Antivirusbedrijf Avast heeft met het verzamelen en verkopen van gebruikersgegevens op meerdere punten de AVG overtreden en moet daarom een boete van omgerekend 14 miljoen euro betalen, zo heeft de Tsjechische privacytoezichthouder UOOU geoordeeld.
De autoriteit startte begin 2020 een onderzoek naar de activiteiten van Avast. In 2022 stelde de UOOU vast dat de virusbestrijder in overtreding was, maar die ging hier tegen in beroep. De toezichthouder heeft onlangs het beroep behandeld en kwam tot het oordeel dat Avast de AVG heeft geschonden en een boete moet betalen.
Via de browser-extensie en antivirussoftware verzamelde Avast gegevens van honderd miljoen gebruikers die aan derden werden doorverkocht. Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Avast stelde dat het om anonieme gegevens ging, maar dat bleek niet zo te zijn en een deel van de Avast-gebruikers was alsnog te identificeren.
Naar aanleiding van de onthulling over het dataverzamelen besloten Google en Mozilla de browserextensies van Avast uit hun extensie-stores te verwijderen.
De UOOU benadrukte in de beslissing dat Avast een cybersecuritybedrijf is en tools biedt die data en privacy juist zouden moeten beschermen. Gebruikers hadden dan ook niet kunnen verwachten dat juist dit bedrijf hun persoonlijke gegevens zou doorverkopen, aan de hand waarvan niet alleen hun identiteit was vast te stellen, maar ook hun interesses, voorkeuren, beroep en andere privacygerelateerde zaken. Begin dit jaar werd bekend dat Avast in de VS een bedrag van 16,5 miljoen dollar moet betalen.
Alles bij de bron; Security
Dating-apps motiveren gebruikers massaal om informatie toe te voegen aan hun profiel, met als argument dat het voor meer matches zorgt. Denk aan meer foto's en meer persoonlijke voorkeuren.
Ondertussen deelt of verkoopt 80 procent van alle dating-apps jouw persoonlijke informatie aan adverteerders.
Een kwart van de apps verzamelt ook metadata van de content die je uploadt. Plaats jij een nieuwe profielfoto, dan ziet de app onder andere waar en wanneer die foto is genomen. Die informatie kan ook weer worden gebruikt voor advertenties.
Mozilla noemt het opvallend dat je bij dating-apps je persoonlijke informatie vaak ook verzameld en gedeeld als je een abonnement bent.
Dating-app Grinder wordt nu aangeklaagd, omdat de app ervan wordt beschuldigd medische data van zijn gebruikers door te verkopen aan adverteerders. Dat gaat onder andere over de hiv-status van gebruikers
Alles bij de bron; Bright
Door een lek waren zogenoemde afmeldcodes van duizenden beveiligingssystemen van Nederlandse gebouwen meer dan een jaar lang online te vinden. Met de codes konden alarmsystemen op afstand worden afgemeld.
Door een lek in een app van het Amerikaanse bedrijf Carrier Global, die werd gebruikt door alarmcentrale SMC, waren duizenden afmeldcodes op internet te vinden. Een server waarop de gegevens stonden, was niet goed afgeschermd.
Minstens 26.000 alarmsystemen in Nederland zijn getroffen door het lek. Het zou gaan om alarmen van onder meer supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en Fox-IT, een bedrijf dat staatsgeheimen bewaart. De afmeldcodes van veertienduizend van die systemen waren online te vinden.
Alles bij de bron; NU
Een man uit Kesteren is zaterdagmiddag en -avond lastiggevallen en bedreigd. In verschillende appgroepen ging rond dat hij de dader zou zijn van de gijzeling in Ede zaterdagochtend. Daar bleek echter niets van waar.
De man vertoont enige uiterlijke gelijkenissen met de foto's van de gijzelnemer. Foto's van de man uit Kesteren werden samen met foto's van de gijzelnemer uit de media verspreid. Ook de naam van de man uit Kesteren en foto's van zijn vrouw werden gedeeld...
..Toen even later bekend werd dat de verdachte een 28-jarige man uit Ede is, was duidelijk dat de man uit Kesteren niets met de kwestie te maken heeft. Agenten hebben inmiddels contact opgenomen met degene die de man vals beschuldigde. ‘Die ging diep door het stof', schrijft wijkagent Langerak op Instagram.
Dan volgt er een oproep: ‘Beschuldig nooit zomaar iemand. De schade die wordt veroorzaakt is vaak niet te overzien.
Alles bij de bron; AD
Een Oostenrijkse gynaecoloog heeft een AVG-boete van 10.000 euro gekregen omdat hij medische gegevens van een patiënte in een reactie op een negatieve review van haar plaatste. De vrouw had in september 2022 onder haar eigen naam een negatieve recensie over de gynaecoloog geplaatst. Een dag later kwam de gynaecoloog met een reactie, waarin hij onder andere stelde dat de vrouw een vaginale infectie had.
De vrouw stapte naar de Oostenrijkse privacytoezichthouder DSB. Die stelde dat de AVG op verschillende punten was overtreden. Zo was er sprake van onrechtmatige verwerking van bijzondere persoonsgegevens door de diagnose van de vrouw in een reactie op haar review te publiceren. Daarnaast was er geen link tussen het verzamelen van de gegevens en verwerking hiervan. Ook schond de gynaecoloog de AVG-principes van doelbinding en dataminimalisatie.
Aangezien de gynaecoloog geen inzicht in zijn finaciele situatie wilde geven, keek de Oostenrijkse privacytoezichthouder naar het geschatte inkomen van de man en kwam zo uit op een boete van 10.000 euro. De gynaecoloog heeft hier bezwaar tegen gemaakt en de reactie met de medische informatie werd pas november vorig jaar van de website verwijderd.
Alles bij de bron; Security
Fujitsu heeft via een publieke Microsoft Azure-bucket duizenden e-mails, uit LastPass geëxporteerde wachtwoorden, AWS-keys en klantdata gelekt. De onbeveiligde, publieke bucket was bijna een jaar lang voor iedereen op internet toegankelijk.
In de bucket vond beveiligingsonderzoeker Jelle Ursem van het Dutch Institute for Vulnerability Disclosure een volledige back-up van een mailbox met duizenden e-mails met daarin gevoelige data, uitgebreide details over activiteiten van klanten en eigen teams, een CSV-bestand met wachtwoorden die uit wachtwoordmanager LastPass waren geëxporteerd en een groot aantal Microsoft OneNote-bestand met informatie over klanten.
De bucket, die sinds maart 2022 publiekelijk online stond, werd begin 2023 offline gehaald nadat de onderzoeker Fujitsu had ingelicht.
Alles bij de bron; Security
Avast moet een bedrag van 16,5 miljoen dollar betalen wegens het op oneerlijke wijze verzamelen en verkopen van gebruikersgegevens, zo heeft de Amerikaanse toezichthouder FTC bepaald. Het ging om browsegegevens van gebruikers die de browser-extensie of antivirussoftware van de virusbestrijder hadden geïnstalleerd.
Volgens de FTC werden via de programma's browsegegevens van gebruikers op oneerlijke wijze verzameld, oneindig lang bewaard en zonder duidelijke kennisgeving en toestemming van gebruikers doorverkocht. Tevens stelt de toezichthouder dat Avast gebruikers heeft misleid door te claimen dat de software de privacy van gebruikers zou beschermen door third-party tracking te blokkeren, maar werd er niet gemeld dat hun browsegegevens werden verkocht. De FTC laat weten dat gegevens van gebruikers verkocht zijn aan meer dan honderd derde partijen.
Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. De FTC laat weten dat Avast zeker tenminste sinds 2014 gegevens van gebruikers via de extensies en antivirussoftware verzamelde.
