen niet bekend. 

Alles bij de bron; Cops-in-Cyberspace

Als een onlinedienst gratis is te gebruiken, blijkt de gebruiker meestal het product. Dat is ook het geval bij Simpler Apps Inc. Dit bedrijf maakt smartphone-apps die bijvoorbeeld back-ups maken van je contactenlijst en namen van onbekende bellers voor je achterhalen. Dat doet Simpler gratis, maar ondertussen wordt de contactinformatie verkocht via de Amerikaans-Israëlische dienst Lusha.

Eerder deze week onthulde deze krant dat Lusha via netwerksite LinkedIn mailadressen en privénummers verkoopt – ook van vele Nederlanders, onder wie politici, influencers en zelfs een directeur van de Nederlandse privacywaakhond.  Dat zorgde voor ophef, omdat die gegevens normaal niet vindbaar zouden moeten zijn. Dus vroegen verschillende Trouw-redacteuren aan Lusha hoe het bedrijf hun data verkreeg. In alle gevallen was het antwoord: Simpler Apps Inc.

De samenwerking met Simpler verklaart mogelijk waarom Lusha privénummers heeft van mensen die ervan overtuigd zijn dat ze hun contactgegevens nooit zomaar ergens delen. In Simplers privacyvoorwaarden staat dat het bedrijf niet alleen de informatie van gebruikers met derden kan delen, maar ook hun contactenlijsten. Zo kunnen data van mensen die nergens mee hebben ingestemd, alsnog in Lusha’s handen terechtkomen.

Of de bedrijven de wet overtreden, zal een toezichthouder moeten bepalen. Mogelijk valt Lusha onder de minder strenge Amerikaanse privacyregels. Simpler lijkt zich bij het verzamelen van data echter expliciet op Europese gebruikers te richten, omdat zijn apps in diverse Europese talen beschikbaar zijn. Hierdoor valt Simpler volgens Terstegge onder de AVG en die staat de verkoop van contactenlijsten waarschijnlijk niet toe. Lusha en Simpler hebben niet gereageerd op vragen voor dit artikel.

Alles bj de bron; Trouw

Beveiligingsexpert Mazin Ahmed, die voorheen bij de end-to-end versleutelde maildienst ProtonMail werkte, heeft videovergaderplatform Zoom uitgebreid aan de tand gevoeld. Daarbij heeft hij diverse bugs en kwetsbaarheden gevonden.

Een van de zeker zeven beveiligingsproblemen die Ahmed heeft ontdekt, is dat end-to-end encrypted berichten tussen Zoom-gebruikers op Linux onversleuteld worden opgeslagen door het bedrijf. De chatcommunicatie die volledig versleuteld zou moeten zijn, blijkt in plain-text op disks te staan. Daarnaast heeft hij geheugenlekkage op Zooms productieserver gevonden, blootstelling van de Kerberos-authenticatieserver en meer slordigheden met impact op de security.

Ahmed trekt de kritische conclusie dat schaduw-IT kenmerkend is voor publieke diensten bij Zoom. Sommige instances van servers die de videovergaderfirma gebruikt, krijgen geen regelmatige updates en blijken bovendien publiekelijk toegankelijk te zijn. Zo vond hij een development instance die al minstens 10 maanden geen updates heeft gekregen. Een screenshot dat de security-onderzoeker op 14 juli dit jaar heeft gemaakt, toont een build van 10 september vorig jaar.

Alles bij de bron; AGConnect

Het forum van de online muziekwinkel Bax Shop is gehackt. Daarbij werden wachtwoorden en e-mailadressen van 32.000 gebruikers buitgemaakt. Dat bevestigt Bax Shop na berichtgeving van RTL Nieuws, dat de gestolen database ontving en verifieerde.

Het gaat specifiek om informatie van forumgebruikers. Gebruikersgegevens van de online winkel, waar mensen muziekapparatuur kunnen bestellen, zijn niet gelekt. De hacker zegt dat de wachtwoorden slecht beveiligd waren. 

Alles bij de bron; NU

De privégegevens van afgestudeerden aan de TU Delft en Universiteit Utrecht zijn in handen gekomen van cybercriminelen. De onderwijsinstellingen zijn hierover op de hoogte gebracht door CRM-leverancier Blackbaud, dat back-ups van de universiteiten op zijn server had staan. De twee Nederlandse universiteiten bevinden zich in een reeks onderwijsinstellingen wereldwijd die via deze softwarefirma een datalek blijken te hebben.

Bij de universiteit Delft gaat het om een verouderde back-up uit 2017 waar de persoonsgegevens van alumni op stonden, zoals naam, geslacht en geboortedatum. Ook de contactgegevens, mailadres, telefoonnummer en postadres, alsook opleidings- en loopbaangegevens, stonden op de server. In Utrecht kwamen via diens oude back-up uit 2017 ook persoonsgegevens van donateurs en relaties in handen van de hackers...

...Voor deze 'buit' hebben de afpersers wel betaling ontvangen, zo geeft Blackbaud aan in zijn melding van deze hack. De TU Delft meldt hierover: "Blackbaud heeft bevestiging ontvangen dat de betreffende back-up met data is vernietigd door de hackers en meldt dat er geen aanleiding is om aan te nemen dat de data door hen zijn verspreid." De UU sluit zich hierbij aan. 

Alles bij de bron; AGConnect

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Hiermee zijn talloze mobiele nummers te vinden, bijvoorbeeld van kabinetsleden, maar net zo goed van influencers, misdaadverslaggevers en directeuren van de Autoriteit Persoonsgegevens.

