De cybercrimegroepering Water Hydra buit een kwetsbaarheid in Microsoft Windows Defender actief uit.
Het gaat om een zero-day-lek, die wordt misbruikt in een geavanceerde zero-day-aanvalsketen die een Windows Defender SmartScreen-bypass mogelijk maakt.
Aanvallen zijn gericht op het infecteren van slachtoffers met de DarkMe remote access trojan (RAT) voor mogelijke gegevensdiefstal en ransomware.
De kwetsbaarheid is op 31 december 2023 ontdekt, waarna Trend Micro klanten hiertegen sinds 17 januari 2024 automatisch beschermd en het lek aan Microsoft heeft doorgegeven.
Alles bij de bron; DutchIT
Een recordaantal meldingen van kinderporno op onlineplatformen zet de schijnwerpers op Meta en mede-techreuzen tijdens een hoorzitting voor de Amerikaanse Senaat.
De taal is, zoals altijd, ferm en de excuses klinken voor de zoveelste keer oprecht.
De opmerking van een van de senatoren aan het begin van de hoorzitting aan het adres van Meta-topman Mark Zuckerberg en zijn mede-ceo’s laat geen misverstand bestaan over hoe de vlag erbij hangt. ‘U heeft een product dat mensen kapotmaakt.’
De bazen van TikTok, Snapchat, X, Meta (Instagram, Facebook, Whatsapp) en chatplatform Discord worden ervan beschuldigd te weinig te doen om zaken als de verspreiding van kinderporno, cyberpesten en de verkoop van drugs via hun platformen te voorkomen.
Volgens het National Center for Missing and Exploited Children zijn de meldingen van het aantal keren dat kinderporno op onlineplatformen is aangetroffen vorig jaar gestegen van 32 miljoen naar 36 miljoen. Het hoogste aantal ooit.
Alles bij de bron; Volkskrant
Sinds de Brexit mogen Europese bedrijven en overheden persoonlijke gegevens niet meer delen met organisaties in Groot-Brittannië. Desondanks heeft Londen honderdduizenden boetes naar Europeanen gestuurd op basis van illegaal verkregen persoonsgegevens.
Een Brits incassobureau heeft via tussenpersonen in Europa de gegevens van honderdduizenden Europeanen kunnen achterhalen om boetes te kunnen sturen. Vanwege de Brexit hadden die gegevens nooit met het incassobureau gedeeld mogen worden. The Guardian spreekt van een groot datalek.
Tussenpersonen van het incassobureau in Nederland, België, Duitsland, Italië, Frankrijk en Spanje hebben gegevens van Europeanen doorgespeeld aan het Britse incassobureau Euro Parking Collection. Die organisatie int boetes voor het rijden in de milieuzones in en rond Londen.
Doordat de boetes zijn verstuurd op basis van illegaal verkregen gegevens, moet Londen waarschijnlijk een streep halen door honderdduizenden boetes die naar Europeanen zijn gestuurd. Nederlandse- en Franse beroepschauffeurs zijn al naar de rechter gestapt om de boetes van tafel te krijgen.
De Belgische Gegevensbeschermingsautoriteit is een onderzoek gestart naar hoe de gegevens van Belgen in handen zijn gekomen van Euro Parking Collection. Eerder werd al een Belgische gerechtsdeurwaarder geschorst voor het illegaal doorspelen van persoonsgegevens aan het incassobureau.
Overtredingen in milieuzones vallen onder het civiele recht. Daarvoor mogen geen gegevens met Groot-Brittannië gedeeld worden.
Alles bij de bron; NU
Een Amerikaans advocatenkantoor dat organisaties en bedrijven bijstaat die slachtoffer van een datalek zijn geworden, is zelf door een datalek getroffen. Daarbij zijn de gegevens van 637.000 personen, die eerder al slachtoffer van een datalek waren geworden, in handen van aanvallers gekomen.
Het datalek deed zich begin vorig jaar voor en werd destijds ook al bekendgemaakt, maar blijkt veel groter te zijn dan in eerste instantie werd gecommuniceerd.
Het kantoor stond in het verleden verschillende Amerikaanse zorgverleners bij waar de gegevens van miljoenen mensen werden gestolen. Daardoor beschikte het ook over gegevens van cliënten van deze zorgverleners die slachtoffer van het datalek waren geworden.
