Digitale Schandpaal

De Italiaanse bank UniCredit heeft een boete van 600.000 euro gekregen voor een datalek dat in 2017 aan het licht kwam, zo heeft de Italiaanse privacytoezichthouder bekendgemaakt. 

De eerste aanval vond eind 2016 plaats, gevolgd door een tweede aanval halverwege 2017. Volgens UniCredit wisten de aanvallers toegang allerlei persoonlijke informatie, zoals contactgegevens, beroep, opleidingsniveau, identificatiegegevens van een identificatiedocument en informatie met betrekking tot de werkgever, salaris, lening, betalingsstatus, kredietwaardigheid van de klant en Iban-code gekregen.

De Italiaanse toezichthouder stelde vast dat de bank geen adequate technische en organisatorische maatregelen had getroffen om het datalek te voorkomen. Hoewel de bank na het incident maatregelen trof om de beveiliging te verbeteren stelde dat toezichthouder dat gezien de tekortkomingen van de bank en het grote aantal getroffen mensen een boete van 600.000 euro op zijn plaats is.

Alles bij de bron; Security


 

De boete werd uitgedeeld aan een onbekend bedrijf. Dat stuurde een e-mail met daarin een marketingbericht naar een persoon. Die vroeg aan het bedrijf hoe zijn e-mailadres op de lijst was gekomen en waarom hij de mail kreeg. Ook wilde de klager weten of het bedrijf nog meer informatie over hem had. Na een paar e-mails over en weer waarin het bedrijf onder andere om identificatie van de klager vroeg kreeg de klager opnieuw een marketingmail. Hij stapte daarop naar de privacytoezichthouder.

Tijdens het onderzoek van de GBA bleek dat het bedrijf de gegevens van de klager per ongeluk had verwerkt. Het ging om 'een menselijke fout', waarbij het verkeerde e-mailadres werd opgegeven. Desondanks zat het bedrijf op meerdere punten fout, concludeert de toezichthouder. Zo nam het bedrijf 'niet afdoende maatregelen om de persoonsgegevens te rectificeren of te wissen', en omdat het bedrijf niet binnen een maand reageerde op de klager. Ook had het bedrijf niet 'de gepaste technische en organisatorische maatregelen' om herhaling in de toekomst te voorkomen.

Het is niet bekend om welk bedrijf het gaat. Wel schrijft de GBA dat het bedrijf een miljardenomzet had in 2019.

Bron; Tweakers


 

In The Circle, een roman van Dave Eggers waarin één Google/Facebook/Apple-achtig bedrijf steeds meer kennis en daarmee controle krijgt over het doen en laten van iedereen in de hele wereld, spelen camera’s een hoofdrol. Begonnen als een handige manier om de surfcondities in de gaten te houden op een strand aan de Stille Oceaan, zijn de camera’s al snel alomtegenwoordig. Ze zijn zo goedkoop dat je ze gewoon overal kunt opplakken, waarna ze verbonden worden met een cloud en iedereen kan zien wat er zo’n beetje op elk moment op elke plek in de wereld gebeurt.

SeeChange, heet dit organisch groeiende panopticum, een cruciaal onderdeel van de door Eggers beschreven dystopie waarin elk begrip van privacy verdwijnt. Terwijl het in klassieke doemdenkende toekomstvisies meestal draait om een machtige staat die met nieuwe technologie zijn wil aan de burgers oplegt (Brave New World, 1984) is het in The Circle gewoon een commercieel bedrijf dat de macht grijpt, en zijn het individuele consumenten die daar uit min of meer vrije wil voor kiezen (al is die keuze zo collectief dat ontsnappen uiteindelijk niet meer mogelijk blijkt).

Die plakcameraatjes zijn er nog niet, maar mobiele telefoons komen in de buurt. Miljarden mensen hebben op elk moment van de dag de mogelijkheid om op te nemen wat er op hun pad komt, en dat vervolgens te delen via sociale media en in de beeldensoep die elke dag weer wordt bereid komen de belangrijkste beelden vanzelf bovendrijven. Zoals die van de dood van George Floyd.

