Uitschrijfdienst Unroll.Me heeft stiekem persoonlijke e-mails van gebruikers gedeeld met moederbedrijf Slice, dat de e--mails vervolgens voor marktonderzoeksproducten gebruikte. Unroll.Me biedt gebruikers de mogelijkheid om zich eenvoudig voor allerlei nieuwsbrieven uit te schrijven.

Daarnaast verzamelt de dienst nieuwsbrieven die gebruikers wel willen zien en toont die in één dagelijkse e-mail. Om de nieuwsbrieven te kunnen beheren vraagt Unroll.me toegang tot het e-mailaccount van de gebruiker, die hiervoor zijn inloggegevens moet afstaan. 

Tienduizenden gebruikers besloten dit in eerste instantie niet te doen en Unroll.Me stuurde deze gebruikers vervolgens een bericht waarin het liet weten dat het persoonlijke e-mails van gebruikers niet aanraakte. Op deze manier wist de uitschrijfdienst meer dan 55.000 gebruikers te overtuigen om het toch toegang tot het e-mailaccount te geven.

Persoonlijke e-mails werden echter wel gebruikt en gedeeld. Het ging dan om e-mails van producten en diensten die gebruikers hadden gekocht. Unroll.Me deelde deze e-mails met moederbedrijf Slice, dat de aankoopinformatie uit de berichten voor haar marketingonderzoeksproducten gebruikte.

Volgens de Amerikaanse toezichthouder FTC heeft Unroll.Me gebruikers op deze manier misleid. Het bedrijf heeft nu een schikking met de FTC getroffen. Als onderdeel van de schikking mag Unroll.Me gebruikers niet meer misleiden en moet het gebruikers informeren die na de misleidende verklaring besloten om de dienst toch toegang tot hun e-mailaccount te geven.

Alles bij de bron; Security


 

...wat niemand zag aankomen, is dat de AVG ook als wapen gebruikt kan worden in het arsenaal van kwaadwillende social engineers, hackers en mensen die anderen willen doxen en lastigvallen. 

Een onderdeel van de AVG is namelijk dat alle Europeanen bij elk bedrijf kunnen opvragen welke gegevens ze over hen hebben. Pavur en Knerr onderzochten of die informatieverzoeken gebruikt konden worden om gevoelige informatie van anderen te verkrijgen.

Dat is wat cybersecurity-onderzoeker James Pavur ontdekte toen hij en Casey Knerr, zijn verloofde en de co-auteur van hun onderzoek, een wedje legden over de AVG. “De weddenschap hield in dat ik haar identiteit kon stelen met die verzoeken,” zegt Pavur.

“James heeft de weddenschap gewonnen,” zegt Knerr. Dankzij de AVG kon hij persoonlijke informatie over Knerr opvragen, waaronder haar burgerservicenummer (BSN). Samen met Knerr, die ook in de cybersecurity-industrie werkt – en met haar volledige toestemming – bedacht Pavur een slim, maar simpel experiment.

Hij begon met Knerrs naam en achternaam, een paar e-mailadressen, telefoonnummers en ander laaghangend fruit dat hij online kon vinden. Met een e-mailadres dat eruitzag als dat van Knerr stuurde hij informatieverzoeken naar 75 bedrijven en met de gegevens die hij kreeg – waaronder Knerrs adres – stuurde hij nieuwe informatieverzoeken naar 75 andere bedrijven.

Met die verzoeken kreeg Pavur veel gegevens van Knerr in handen, zoals haar BSN, geboortedatum, meisjesnaam van haar moeder, wachtwoorden, eerdere adressen, reis- en hotelgegevens, cijfers van de middelbare school, gedeeltelijke creditcardnummers en informatie over of ze ooit een online datingdienst had gebruikt.

...Volgens Pavur en Knerr reageerde een kwart van de bedrijven die hij benaderde helemaal niet. Twee derde van de bedrijven, waaronder de online datingdiensten, reageerde met zoveel informatie dat Pavur erachter kwam dat zijn verloofde een account had op een datingsite. Van de bedrijven die reageerden, gaf een kwart zomaar gevoelige informatie weg zonder de identiteit van Knerr te verifiëren. 15 procent vroeg om informatie die gemakkelijk vervalst kan worden en 40 procent van de bedrijven vroeg om identificatie-informatie die volgens het onderzoek relatief moeilijk is om te vervalsen.