In eerste instantie werd gemeld dat het om de gegevens van 152.000 personen ging, maar dat blijken er nu ruim 637.000 te zijn. De gestolen data bestaat onder andere uit naam, adresgegevens, e-mailadres, geboortedatum, social-securitynummer, rijbewijs- of paspoortnummer, rekeninginformatie, belastingidentificatienummer, medische diagnoses, medische behandelingen, zorgclaims, medisch dossiernummer en creditcardnummer. Vorige maand besloot het advocatenkantoor vier massaclaims die vanwege het datalek waren aangespannen te schikken.
Alles bij de bron; Security
Dna-testbedrijf 23andMe heeft gebruikers de schuld gegeven van het grote datalek waarbij de gegevens van 6,9 miljoen mensen werden gestolen.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de 14.000 accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n 14 miljoen gebruikers. Er lopen inmiddels meer dan 30 rechtszaken die door slachtoffers van het datalek tegen 23andMe zijn aangespannen.
In een e-mail aan één van de advocatenkantoren die voor slachtoffers een rechtszaak voert stelt 23andMe dat er geen sprake is van een datalek en dat het incident de schuld van gebruikers is. Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten. Daarom was het incident geen gevolg van slechte beveiliging van 23andMe.
De advocaat in kwestie noemt het 'schaamteloos' hoe 23andMe slachtoffers de schuld van het datalek geeft. "Het datalek heeft miljoenen gebruikers geraakt van wie de gegevens via de DNA Relatives-feature op 23andMe waren blootgesteld, niet omdat ze wachtwoorden hergebruikten.
Van die miljoenen mensen zijn slechts een paar duizend via credential stuffing gecompromitteerd."
Alles bij de bron; Security
De Bank of Ireland heeft kredietbureaus verkeerde data over de schulden van duizenden klanten gestuurd, die hierdoor bijvoorbeeld geen hypotheek, lening of telefoonabonnement konden afsluiten of creditcards aanvragen.
De Britse privacytoezichthouder ICO heeft de bank nu een berisping gegeven, omdat het in strijd met de privacywetgeving heeft gehandeld. Die verplicht dat organisaties ervoor moeten zorgen dat de persoonlijke data die ze hebben kloppend is. De fouten die de Bank of Ireland UK maakte konden bij duizenden mensen voor ellende zorgen", zegt Natasha Longson van de ICO.
Het probleem deed zich alleen bij klanten voor waarvan de schuld was verkocht aan incassobureaus.
Alles bij de bron; Security
De gemeente Eindhoven heeft inwoners die het slachtoffer van een datalek werden soms helemaal niet geïnformeerd. In andere gevallen werden slachtoffers onvolledig of onduidelijk ingelicht.
Dat meldt de interne Functionaris Gegevensbescherming (FG) in een onderzoek waarover het AD bericht. Voor het onderzoek werd een steekproef van zeventig geregistreerde datalekken onderzocht.
Bij acht datalekken werden slachtoffers helemaal niet gewaarschuwd. In elf andere gevallen gebeurde dit onvolledig, onduidelijk of tegenstrijdig. De FG stelt ook vast dat het verplichte datalekkenregister van de gemeente niet overeenkomt met de meldingen die aan de Autoriteit Persoonsgegevens zijn gedaan. Het gaat dan bijvoorbeeld over het soort gegevens dat is gelekt en de mogelijke gevolgen.
Verder blijkt dat datalekken te laat worden geregistreerd. Dit moet binnen 72 uur gebeuren, maar bij een kwart van de zeventig datalekken gebeurde dit later. Sommige datalekken worden na weken of zelfs maanden geregistreerd. De registratie moeten vijf jaar worden bewaard, maar blijken eerder te worden verwijderd. De Functionaris Gegevensbescherming heeft dan ook zijn vragen of het register wel actueel en volledig is.
Eerder dit jaar besloot de Autoriteit Persoonsgegevens het toezicht op de gemeente Eindhoven te verscherpen.