Zou er zoveel ophef zijn ontstaan als niet was gefilmd hoe vier politieagenten in Minneapolis hem overmeesteren, hoe één van hen bijna negen minuten een knie in zijn nek zet, waarna te horen is hoe hij om zijn moeder roept?

Nee en ineens ziet een meerderheid iets dat niet meer te negeren is: in dit land vermoorden witte mensen zwarte mensen en denken witte mensen dat ze daarmee weg kunnen komen.

Silicon Valley heeft allerlei maatschappelijke ontwikkelingen in gang gezet die dystopische trekjes vertonen – de privacy-exploitatie, polarisatie en gegroeide concentratie van macht en rijkdom hebben hun eindpunt nog niet bereikt. Maar dat de Californische technologie een middel zou worden om machtsmisbruikers te controleren en ter verantwoording te roepen is een bevestiging dat de utopische dromen van de libertarische hippies die (mede) aan de wieg stonden van de tech-revolutie ook bewaarheid zijn.

Alles bij de bron; TechnischWeekblad


 

HyperBeard, de ontwikkelstudio achter de populaire app KleptoCats, zal wegens het illegaal verzamelen van de gegevens van kinderen 150.000 dollar betalen en de verzamelde data verwijderen. Dat is de uitkomst van een schikking tussen het bedrijf en de Amerikaanse toezichthouder FTC, die ook een voorwaardelijke boete van 4 miljoen dollar bevat. Aangezien HyperBeard dit bedrag niet kan betalen neemt de toezichthouder genoegen met 150.000 dollar. Als echter blijkt dat het bedrijf of diens directeur hebben gelogen over de financiële situatie zal de 4 miljoen dollar alsnog moeten worden betaald.

Volgens de FTC heeft HyperBeard met de op kinderen gerichte apps de Children’s Online Privacy Protection Act (COPPA)-wetgeving overtreden. Deze wet verplicht dat op kinderen gerichte websites en online diensten hun informatieverzameling kenbaar maken en toestemming van ouders krijgen voordat er persoonlijke gegevens van kinderen onder de 13 jaar worden verzameld. 

HyperBeard liet third-party netwerken persoonlijke informatie van gebruikers verzamelen, zonder dat ouders hierover werden geïnformeerd of toestemming hadden gegeven. Via de verzamelde gegevens kregen kinderen die de HyperBeard-apps gebruikten gerichte advertenties te zien.  

Alles bij de bron; Security


 

De Irish Data Protection Commission (DPC) zegt vooruitgang te boeken bij onderzoeken naar grote socialemediabedrijven waarvan wordt aangenomen dat ze de Algemene Verordening Gegevensbescherming van de EU hebben geschonden. Er loopt onderzoek naar Twitter, WhatsApp en Facebook.

De zaak tegen Twitter is het verst gevorderd. Het onderzoek is afgerond en een ontwerpbesluit over de naleving door Twitter van de AVG na datalekken is voor commentaar naar de andere EU-toezichthouders voor gegevensbescherming gestuurd. 

Daarnaast werd er een voorontwerp van besluit gestuurd naar WhatsApp Ireland voor de definitieve reactie van het bedrijf. Deze zaak bekijkt of WhatsApp de AVG heeft geschonden door niet volledig bekend te maken aan het gebruik dat het hun persoonlijke gegevens deelde met het moederbedrijf Facebook.

Het onderzoek van de DPC naar Facebook, over de vraag of het de juiste toestemming van gebruikers heeft gekregen voor het verwerken van hun persoonlijke gegevens, wordt ook voortgezet. De toezichthouder zei dat dit onderzoek zich in de besluitvormingsfase bevindt.

Ten slotte zal de door de Oostenrijkse activist Max Schrems aangespannen principiële zaak tegen Facebook op 16 juli voor het Europese Hof van Justitie worden gehoord. Schrems heeft Facebook ervan beschuldigd de privacywetgeving van de EU te hebben geschonden door gegevens over gebruikers naar de VS te sturen, waar ze mogelijk onder staatstoezicht staan. De zaak gaat na of het gebruik van modelcontractclausules door Facebook om de gegevensoverdracht te autoriseren in overeenstemming is met de AVG.

