- Gegevens
- Hoofdcategorie: Internet en Telecom
Ethische hackers ontdekten zeker twintig beveiligingsfouten bij maar liefst zestien verschillende merken. Die kunnen worden misbruikt om de locatie van de auto’s te bepalen, ze te ver- en ontgrendelen, de motor te starten en te stoppen, accounts over te nemen en op afstand commando’s uit te voeren.
De kwetsbaarheden zitten onder andere in de application programming interfaces (api's) waarop autofabrikanten vertrouwen zodat de technologie in auto's met elkaar kan communiceren. Het betreft onder meer de merken Ford, Toyota, Mercedes, BMW, Porsche en Ferrari.
‘De auto-industrie rolt aan hoog tempo allerhande functionaliteiten uit voor remote access and control’, stelt John Pescatore, manager Emerging Security Trends bij it-beveiligingsadviseur en -opleider het Sans Institute. ‘Jammer genoeg is het een feit dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.’
Een rode draad zijn bijvoorbeeld serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot bepaalde diensten via apps en webbrowsers (en die daardoor gemakkelijker te kraken zijn). En doordat mobiele apps, websites, netwerken en (externe) diensten meer en meer met elkaar verbonden zijn, is het cliché van ‘de zwakste schakel’ hier van toepassing.
‘Third-party software moet volledig getest worden, net als intern ontwikkelde code. Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden. En dat is niet meer dan terecht.’
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
Meta heeft jarenlang betaald voor het scrapen van gegevens van andere websites die het vervolgens gebruikte, terwijl het tegelijkertijd rechtszaken voerde tegen bedrijven die op deze manier data van Facebook en Instagram verzamelden. Dat blijkt uit documenten die in een rechtszaak tussen Meta en dataverzamelingsbedrijf Bright Data zijn ingediend.
Meta beschuldigt Bright Data van het scrapen en verkopen van informatie afkomstig van Facebook en Instagram.
Meta blijkt echter ook jarenlang klant van Bright Data te zijn geweest. Het bedrijf biedt allerlei diensten, waaronder het verzamelen van berichten, reacties en gebruikersgegevens van sociamediaplatforms zoals TikTok en Twitter, en webwinkels zoals Amazon, eBay en Walmart.
Meta heeft tegenover Bloomberg bevestigd dat het Bright Data betaalde om data van webwinkels te verzamelen, om naar eigen zeggen merkprofielen op Meta's eigen platformen te ontwikkelen. Het techbedrijf eindigde de relatie met Bright Data nadat het ontdekte dat het data van de eigen socialmediaplatforms scrapete.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Eind vorig jaar bleek de livestream van een eufy-camera naar de Web portal, waarmee de streams via de webbrowser te bekijken zijn, niet versleuteld te zijn. Gebruikers konden daardoor de link naar een camera openen in bijvoorbeeld VLC. Eufy's-moederbedrijf Anker zei destijds dat dit niet mogelijk was.
In een nieuw statement aan hetzelfde medium erkent eufy dat die streams toch niet versleuteld waren. De streams naar de Security App waren wel altijd versleuteld, maar die voor de Web portal waren dit niet. Die Web portal is via de browser te benaderen en vereist een login.
Ankers communicatiehoofd Eric Villines erkent dat dit een fout was en zegt dat alle streams nu eind-tot-eind-versleuteld zijn. Apparaten gaan daarnaast WebRTC gebruiken voor deze versleuteling.
Het bedrijf gaat ook in op de Video Doorbell Dual, dat camerathumbnails opsloeg in eufy's cloudopslag. Ook hiermee verbrak eufy zijn eigen beloftes, omdat het bedrijf beloofde dat gebruikers ervoor konden kiezen om data alleen lokaal op te slaan. De Video Doorbell Dual sloeg thumbnails echter ook in de cloud op, ook als gebruikers ervoor hadden gekozen om video's alleen lokaal op te slaan.
Anker claimt dat dit voor de gezichtsherkenning gebeurde. Het idee was dat als gebruikers die cameradeurbel zouden vervangen, eufy die thumbnails kon gebruiken om de gezichtsherkenning opnieuw te kunnen instellen. Eufy erkent dat deze functie tegen de 'lokale opslagbelofte' inging en deze functie is daarom verwijderd. Anker benadrukt dat gezichtsherkenningsdata niet met die thumbnails werd opgeslagen.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Kunstmatige intelligentie of artificial intelligence (AI) biedt allerlei kansen, maar brengt ook risico’s met zich mee. Zeker als deze technologie gebruikt wordt om gepersonaliseerde content aan te bieden. Dat zal een impact hebben op onze privacy. Daarom moeten er gezamenlijke regels voor AI worden bedacht in Brussel.