Verder besloot Avast het her-identificeren van gebruikers aan de hand van verkochte data niet te verbieden. En zelfs bij de contracten waar een dergelijk verbod wel was opgenomen, was dit dusdanig verwoord dat derde partijen niet-persoonlijke identificeerbare informatie aan het browsegedrag van Avast-gebruikers konden koppelen. Sommige van de producten die Jumpshot aanbood waren zo ontworpen dat klanten bepaalde gebruikers konden tracken of zelfs bepaalde gebruikers en hun browsegeschiedenis aan andere informatie konden koppelen die deze klanten al over de gebruikers in bezit hadden.
Alles bij de bron; Security
De cybercrimegroepering Water Hydra buit een kwetsbaarheid in Microsoft Windows Defender actief uit.
Het gaat om een zero-day-lek, die wordt misbruikt in een geavanceerde zero-day-aanvalsketen die een Windows Defender SmartScreen-bypass mogelijk maakt.
Aanvallen zijn gericht op het infecteren van slachtoffers met de DarkMe remote access trojan (RAT) voor mogelijke gegevensdiefstal en ransomware.
De kwetsbaarheid is op 31 december 2023 ontdekt, waarna Trend Micro klanten hiertegen sinds 17 januari 2024 automatisch beschermd en het lek aan Microsoft heeft doorgegeven.
Alles bij de bron; DutchIT
Een recordaantal meldingen van kinderporno op onlineplatformen zet de schijnwerpers op Meta en mede-techreuzen tijdens een hoorzitting voor de Amerikaanse Senaat.
De taal is, zoals altijd, ferm en de excuses klinken voor de zoveelste keer oprecht.
De opmerking van een van de senatoren aan het begin van de hoorzitting aan het adres van Meta-topman Mark Zuckerberg en zijn mede-ceo’s laat geen misverstand bestaan over hoe de vlag erbij hangt. ‘U heeft een product dat mensen kapotmaakt.’
De bazen van TikTok, Snapchat, X, Meta (Instagram, Facebook, Whatsapp) en chatplatform Discord worden ervan beschuldigd te weinig te doen om zaken als de verspreiding van kinderporno, cyberpesten en de verkoop van drugs via hun platformen te voorkomen.
Volgens het National Center for Missing and Exploited Children zijn de meldingen van het aantal keren dat kinderporno op onlineplatformen is aangetroffen vorig jaar gestegen van 32 miljoen naar 36 miljoen. Het hoogste aantal ooit.
Alles bij de bron; Volkskrant
Sinds de Brexit mogen Europese bedrijven en overheden persoonlijke gegevens niet meer delen met organisaties in Groot-Brittannië. Desondanks heeft Londen honderdduizenden boetes naar Europeanen gestuurd op basis van illegaal verkregen persoonsgegevens.
Een Brits incassobureau heeft via tussenpersonen in Europa de gegevens van honderdduizenden Europeanen kunnen achterhalen om boetes te kunnen sturen. Vanwege de Brexit hadden die gegevens nooit met het incassobureau gedeeld mogen worden. The Guardian spreekt van een groot datalek.
Tussenpersonen van het incassobureau in Nederland, België, Duitsland, Italië, Frankrijk en Spanje hebben gegevens van Europeanen doorgespeeld aan het Britse incassobureau Euro Parking Collection. Die organisatie int boetes voor het rijden in de milieuzones in en rond Londen.
Doordat de boetes zijn verstuurd op basis van illegaal verkregen gegevens, moet Londen waarschijnlijk een streep halen door honderdduizenden boetes die naar Europeanen zijn gestuurd. Nederlandse- en Franse beroepschauffeurs zijn al naar de rechter gestapt om de boetes van tafel te krijgen.
De Belgische Gegevensbeschermingsautoriteit is een onderzoek gestart naar hoe de gegevens van Belgen in handen zijn gekomen van Euro Parking Collection. Eerder werd al een Belgische gerechtsdeurwaarder geschorst voor het illegaal doorspelen van persoonsgegevens aan het incassobureau.
Overtredingen in milieuzones vallen onder het civiele recht. Daarvoor mogen geen gegevens met Groot-Brittannië gedeeld worden.
Alles bij de bron; NU