Alles bij de bron; TelecomPaper


 

De Gegevensbeschermingsautoriteit wil voortaan op eigen initiatief grootschalige onderzoeken starten en onderzoeken op thema of per sector in gang zetten, meldt inspecteur-generaal Peter Van Den Eynde in een gesprek met Belga, waarover Datanieuws publiceert. "

Tot op heden was ons inspectiebeleid vooral reactief: we hebben de ontvangen klachten opgevolgd. Voortaan willen we ook proactiever te werk gaan met bijvoorbeeld sectorale of thematische, grootschalige onderzoeken op eigen initiatief', zegt Peter Van Den Eynde. 'We zijn ervan overtuigd dat we dankzij een proactieve en globale aanpak de persoonsgegevens van de burgers doeltreffender kunnen beschermen.'

Daarvoor zijn volgens hem wel meer middelen nodig. Van Den Eynde hield het gesprek omdat de Algemene Verordening Gegevensbescherming maandag twee jaar van kracht is.

Alles bij de bron; Tweakers


 

We maken dezer dagen massaal gebruik van de app Houseparty. Ontzettend leuk om met je vrienden te doen, maar een gigantisch drama voor je privacy. Althans, dat is wat experts nu naar buiten brengen.

De applicatie gaat er namelijk flink met je data vandoor en niet alleen wanneer je deze geopend hebt. Houseparty wordt op dit moment “een Trojaans Paard voor privacy” genoemd. 

Volgens Digital Privacy Expert Ray Walsh moeten zij zich ervan bewust zijn dat de applicatie “een verontrustende hoeveelheid persoonlijke informatie” verzamelt. Ray laat weten dat het ook om geolocatie gaat, waarbij Houseparty theoretisch gezien zijn gebruikers op de voet kan volgen.

Eerder werd al bekend dat regeringen gebruik maken van locatiedata vanwege COVID-19. Walsh is bang dat overheden dit dus ook zullen doen met de vele data die Houseparty verzameld heeft.

Gehan Gunasekara, professor commerciële rechten aan de Universiteit van Auckland, laat tegenover Radio New Zealand weten dat Houseparty een Trojaans Paard is op het gebied van privacy. “De app is in de mogelijkheid om iedere stap die je zet in de gaten te houden”, zo laat hij weten. Sterker nog: door het downloaden en het gebruiken van de app, geven we de ontwikkelaars toegang tot heel veel informatie. Waar je precies bent, met wie je contact hebt, hoevaak je contact hebt enzovoorts.

Op Twitter zijn er veel gebruikers die opeens verband leggen tussen het gebruik van Houseparty en veiligheid op het internet. Zo komen er verschillende meldingen binnen over het feit dat accounts gehackt zijn, nadat ze aan de slag gingen met de app. Denk hierbij aan accounts op PayPal, Netflix, Instagram, Spotify en in sommige gevallen zelfs apps van banken.

Er is een manier om Houseparty veiliger te gebruiken. Een manier om ervoor te zorgen dat de applicatie niet zoveel informatie binnen hengelt. Je kunt bijvoorbeeld je locatie-tracking uitzetten voor de applicatie of het gesprek waarin je zit vergrendelen. Maak dus gebruik van de prive-chat.

Het allerbeste advies dat gegeven kan worden is: maak geen gebruik van Houseparty. Het is misschien ontzettend leuk, maar vraag jezelf af of je het allemaal waard vindt.

Alles bij de bron; Want


 

De Zoom-app voor videobellen is plots overal en nu er door die extra populariteit meer onderzoek naar de app wordt gevoerd, blijkt Zoom zo lek als een zeef.