Dat zegt Europarlementariër Kim van Sparrentak (GroenLinks) in een interview met BNR.
Experts omarmen de technologie maar er kleven echter ook risico’s aan kunstmatige intelligentie. De Toeslagenaffaire en het fiasco met de Fraude Signalering Voorziening (FSV) zijn daar twee prominente voorbeelden van. Recentelijk kwam naar buiten dat scholieren AI-programma’s als ChatGPT gebruiken om huiswerkopdrachten te maken. En cybersecurityexperts waarschuwen dat hackers de techniek gaan gebruiken om malware te ontwikkelen of verbeteren.
Voor Hind Dekker-Abdulaziz en Paul van Meenen (beiden D66) was dat aanleiding om schriftelijke vragen te stellen aan het kabinet.
Alles bij de bron; VPN-Gids
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een kwetsbaarheid in de wachtwoordmanager KeePass. Kwaadwillenden kunnen het lek gebruiken voor het verkrijgen van toegang tot gegevens die in KeePass zijn opgeslagen.
Het probleem (NCSC-2023-0044) zit in de configuratie van KeePass, die de wachtwoordmanager onversleuteld opslaat. Kwaadwillenden kunnen de configuratie hierdoor aanpassen en bijvoorbeeld een malafide exportregel toevoegen. Indien een gebruikers vervolgens de KeePass-database opent, zorgt deze regel ervoor dat KeePass de opgeslagen gegevens naar de aanvaller exporteert.
Het NCSC waarschuwt dat een proof-of-concept beschikbaar is, wat het uitbuiten van het lek vereenvoudigd. De ontwikkelaar van KeePass wil het lek echter niet verhelpen. Wel biedt KeePass de mogelijkheid bepaalde configuraties af te dwingen en zo misbruik van het lek te voorkomen. Dit kan met een zogenaamd Enforced Configuration File.
Het NCSC adviseert organisaties deze opties te gebruiken. Meer informatie is hier beschikbaar.
Alles bij de bron; DutchIT-Channel
- Gegevens
- Hoofdcategorie: Internet en Telecom
De aanvallers die afgelopen november succesvol data wisten te stelen van wachtwoordmanager LastPass, hebben ook back-ups gestolen van sommige klanten.
Moederbedrijf GoTo meldt in een blogbericht dat er versleutelde back-ups zijn buitgemaakt via de cloudopslag. Die back-ups bevatten kopieën van data voor recovery in geval van nood. De gestolen gegevens zijn back-ups voor de diensten Central, Pro, join.me, Hamachi en RemotelyAnywhere, aldus GoTo. In de back-ups zitten onder meer gebruikersnamen, versleutelde wachtwoorden, een deel van de multi-factor authentication (MFA)-instellingen, licentie-informatie en een aantal productinstellingen.
Daarnaast zegt GoTo dat er bewijs gevonden is dat er een encryptiesleutel is gestolen voor een deel van de versleutelde back-ups. Daarmee zou een aanvaller dus die informatie kunnen ontsleutelen.
Vorige week kwamen berichten naar buiten dat gestolen LastPass-kluizen inmiddels ook actief gekraakt worden. Dieven zouden het eerst gemunt hebben op toegang tot wallets met virtuele valuta.
GoTo benadrukt tot slot dat het bedrijf geen volledige creditcardgegevens of bankdetails opslaat, en dat het geen persoonlijke informatie over eindgebruikers - zoals BSN-nummers, adressen of geboortedata - is verzameld. Dergelijke data is dus niet gestolen.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het is woensdagavond rond 18.00 uur, wanneer een paar jongens vlak voor de deur staan. Eentje belt aan, een ander wacht op de stoep. De deurbelcamera begint meteen te lopen en neemt ook het geluid op.
"Je vroeg wat te doen als ze opendoen, en na wat geroezemoes 'gewoon beroven'", schrijft de dochter van de eigenaren op Facebook. Ze zet de beelden erbij met een oproep: wie herkent deze jongens?
En juist dát moet je niet zomaar doen, waarschuwt politiewoordvoerder Sven Strijbosch. "Het is leuk als je snel resultaat boekt door te namen en shamen, maar als deze jongens echt wat gedaan hebben kan het ook averechts werken. Een rechter kan dit namelijk meewegen in een strafbepaling." De politie kan overigens niet verbieden om de beelden te delen.
De beelden uit Apeldoorn zijn inmiddels van sociale media verwijderd. De persoon die herkenbaar in beeld kwam, heeft contact opgenomen.