Pavur concludeert dat we betere mechanismen nodig hebben om te verifiëren dat de persoon die het informatieverzoek doet ook echt is wie hij beweert te zijn. Sommige bedrijven waren best goed in het verifiëren van zijn identiteit. Maar in andere gevallen namen bedrijven niet eens de moeite om te vragen naar verificatie en stuurden ze gewoon de gegevens terug, zoals in het geval van het bedrijf dat Knerrs BSN meteen aan Pavur gaf.

Alles bij de bron; Vice


 

De Australische overheid heeft bedrijven en organisaties in het land gewaarschuwd voor password spraying, aangezien het een toename van deze aanval ziet om toegang tot webmail of cloudgebaseerde diensten zoals Office 365 te krijgen.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt...

...Om de aanvallen te voorkomen adviseert het Australische Cyber Security Centre (ACSC) om multifactorauthenticatie te implementeren op alle systemen met externe toegang, het gebruik van complexe wachtwoorden via een policy te verplichten, wachtwoorden van getroffen accounts te resetten, geo blocking, ip-whitelisting of vpn's in te voeren en monitoring uit te breiden.

Alles bij de bron; Security


 

Zowel bedrijven als overheidsinstellingen volgen je lees- en klikgedrag in de e-mails die ze je sturen. Door een blinde vlek in de AVG-wetgeving kunnen zij gemakkelijk bijhouden of, waar en wanneer je hun e-mails opent en waar je op klikt. Hoe kun je je wapenen tegen hun volgdrang?

Om te beginnen is het goed te weten hoe trackingsoftware in e-mails werkt. In nieuwsbrieven verstopt de afzender, een kledingwinkel bijvoorbeeld, vaak een zogenoemde trackingpixel, een piepklein plaatje, niet met het blote oog te zien. Zodra je – nietsvermoedend – de e-mail over de start van de uitverkoop opent, wordt het plaatje gedownload van de internetserver van de afzender. Die server registreert het tijdstip en je IP-adres, het adres van je computer op het internet. Soms zorgt een stukje programmeercode er zelfs voor dat het minuscule plaatje wel gedownload, maar niet weergegeven wordt.

Dat alles gebeurt in een fractie van een seconde – als je leest hoeveel procent korting je krijgt, is het al te laat. Gelukkig kun je wel voorkomen dat je e-mailprogramma automatisch afbeeldingen downloadt. Zo wordt de trackingpixel niet meteen binnengehaald en belet je de server je gegevens te registreren.

...er zijn handige computerprogrammaatjes die het speurwerk voor je kunnen doen. Voor Gmail bijvoorbeeld, is er de gratis tool UglyMail

Alles bij de bron; Volkskrant


 

In verschillende buurten in Emmen is een brief verspreid die de geadresseerde uitnodigt lid te worden van Nextdoor. Deze buurtapp is in opspraak vanwege identiteitsfraude. De politie en de Consumentenbond manen mensen alert te zijn bij het downloaden van de app.

In de uitnodigingsbrief lijkt het alsof een buurtgenoot de oproep doet lid te worden. Er staat ook vaak een naam vermeld. Maar uit meldingen uit het hele land blijkt dat deze mensen vaak niet weten van het bestaan van de brief, laat staan dat ze die zelf hebben gestuurd.

Wie zich inschrijft, verstrekt volgens de voorwaarden van het bedrijf ook allerlei persoonlijke gegevens, van naam, adres en telefoonnummer tot aan profielfoto toe. Volgens het tv-programma Opgelicht geven mensen die de app hebben gedownload toestemming hun persoonlijke gegevens te gebruiken voor promotionele doeleinden. Tot aan het posten van berichten uit naam van de gebruiker toe, die daar dus geen weet van heeft.

Bij de politie in heel Nederland komen klachten binnen over de app. Mensen die zien dat hun naam zonder hun medeweten is gebruikt in de uitnodigingsbrief zeggen aangifte te doen van identiteitsfraude. De politie in Noord-Nederland waarschuwt mensen vooral alert te zijn. ,,Dat geldt voor Nextdoor, maar ook voor soortgelijke apps. Lees altijd goed de gebruikersvoorwaarden door. En let erop welke persoonlijke gegevens je afstaat voor gebruik.’’

Alles bij de bron; DagbladvhNoorden


 

Facebook brengt Instagram, WhatsApp en Facebook Messenger, op technisch vlak samen. Het is begonnen met het linken van de chatdiensten in Instagram en Facebook Messenger. Dat schrijft nieuwsagentschap Bloomberg op basis van ingewijden. Bedoeling is dat Instagram-gebruikers zo kunnen chatten met mensen op Facebook Messenger. Beide platformen zijn op dit moment nog volledig gescheiden.

Vorig jaar besloot CEO Mark Zuckerberg dat gebruikers van zijn verschillende platformen, zoals Instagram, WhatsApp en Messenger, met elkaar moeten kunnen babbelen, ongeacht het platform waarop ze zitten. Daartoe moet de back-end van de verschillende diensten met elkaar geïntegreerd worden.

De beslissing kreeg kritiek omdat daarmee ook de data van de verschillende diensten kan worden samengebracht. De FTC, de Amerikaanse kartelwaakhond, startte een onderzoek naar het aankoopbeleid van Facebook, waarmee het onder meer wil kijken of het WhatsApp en Instagram heeft gekocht in een poging eventuele concurrentie tegen te gaan. Met een eengemaakte back-end, zou er alvast op technisch vlak een drempel zijn om de bedrijven op te splitsen. 

Alles bij de bron; Knack


 

Arnhemmers moeten hun vuilnis in ondergrondse containers gooien. Die gaan sinds juli 2014 alleen open met een adresgebonden afvalpas. Dat was tegen het zere been van privacyactivist Michiel Jonker. Hij vond dat de gemeente te makkelijk persoonlijke gegevens van haar burgers opsloeg. Daarom stapte hij naar de rechter.

De rechter gaf hem toen gelijk; de gemeente moest stoppen met de onwettige verwerking van persoonsgegevens bij afvalsystemen. Iedereen kon daarna zonder pasje gebruik maken van de containers. 

Nu komt de gemeente met een nieuwe manier om afvalverwerking te regelen: mensen zouden anoniem toegang krijgen tot de containers. 'Nu registreren we geen stortgegevens', stelt Martine Baar, woordvoerster van de gemeente Arnhem. 'Het enige wat gebeurt is dat de container opengaat.' Wél geeft de gemeente aan dat elke pas een uniek serienummer heeft, verbonden aan een adres.

'En die adressen zijn herleidbaar tot personen', stelt Jonker. Volgens hem is er nu eigenlijk weer sprake van dezelfde situatie als ten tijde van de rechterlijke uitspraak in juli 2017. Daarom spant hij een nieuwe rechtszaak aan. 

Alles bij de bron; OmroepGelderland


 

Medewerkers van Microsoft luisteren naar gesprekken van Skype- en Cortana-gebruikers. Dat onthult Motherboard, een Amerikaanse technologiewebsite. Cortana is de virtuele assistent van Microsoft, die met spraakbesturing werkt. Bij de Skype-opnames gaat het specifiek om gesprekken bij de vertaaldienst, die live gesprekken kan vertalen hierbij is ook persoonlijke informatie van de gebruikers te horen.

Motherboard kwam aan de gesprekken via een anonieme klokkenluider die bij Microsoft werkt. "Dat ik dit überhaupt met jullie kan delen, laat zien hoe laks Microsoft omgaat met het beschermen van persoonlijke data", zegt de klokkenluider.

Microsoft is de vierde techgigant in korte tijd die gebruikers blijkt af te luisteren. Eerder kwamen AmazonApple en Google hiermee al in het nieuws.

Alles bij de bron; NOS


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha