Apple heeft een rechtszaak aangespannen tegen de Britse overheid vanwege de eis dat de iPhone-maker een achterdeur bouwt in iCloud. De techgigant stopte onlangs al met de Advanced Data Protection-functie voor het versleutelen van iCloud-opslag in het Verenigd Koninkrijk.
De Britse overheid eist van Apple dat het bedrijf een algemene achterdeur inbouwt om toegang te kunnen krijgen tot versleutelde iCloud-inhoud van gebruikers indien een rechter daarvoor toestemming geeft. De techgigant wil niet aan dit bevel voldoen en heeft daarom een beroep ingesteld bij het Investigatory Powers Tribunal, meldt de Financial Times.
Alles bij de bron; Tweakers
De onafhankelijkheid van Amerikaanse toezichthouders die de data-uitwisseling tussen de EU en de VS reguleren, staat op losse schroeven.
Trump en consorten vallen de rechterlijke macht en onafhankelijke agentschappen aan, en hebben Democraten uit belangrijke toezichtsorganen gezet zo meldt Euroactiv.
Dit ondermijnt het EU-VS Data Protection Framework (DPF), dat de veilige overdracht van Europese persoonsgegevens naar de VS moet garanderen.
Verschillende toezichtsorganen zijn inmiddels vleugellam of onder directe controle van het Witte Huis geplaatst.
Europarlementariërs en privacy-activisten maken zich zorgen en eisen opheldering van de Commissie. Zonder ingrijpen dreigt een nieuw dataschandaal, met grote gevolgen voor bedrijven en burgers.
Alles bij de bron; Dutch-IT-Channel
Niet elke zorginstelling in Nederland heeft het tegengaan van het onbevoegd inzien van medische dossiers van patiënten goed geregeld, zo stelt de Autoriteit Persoonsgegevens (AP).
Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, stelde onlangs dat Nederlandse zorginstellingen geregeld te maken krijgen met ongeoorloofde inzage in patiëntendossiers door personeel en datalekken door het gebruik van chatbots, verkeerd bezorgde mail en openstaande schermen.
"Gezondheidsgegevens zijn enorm kwetsbaar", zegt AP-voorzitter Monique Verdier "Als je een psychische aandoening hebt, of een soa hebt, wil je niet dat iemand dat weet."
Op de vraag of het tegengaan van onbevoegde inzage goed bij Nederlandse zorginstellingen is geregeld laat Verdier weten dat het wordt gedaan. "Maar of dat voldoende gebeurt is de vraag. Niet elke zorginstelling heeft het heel goed geregeld, maar in de ziekenhuizen gaat het over het algemeen heel goed."
Alles bij de bron;Security
Op een rommelmarkt zijn vijftien tweedehands harde schijven verkocht met daarop onbeveiligde medische gegevens van honderden patiënten. De schijven bevatten onder meer burgerservicenummers, medicatiegegevens en patiëntendossiers uit de periode 2011-2019.
De ontdekking werd gedaan door een computerliefhebber die de schijven van elk 500GB aanschafte en tijdens een routinecontrole gevoelige bestanden aantrof. Na een initiële scan en een daaropvolgende 'deep scan' kwamen talrijke gevoelige bestanden aan het licht. De ict-afdeling van een getroffen zorginstelling heeft aan hem bevestigd dat de data komt van het inmiddels niet meer actieve bedrijf Nortade ICT Solutions uit Breda. Dat bedrijf bood software aan voor de zorgsector.
Mogelijk kocht de verkoper de schijven tijdens de faillissementsverkoop van het bedrijf.
De regelgeving schrijft voor dat opslagmedia met medische gegevens professioneel gewist moeten worden met certificering. De vinder heeft de Autoriteit Persoonsgegevens ingelicht over het datalek en de betrokken zorginstellingen geïnformeerd.
Alles bij de bron; Tweakers
MSI heeft vorig jaar de persoonlijke gegevens van 250.000 klanten gelekt. Het gaat om namen, telefoonnummers, e-mailadressen, adresgegevens en garantieclaims. De computerfabrikant besloot geen datalekmelding te versturen omdat er geen identiteitsnummers zoals social-securitynummers en rijbewijsnummers zijn buitgemaakt, zo liet het weten.
Een aantal maanden geleden werd bekend dat een server van MSI met garantieclaims van klanten voor iedereen op internet zonder enige authenticatie toegankelijk was. De claims gingen terug tot 2017 en waren eenvoudig via Google te vinden.
De 250.000 gelekte e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De gelekte e-mailadressen zijn toegevoegd aan Have I Been Pwned. 84 procent was al via een ander datalek bekend.
Alles bij de bron; Security
De 'infostealer' is in opkomst: tienduizenden Nederlanders zijn inmiddels besmet met de malware, vaak zonder dat ze het weten - en elke dag komen er tientallen nieuwe slachtoffers bij.
Het virus besmet stilletjes je computer of telefoon en steelt jouw privégegevens, zoekgeschiedenis en wachtwoorden.
De besmetting van je computer of telefoon gebeurt meestal omdat mensen illegaal downloaden, bijvoorbeeld als ze een betaalde app gratis willen hebben. Ook blijken kinderen regelmatig apparaten van hun ouders te besmetten omdat ze lukraak spelletjes installeren.
Omdat een infostealer toegang heeft tot zoveel gegevens, liggen allerlei vormen van misbruik op de loer. Een aanvaller kan je online accounts overnemen. Zelfs als je extra beveiligingsmaatregelen hebt genomen, zoals inloggen in twee stappen (tweestapsverificatie).
Dat kan omdat de infostealer toegang heeft tot de cookies in de browser. Deze cookies zorgen ervoor dat je ingelogd blijft. Als een aanvaller die cookies steelt, kan hij zich als jou voordoen. Dat wordt ook wel session hijacking genoemd.
Infostealers zijn lastig te ontdekken door virusscanners omdat ze stilletjes op de achtergrond werken. De meeste infostealers verwijderen automatisch hun sporen om de kans op detectie te verminderen. Als er een detectie plaatsvindt, is dat vaak pas maanden na de infectie.
Volgens experts is de antivirussoftware van Sophos een van de beste keuzes om infecties met infostealers te detecteren. Het gaat dan om Hitman Pro of Sophos Home.
Voor Android-smartphones heb je Intercept X (gratis) van Sophos. iOS heeft vrijwel geen last van infostealers door het gesloten karakter van het besturingssysteem.
Alles bij de bron; RTL
De gemeente Amersfoort erkent dat het persoonsgegevens van inwoners, die het onlangs lekte, langer dan noodzakelijk bewaarde en daarmee de AVG heeft overtreden. "Het beginsel van de AVG om persoonsgegevens niet langer te bewaren dan voor het doel waarvoor ze verwerkt worden is niet nageleefd", reageert het college van burgemeester en wethouders.
In het verwerkingsregister van de gemeente Amersfoort staat dat gegevens over afspraken die met de afdeling Burgerzaken zijn gemaakt na vijf jaar moeten zijn verwijderd na een succesvolle afhandeling van het verzoek. Bij een 'afgebroken verzoek' moet de data al na een jaar weg zijn.
Tevens heeft de gemeente de leverancier waar de gegevens werden gestolen in gebreke gesteld.
Alles bij de bron; Security
Onderzoekers van de Universiteit Leiden en de TU Delft hebben vastgesteld dat een groot aantal gevoelige bestanden, waaronder API-sleutels en inloggegevens, per ongeluk is blootgesteld via misconfiguraties in cloudopslag.
Het onderzoek toont aan dat 215 gevallen van blootgestelde geheime bestanden zijn geïdentificeerd. Deze bestanden kunnen toegang verlenen tot databases, cloudinfrastructuur en externe API's, waardoor er aanzienlijke veiligheidsrisico's ontstaan.
Na de ontdekking van de lekken hebben de onderzoekers de betrokken organisaties en cloudproviders op verantwoorde wijze geïnformeerd. In 95 gevallen zijn de problemen vervolgens verholpen.
De toenemende afhankelijkheid van clouddiensten voor opslag en implementatie maakt het beveiligen van cloudomgevingen van cruciaal belang. Misconfiguraties in cloudopslag kunnen leiden tot onbedoelde blootstelling van gevoelige gegevens.
Het is van essentieel belang dat organisaties hun cloudomgevingen zorgvuldig configureren en beveiligen om dergelijke incidenten te voorkomen.
Alles bij de bron; Dutch-IT-Channel
De gegevens van meer dan één miljoen medewerkers van de Britse National Health Service (NHS) waren via verkeerd ingestelde Microsoft Power Pages voor iedereen op internet toegankelijk. Het ging om naam, adresgegevens, telefoonnummer en e-mailadres. Dat meldt beveiligingsonderzoeker Aaron Costello op basis van eigen onderzoek.
Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Het maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers.
Costello ontdekte dat verschillende organisaties de permissies van anonieme gebruikers verkeerd hadden ingesteld, waardoor die toegang hadden tot data die alleen voor geauthenticeerde gebruikers had moeten zijn. Daarnaast bleek ook dat alle data in een tabel onbedoeld als toegankelijk was aangemerkt. Hierdoor was onbeperkte leestoegang tot gegevens mogelijk.
In het geval van de gegevens van NHS-medewerkers ging het om een grote, niet nader genoemde, zakelijke serviceprovider die de gegevens voor de Britse gezondheidszorg verwerkte en de eerder genoemde configuratiefouten had gemaakt. Na te zijn ingelicht werden de instellingen aangepast.
Alles bij de bron; Security
Het datalek waar de Finse hoofdstad Helsinki begin dit jaar mee te maken kreeg, en werd veroorzaakt door een vergeten beveiligingsupdate, is veel groter dan eerst gedacht. In eerste instantie werd gesproken over 80.000 leerlingen en hun ouders/voogden, alsmede 38.000 medewerkers van de onderwijsdivisie. Dat aantal werd vervolgens verhoogd naar 150.000 leerlingen/voogden.
Nu blijkt het te gaan om de gegevens van zo'n 300.000 mensen, aldus de Finse Onderzoeksraad voor Veiligheid. Dat werd verzocht een onderzoek naar het incident bij de onderwijsafdeling uit te voeren. De raad stelt dat op de gecompromitteerde netwerkschijf 2,5 miljoen documenten stonden. Hoeveel er daarvan zijn gestolen wordt nog uitgezocht.
Het is al bekend dat de aanvaller gebruikersnamen en e-mailadressen van al het stadspersoneel heeft buitgemaakt, alsmede persoonlijke 'ID's' en adresgegevens van leerlingen, voogden en personeel van de onderwijsafdeling. Ook werd er toegang verkregen tot de netwerkschijven van de organisatie. Sommige van de bestanden op de netwerkschijven bevatten vertrouwelijke of gevoelige persoonlijke informatie.
"Onze beveiligingsupdate- en systeembeheerprocedures waren onvoldoende. Na de inbraak hebben we maatregelen genomen om een soortgelijk datalek in de toekomst te voorkomen", aldus Hannu Heikkinen, chief digital officer van de Finse hoofdstad.
Alles de bron; Security