Alles bij de bron; Security
Privacyorganisatie noyb heeft bij de Europese privacytoezichthouder een klacht tegen de Europese Commissie ingediend over advertenties waarmee steun werd gezocht voor client-side scanning, waarmee Brussel de chatberichten van alle burgers wil controleren.
Voor het tonen van de advertenties op X maakte de Commissie gebruik van microtargeting, waarmee het volgens noyb de wet heeft overtreden en democratische procedures tussen EU-instituten heeft ondermijnd.
"De advertentiecampagne van de Europese Commissie, die zelfs op X als misleidend werd aangemerkt, schond ook de AVG", aldus noyb. "Ondanks dat de politieke opvattingen en geloofsovertuigingen van mensen door de AVG beschermd zijn, werden deze datacategorieën voor de advertentiecampagne gebruikt."
Naast de klacht tegen de Europese Commissie die bij de Europese toezichthouder werd ingediend, kijkt noyb ook of het een klacht tegen X gaat indienen omdat het toestond dat gevoelige data illegaal voor politieke microtargeting werd gebruikt.
Volgens noyb vormt de werkwijze van Brussel een bedreiging voor de democratie. "Het lijkt erop dat de Europese Commissie heeft geprobeerd om de publieke opinie in landen zoals Nederland te beïnvloeden, om zo de positie van nationale regeringen in de EU-Raad te ondermijnen.
Dergelijk gedrag, gecombineerd met illegale microtargeting, is een serieuze bedreiging voor het Europese wetgevend proces en staat volledig haaks op de intentie van de Europese Commissie om politieke advertenties transparanter te maken."
Als het aan de privacyorganisatie ligt krijgt Brussel ook een boete opgelegd.
Alles bij de bron; Security
IPhones hebben jarenlang de unieke MAC-adressen van gebruikers gelekt waardoor die waren te volgen, ondanks een privacyfeature van Apple die dit juist moest voorkomen. Deze week kwam Apple met een beveiligingsupdate om het probleem te verhelpen.
Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen.
Drie jaar geleden kwam Apple met een feature genaamd 'private Wi-Fi addresses', die moest voorkomen dat iPhones hun unieke MAC-adres met wifi-netwerken delen.
Met de lancering van iOS 14, iPadOS 14 en watchOS 7 besloot Apple private Wi-Fi addresses te introduceren dat ervoor moet zorgen dat het toestel voor elk wifi-netwerk een ander MAC-adres gebruikt. Met iOS 15, iPadOS 15 en watchOS 8 werd er vervolgens automatisch voor elk wifi-netwerk waar meer dan zes weken geen verbinding mee was gemaakt een ander MAC-adres gegenereerd.
De privacyfeature bleek echter zinloos. "Wanneer een iPhone verbinding met een netwerk maakt, verstuurt het multicast requests om AirPlay-apparaten in het netwerk te vinden. In deze requests verstuurt iOS het echt Wi-Fi MAC-adres", aldus beveiligingsonderzoeker Tommy Mysk die het probleem (CVE-2023-42846) eind juli aan Apple rapporteerde.
Alles bij de bron; Security
Meerdere Canadese computerwinkels zijn betrapt bij het grasduinen op de laptops en smartphones van klanten die ter reparatie waren aangeboden. Zo werden foto's gekopieerd en de browsegeschiedenis bekeken, meldt de Canadese publieke omroep CBC op basis van eigen onderzoek.
Voor het onderzoek werden laptops en smartphones naar twintig verschillende winkels in Ontario gebracht. De apparaten waren voorzien van software waarmee CBC kon kijken wat de reparateurs uitvoerden. Bij zestien winkels werden er activiteiten door de software opgenomen.
Medewerkers van negen winkels bekeken privédata zoals foto's en browsegeschiedenis. In één geval werden de foto's naar een usb-stick gekopieerd. Ook blijkt dat de reparateurs hun sporen proberen te verbergen. "Zonder de trackingsoftware zou de doorsnee consument geen idee hebben dat de technicus deze foto's heeft bekeken", aldus één van de onderzoekers.
De privacytoezichthouder van Ontario hekelt het optreden van de winkels en stelt dat dit moet stoppen. Ze heeft de Canadese privacytoezichthouder opgeroepen om een onderzoek in te stellen.
Alles bij de bron; Security