Maar beelden die eenmaal online staan, zijn vaak lastig onder controle te houden. Zo vind je op platforms als Dumpert regelmatig oude filmpjes van camerabeelden waarin mensen zich misdragen, of een misdaad begaan. Als daarbij mensen herkenbaar in beeld zijn, wordt hun privacy geschonden. En - stelt de Autoriteit Persoonsgegevens - dat mag je dus niet zomaar delen. Ook de deurbelcamera's vallen daaronder: die mogen in principe alleen eigen terrein filmen.
Bovendien, zegt de politie, helpt het dus in de rechtszaal vaak niet als beelden nog rondzwerven. "Wij roepen regelmatig op tot het delen van beelden met ons, omdat wij een intern proces starten: we delen het met collega's, achter de schermen, om te kijken of er intern herkenning is. Als dat niet het geval is, dan kan soms overgegaan worden tot het delen via opsporingsprogramma's." Maar dat gebeurt weloverwogen. "Een officier van justitie moet daar toestemming voor geven."
De politie maakt veel gebruik van beelden. "Beeld is vaak goud waard in zaken. En er is steeds meer, omdat mensen dashcams, deurbelcamera's en mobiele telefoons hebben waarmee ze ontzettend veel filmen." Er wordt daarom dankbaar gebruik van gemaakt, ook als je niets hoort. "Als wij onderzoek doen, kan het soms overkomen alsof het lang duurt en we niets doen. Maar alle stappen correct doorlopen, dat duurt even. Maar als het rond is, dan heb je wel een goede rechtszaak waarin het bewijs overeind blijft."
Alles bij de bron; OmroepGelderland
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bij de Amerikaanse tak van telecomprovider T-Mobile zijn de gegevens van 37 miljoen klanten gestolen. Het gaat om naam, factuuradres, e-mailadres, telefoonnummer, geboortedatum, klantnummer en informatie over abonnementen.
De aanval begon op 25 november en T-Mobile ontdekte het datalek zo'n zes weken later op 5 januari. Het gaat om gegevens van zowel prepaid- als postpaidklanten. Inmiddels is de provider begonnen met het informeren van getroffen klanten.
In 2020 en 2021 kreeg T-Mobile ook al met verschillende datalekken te maken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
EU-commissaris Thierry Breton waarschuwt het Chinese bedrijf achter TikTok zich aan de EU-regels te houden, anders kan de app in de EU verboden worden.
Het geduld van Brussel met TikTok is op. Na meerdere schandalen komt de video-app, die vooral populair is onder jongeren, nu in het vizier van de Europese Commissie.
"Met een jonger publiek komt meer verantwoordelijkheid", aldus Breton. Hij uitte ook zijn zorgen over het feit dat sommige medewerkers van het Chinese TikTok-moederbedrijf ByteDance journalisten bespioneerden en dat persoonsgegevens van gebruikers naar China worden doorgestuurd.
Breton ziet TikTok als een 'wolf in schaapskleren', schreef hij na het overleg met TikTok-ceo Shou Zi Chew. Volgens de EU-commissaris schiet de app ook tekort bij de aanpak van cyberpesten, desinformatie en filmpjes over eetstoornissen.
Alles bij de bron; RTL
- Gegevens
- Hoofdcategorie: Internet en Telecom
Afgelopen zomer nam de Belgische Kamer van Volksvertegenwoordigers een nieuwe Belgische dataretentiewet aan. Het betreft een derde herziening van de wet waardoor Belgische providers in bepaalde gevallen preventief metagegevens van telecomklanten moeten bijhouden.
Twee vorige versies van de Belgische dataretentiewet waren volgens het Europese Hof van Justitie problematisch wat het recht op privacy betreft en zijn afgevoerd.
De derde dataretentiewet moet wel aan de eisen van het Hof voldoen, maar daar hebben Europarlementariër Patrick Breyer en privacyorganisatie Liga voor Mensenrechten bedenkingen bij. Volgens hen neemt de gewijzigde wet de privacyzorgen van de eerdere wetten niet weg...
...Ook in Nederland is de wetgeving rondom dataretentie omstreden. In 2015 verklaarde een Nederlandse rechter de dataretentiewet ongeldig in een zaak die was aangespannen door privacyorganisaties en andere providers. Volgens de rechter maakte de wet in zijn toenmalige vorm inbreuk op het Europese mensenrechtenverdrag en moest ze buiten werking worden gesteld.
In heel wat Europese landen zijn de nationale datarentiewetten omstreden. Privacyorganisaties bundelen hun krachten en blijven protesteren tegen deze wetgeving, omdat die volgens hen het recht op privacy van EU-burgers schendt. Het is dus alleszins mogelijk dat de huidige dataretentiewetten binnenkort opnieuw in de actualiteit verschijnen.
Alles bij de bron; Tweakers [lang lezen artikel]