Vorige week waarschuwde onder meer de Electronic Frontier Foundation voor mogelijke privacyrisico's bij het gebruik van de app. Zo zou de organisator van een gesprek kunnen kijken welke andere programma's er op de computer van zijn mede-thuiswerkers draaien, en kunnen beheerders bijvoorbeeld IP-adres, locatiedata en toestelinformatie krijgen. Een ondertussen aangepaste regel in de privacy policy van het bedrijf zou Zoom bovendien de mogelijkheid geven om gesprekken te analyseren voor marketingdoeleinden. In januari vond Check Point Research dan weer een lek waardoor je meetings van op afstand kon afluisteren en vorig jaar leed de start-up aan een bug waardoor een kwaadwillige van op afstand de webcam kon overnemen. Die werd uiteindelijk gepatcht.

Maar er blijven geraamtes uit de kast vallen. Volgens onderzoek van The Intercept liegt Zoom bijvoorbeeld over zijn beveiligingsmaatregelen. Het bedrijf meldt op zijn website en in een white paper dat de dienst end-to-end encryptie ondersteunt, maar dat zou niet helemaal waar zijn. De dienst die aangeboden wordt, is TLS-encryptie of 'transport encryption', en da's iets anders.

TLS-encryptie is vergelijkbaar met bijvoorbeeld een https-beveiliging van een website. De website in kwestie weet wel dat je er bent, en kan zien wat je klikt, maar de verbinding tussen jou en de website is wel beveiligd. Bij de transportencryptie van Zoom wordt de verbinding tussen jou en Zoom, en je geadresseerde en Zoom, beveiligd. Maar Zoom zelf kan eventueel wel de gegevens zien terwijl ze over zijn servers loopt, al meldt het bedrijf wel dat het de gegevens niet decrypteert terwijl ze in die Zoom cloud zitten. De reden dat Zoom zijn encryptie 'end-to-end' noemt, volgens een woordvoerder in The Intercept, is omdat ze hun eigen servers als 'end points' zien. Dat is een bijzonder creatieve manier om met woorden om te gaan, gezien end points over het algemeen de... eindpunten zijn, dus de toestellen van de gebruiker, niet de server van de dienst die daartussen zit.

Volgens een rapport in Vice is het bedrijf ook slordig met mailadressen. Aan de grond hier ligt een functie waarbij mensen met hetzelfde maildomein in een 'bedrijfsdirectory' worden gestopt. Vanuit bedrijfsstandpunt is dat handig, want het betekent dat je bijvoorbeeld de profielen van je collega's uit het bedrijfsdomein kan opzoeken, met hun foto' en e-mail. Minder handig is dat als het bedrijfsdomein iets is als 'xs4all.nl', de mail directory van een van de ISP's van Nederland. Mensen die op Zoom inloggen met hun persoonlijke mail kunnen in bepaalde gevallen de namen, adressen en eventueel foto's zien van een reeks andere accounts in dat 'bedrijfsdomein', ook al zijn dat de persoonlijke mails van vreemden.

Zoom heeft de domeinnamen die in het Vice artikel aan bod komen ondertussen op zijn blacklist gezet, en geeft aan dat mensen domeinnamen altijd kunnen laten blacklisten. Zo stopt het domeinnamen als gmail.com, hotmail.com en anderen standaard niet in zo'n directory.

Rtlnieuws meldt ondertussen dat de app van Zoom ook je Windows-wachtwoord kan lekken. De app laat je toe links naar websites te delen, maar je kan daarbij ook naar bestanden op je eigen computer linken. Doe je dat, dan zou Windows automatisch de logingegevens doorsturen naar degene die de link krijgt, aldus RTL, waardoor eventuele aanvallers die in handen kunnen krijgen. Zoom heeft nog niet op dit mogelijk lek gereageerd.

Een en ander heeft er al toe geleid dat de openbaar aanklager in New York, Laetitia James, een onderzoek is gestart naar Zoom, omdat Zoom in de VS hier en daar wordt gebruikt voor scholen en digitale lessen, nu kinderen thuis moeten blijven. James maakt zich zorgen over de privacy van die kinderen, en vraagt zich af of Zoom zich wel netjes aan de regels houdt bij het krijgen van alle nodige toestemmingen voor het vergaren van data.

Alles bij de bron; Knack


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha