De Nederlandse politie heeft mogelijk een infiltrant ingezet om telefoons voorzien van de encryptiedienst Sky ECC in het criminele milieu te slijten. Dat is naar voren gekomen in het strafproces tegen een Canadees die in Frankrijk terechtstaat voor onder meer lidmaatschap van de criminele organisatie Sky ECC.
Sky ECC is in 2008 opgericht door Jean-François Eap in Vancouver, Canada. Vanaf 2013 ontwikkelde hij het communicatienetwerk en de applicatie Sky ECC, een encryptiedienst voor alle typen mobiele telefoon.
Sinds in ieder geval 2018 deed de Nederlandse justitie in samenwerking met Frankrijk onderzoek naar Sky ECC, nadat er in strafrechtelijke onderzoeken veel telefoons met deze applicatie waren aangetroffen.
Frankrijk startte een gerechtelijk vooronderzoek naar het bedrijf Sky ECC en de betrokkenen daarbij. Nederland kreeg – zo schrijft het Openbaar Ministerie in de officiële stukken – alleen maar “bijvangst”. Uit deze bijvangst, de miljarden Sky-berichten, komt nog steeds, de ene na de andere rechtszaak voort.
Opmerkelijk genoeg is de initiator van het Sky-project, Jean-François Eap, nog steeds op vrije voeten gebleven.
Alles bij de bron; Crimesite
Europol zal woensdag op een persconferentie bekend maken dat er opnieuw een encryptiedienst die in gebruik was bij criminelen door de politie is gekraakt. Volgens onbevestigde berichten zou het gaan om No1Bc.
Volgens Europol gebruikten criminelen de dienst om grootschalige drugshandel te organiseren, liquidaties uit te voeren en geld wit te wassen.
Alles bij de bron; Crimesite
Kwetsbaarheden in Apples spraakassistent Siri maken het opnieuw mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone om gevoelige informatie te stelen. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen voor de kwetsbaarheid aangeduid als CVE-2024-40840.
Twee andere Siri-kwetsbaarheden (CVE-2024-44139 en CVE-2024-44180) maken het mogelijk voor een aanvaller met fysieke toegang om op een vergrendelde iPhone toegang tot contacten te krijgen.
Verder zorgt een 'privacyprobleem' in Siri ervoor dat malafide apps toegang tot gevoelige gebruikersgegevens kunnen krijgen. Apple waarschuwt ook voor een beveiligingslek in 'Accessibility' waardoor een aanvaller met fysieke toegang tot een vergrendelde iPhone via het toestel apparaten in de omgeving kan bedienen. Apple heeft de problemen verholpen in iOS en iPadOS 18. In augustus kwam Apple ook al met updates voor verschillende Siri-kwetsbaarheden.
Alles bij de bron; Security
De persoonlijke gegevens van meer dan negenhonderdduizend Britse patiënten, waaronder zaken als seksueel overdraagbare aandoeningen en kanker, zijn gelekt op internet.
De gegevens werden begin juni gestolen bij een ransomware-aanval op Synnovis, een laboratorium dat bloedtests voor ziekenhuizen en zorgorganisaties in Londen verwerkt.
De gestolen gegevens werden door de criminelen achter de Qilin-ransomware gepubliceerd en bestaan uit verzoeken om afspraken, alsmede informatie over medische aandoeningen, maar ook zaken als namen, geboortedatums en contactgegevens. CaseMatrix laat tegenover The Record weten dat het om meer dan negenhonderdduizend patiënten gaat.
Alles bij de bron; Security
Een cybercrimineel claimt 20GB aan data van Capgemini in handen te hebben. Onder meer databases, broncode, private sleutels, inloggegevens, API-keys, projecten en gegevens van werknemers zouden zijn uitgelekt.
The Register zag een deel van de gestolen informatie in en meldt dat de dataset onder meer gegevens van werknemers te bevatten, waaronder namen, e-mailadressen en gehashte wachtwoorden. Daarnaast zou de sample van de dataset ook back-ups omvatten en bestanden gerelateerd aan klanten van Capgemini.
De authenticiteit van de claim is niet te achterhalen. Wel gaan er al langer geruchten over een datalek bij het bedrijf, waar Capgemini eerder niet wilde reageren.
Alles bij de bron; Dutch-IT-Channel
Autoverhuurbedrijf Avis heeft de persoonlijke gegevens van driehonderdduizend klanten gelekt. Dat heeft het bedrijf aan verschillende procureurs-generaal van Amerikaanse staten laten weten.
Volgens Avis ontdekte het op vijf augustus dat een 'ongeautoriseerde derde partij' toegang tot één van de bedrijfsapplicaties had gekregen en daarbij persoonlijke informatie van klanten heeft buitgemaakt.
Het gaat om naam naam, adresgegevens, e-mailadres, telefoonnummer, geboortedatum, creditcardnummer en verloopdatum en rijbewijsnummer. Avis geeft verder geen details over de inbraak en datadiefstal, behalve dat de aanvaller van drie tot en met zes augustus toegang tot de systemen heeft gehad.
Alles bij de bron; Security
De online inzet van agenten door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) vertoont onrechtmatigheden en onzorgvuldigheden op het gebied van veiligheid en privacy. Dat staat in een maandag gepubliceerd rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).
Zogeheten virtuele agenten worden ingezet voor de bestrijding van terrorisme en extremisme. Ze verzamelen onder meer anoniem gegevens op chatdiensten, internetfora en sociale media. De methode is wettelijk toegestaan, maar wel onder strikte voorwaarden.
De CTIVD stelt vast dat in sommige gevallen de vereiste toestemmingsaanvragen voor de inzet van virtuele agenten niet of onvoldoende worden onderbouwd.
Uit het rapport blijkt verder dat de diensten hun aanpak van dataminimalisatie onvoldoende documenteren. Daardoor dreigen gegevensverzamelingen, de zogeheten bulkdatasets, privacygevoelige informatie te bevatten van mensen die niet direct onderwerp van onderzoek zijn.
De AIVD en MIVD zouden wel voldoende maatregelen nemen om de veiligheid van hun virtuele agenten te waarborgen, „maar er blijft ruimte voor verbetering, vooral op het gebied van transparantie en proportionaliteit.”
Alles bij de bron; NRC [Thnx-2-Niek]
Twee beveiligingsexperts hebben een ernstige kwetsbaarheid (SQL injection) ontdekt in het Known Crewmember (KCM) systeem, dat gebruikt wordt door luchtvaartpersoneel om beveiligingscontroles op luchthavens te omzeilen.
Dit systeem, dat ook wordt gebruikt voor toegang tot de cockpit, bleek kwetsbaar voor manipulatie, waardoor onbevoegden zich toegang konden verschaffen tot beveiligde gebieden.
Door een kwetsbaarheid in de software van FlyCASS, een externe dienstverlener verantwoordelijk voor het beheer van het KCM systeem voor een groot aantal luchtvaartmaatschappijen, konden hackers zich toegang verschaffen tot de systemen van verschillende luchtvaartmaatschappijen.
Eenmaal binnen konden ze willekeurige personen toevoegen als geautoriseerd personeel, waardoor deze personen de beveiligingscontroles konden omzeilen en zelfs toegang konden krijgen tot de cockpit.
Alles bij de bron; Dutch-IT-Channel
Iets meer dan zestig procent van de Nederlanders heeft thuis een 'slimme' water-, gas- of elektriciteitsmeter die op afstand of via een app is uit te lezen, zo stelt het Centraal Bureau voor de Statistiek (CBS).
In 2020 was dit nog het geval bij 59 procent van de Nederlanders. De afgelopen vier jaar is het aandeel met slechts twee procent toegenomen.
Ruim vier op de tien Nederlanders gebruiken een virtuele assistent, zoals Siri, Google Home, Amazon Alexa, Bixby, via een app of een 'slim' audiosysteem.
Deelnemers die geen 'slimme' apparatuur thuis hebben staan werden ook gevraagd wat hiervoor de reden was. 83 procent geeft aan hier geen behoefte aan te hebben. 23 maakt zich zorgen privacy en beveiliging en één op de vijf vindt 'slimme' apparatuur te duur.
Alles bij de bron; Security
Privacygevoelige informatie van chauffeurs is door Uber gedeeld met opsporingsinstanties buiten de Europese Unie (EU). Het gaat onder meer om namen, foto's en gegevens over inkomsten van Europese chauffeurs.
Uit uitgelekte data die in handen is van een internationaal journalistencollectief blijkt dat Uber in 2019 gehoor heeft gegeven aan een verzoek van de Colombiaanse overheid, die gegevens opvroeg over een chauffeur. Uber zou hierop een lijst met alle ritten, de persoonsgegevens en de inkomsten van deze persoon aan de Colombiaanse autoriteiten hebben overhandigd.
Ook zou uit de uitgelekte data blijken dat Uber zich actief inzet om mee te werken met buitenlandse autoriteiten, met als doel de banden met deze overheden aan te halen.
Het taxibedrijf benadrukt zich aan de Europese wet te houden. Zo meldt het alle verzoeken te beoordelen en daarbij alle regelgeving, de rechten en de vrijheden van gebruikers in acht te nemen. Dat is opvallend, aangezien Europese bedrijven niet zo maar gegevens mogen delen met buitenlandse opsporingsdiensten; dat loopt normaliter altijd via politiediensten.
Vorige week kreeg Uber van de Autoriteit Persoonsgegevens nog een boete van 290 miljoen euro opgelegd vanwege het doorgegeven van gegevens van Europese taxichauffeurs naar de Verenigde Staten.
Het ging toen onder meer om foto's, betaalgegevens, identiteitsbewijzen en locatiegegevens van Europese chauffeurs. In sommige gevallen zouden ook medische informatie en strafrechtelijke gegevens zijn gedeeld.
Alles bij de bron; Dutch-IT-Channel