Lusha is een Amerikaans-Israëlisch bedrijf dat iedereen aan zijn of haar internetbrowser kan toevoegen. Wanneer gebruikers naar iemands profiel op netwerksite LinkedIn gaan, surft Lusha in allerlei onlinedatabases naar verborgen contactinformatie – de eerste paar zoekopdrachten zijn gratis.

Het bedrijf beweert in overeenstemming met de Algemene verordening gegevensbescherming (AVG) te handelen maar geeft op zijn website toe mensen niet op de hoogte te stellen.. Uit navraag door Trouw blijkt dat mensen in veel gevallen dan ook niet weten waar het bedrijf hun privénummer vandaan kan hebben. Zodra ze weten dat ze erin staan, kunnen mensen aan Lusha vragen om hun contactgegevens uit de database te verwijderen...

...Blijkt Lusha de AVG te overtreden, dan kan de Autoriteit Persoonsgegevens actie ondernemen. Vooralsnog loopt hier geen onderzoek naar.  Lusha zegt bondig via de mail dat het voldoet aan alle relevante wetgeving.

Alles bij de bron; Trouw

De technologie die Google, Microsoft en IBM bieden voor gezichtsherkenning hebben grote moeite met mensen die gezichtsmaskers dragen. Bij mannen met een mondkapje geven de algoritmen vaker aan dat de persoon een baard heeft of 'gezichtshaar'. Bij vrouwen krijgt hetzelfde kapje de omschrijving 'duct tape' of mode-accessoire'.

De onderzoekers kwamen de bias bij toeval op het spoor. Ze waren bezig met het ontwerpen en bouwen van een applicatie die duizenden camera's in straatlocaties te koppelen om zo een inschatting te kunnen maken van hoeveel voetgangers op een zeker moment een gezichtsmasker draagt.

In een eerste test met de Google API kreeg de directeur of data science bij Wunderman Thompson bij foto's van haarzelf met mondkapje consequent 'duct tape' als omschrijving van het mondmasker terug met een zeer hoge accuratesse, welk type masker ze ook opzette.

Daarna is ze tests gaan uitvoeren met vrienden die in verschillende omstandigheden een gezichtsmasker droegen. In totaal heeft ze afbeeldingen van 265 vrouwen en 265 mannen gebruikt. De Cloud Vision API van Google wist in 36 procent van de afbeeldingen met mannen dat het ging om een persoonlijk beschermingshulpmiddel. In 27 procent vond het algoritme dat het ging om een baard en in 15 procent duct tape.

Soortgelijke missers kwamen naar boven bij het gebruik van de API's van IBM en Microsoft. Google reageerde gelijk naar Wunderman op de bevindingen en wil de gebruikte methodiek graag nader analyseren. Het bedrijf zegt altijd te willen leren van missers om het algoritme te verbeteren. IBM gaf ook aan te willen onderzoeken hoe de resultaten tot stand zijn gekomen, maar weet de scores in eerste instantie aan de testopzet.

Alles bij de bron; AGConnect

Via een chip van Qualcomm, die in ongeveer veertig procent van alle Android-telefoons zit, kunnen hackers de gsm bespioneren, niet meer laten reageren of kwaadaardige activiteiten verbergen. Dat hebben onderzoekers ontdekt. 

De chip in kwestie is een zogenaamde digital signal processing (dsp)-chip die volgens Check Point ‘honderden’ kwetsbare delen code bevat. Een dergelijke chip is gespecialiseerd in het verwerken van realtime-signalen, zoals spraak-, video- en omgevingssignalen, en deze om te zetten in verwerkbare digitale data. De chip wordt bijvoorbeeld gebruikt om je stem te herkennen als je ‘Hé, Google’ naar je telefoon roept.

Check Point ziet drie grote problemen met de dsp’s van Qualcomm. Hackers kunnen de smartphone in een perfect spionagetoestel omtoveren, zonder dat er enige gebruikersinteractie nodig is. Alle data op de telefoon is te lekken, van foto's, video's, telefoongesprekken tot realtime-opnames via de microfoon, gps- en locatiegegevens. Het is ook mogelijk de telefoon niet meer te laten reageren, waardoor alle informatie - inclusief foto's, video's, contactgegevens - permanent niet meer beschikbaar is. Tot slot kan malware en andere kwaadaardige codes de activiteiten van een hacker volledig verbergen. Bovendien is deze malware niet zomaar te verwijderen.

Het is ook niet zo gigantisch moeilijk om de kwetsbaarheid uit te buiten, zegt Check Point. Daarvoor zou een hacker zijn slachtoffer enkel moeten overtuigen om een eenvoudige app te installeren. Die app moet zelfs geen machtiging of toegangsrechten krijgen. 

De chips introduceren nieuwe aanvalsmogelijkheden en zwakke punten in deze mobiele apparaten. Bovendien zijn ze veel kwetsbaarder voor risico's omdat ze worden beheerd als een soort ‘zwarte doos’, waardoor het voor iemand anders dan de fabrikant zeer complex kan zijn het ontwerp, functionaliteit of code van de dsp-chip te beoordelen.

De chipproducent heeft de beveiligingslekken erkend en de relevante leveranciers op de hoogte gebracht door patches uit te geven. Het is nu aan de smartphonefabrikanten, zoals Google, Samsung en Xiaomi, om deze patches te integreren in hun volledige aanbod, zowel nieuwe toestellen in productie als toestellen die al verkocht zijn. 

Alles bij de bron; Computable