Anonieme roddelkanalen op TikTok, geïnspireerd op de Amerikaanse serie Gossip Girl en sluipen nu ook de scholen in ons land binnen. Via die ‘juice channels’ worden jongeren opgeroepen om roddels over andere jongeren in te sturen.
Die accounts maken de verhalen dan openbaar, al geven ze enkel de initialen van de bewuste personen vrij. Toch zijn de roddels vaak gedetailleerd genoeg en kunnen jongeren er hun medeleerlingen in herkennen. Dat is wat gebeurd is op het Gentse Sint-Paulusinstituut, waar twee leerlingen het slachtoffer zijn geworden van pesterijen via zo’n TikTok-account.
Hoewel de roddels anoniem waren, werden de namen van de leerlingen wel in de reacties vernoemd, legt directeur Rik D’hollander uit. Hij zegt dat meerdere leerlingen het account zelf hebben gerapporteerd, waardoor de beheerder het account intussen heeft verwijderd.
Na advies van het CLB en slachtofferhulp is de schooldirectie gisteren naar de politie gestapt. Al kan die weinig doen, omdat het account niet meer bestaat en de school zelf geen slachtoffer is. De school onderzoekt wel nog wie achter het account zit. Als dat een leerling van de school is, zal de directie in gesprek gaan, en “uiteraard zal daar ook een sanctie aan verbonden zijn”.
Alles bij de bron; deMorgen
AI-onderzoekers van Microsoft hebben door een verkeerd geconfigureerd token 38 terabyte aan interne data gelekt, waaronder private keys, wachtwoorden en meer dan dertigduizend interne Microsoft Teams-berichten. Dat laat securitybedrijf Wiz.io weten, dat het probleem ontdekte.
De twee onderzoekers deelden gegevens via een Azure-feature genaamd SAS-tokens, waarmee het mogelijk is om data van Azure Storage-accounts te delen. De feature genereert hiervoor een link waarmee bepaalde bestanden zijn te delen. De link werd vervolgens door de onderzoekers via een publieke GitHub-repository gedeeld. Door de configuratiefout werden niet bepaalde bestanden maar het gehele account gedeeld, waaronder 38 terabyte aan interne bestanden.
Het ging ook om een back-up van de werkstations van de twee Microsoft-medewerkers met daarin onder andere private keys, wachtwoorden en meer dan dertigduizend interne Microsoft Teams-berichten van 359 Microsoft-medewerkers. De configuratiefout betrof niet alleen het delen van teveel bestanden, maar gaf gebruikers ook de 'full control' permissie in plaats van read-only rechten.
Het SAS-token werd voor het eerst op 20 juli 2020 via GitHub gedeeld. Onderzoekers van Wiz vonden het token op 22 juni van dit jaar. Twee dagen later werd het token door Microsoft ingetrokken. Microsoft stelt dat er geen gegevens van klanten zijn gelekt en geen andere interne diensten vanwege de fout risico hebben gelopen.
Alles bij de bron; Security
Het CDA wil anonieme sociale media-accounts kunnen verbieden. Daarnaast mogen 'doorgeslagen privacyregels' het delen van zorggegevens niet hinderen en komen kinderen boven het belang van privacy, zo stelt het CDA in het vandaag gepresenteerde verkiezingsprogramma.
Zo wil het CDA dat zorgprofessionals 'in het belang van de patiënt en behandeling' gegevens kunnen delen zonder tegen 'doorgeslagen privacyregels' aan te lopen. "Als wij moeten kiezen tussen wetgeving die de aanpak van kinderpornografie makkelijker maakt en het belang van privacy, dan komt het kind op de eerste plek", staat verder in het programma vermeld.
Eerder dit jaar bleek dat het CDA client-side scanning voor chatapps wettelijk wil verplichten.
Het CDA wil daarnaast dat de overheid eigen cloud- en communicatiediensten voor overheidspersoneel ontwikkelt en bedrijven als Huawei uit de telecom-infrastructuren weert. Ook pleit de partij voor een digitale meldplicht voor mensen met een stadionverbod. "Onze waarden en normen, fatsoen en respect gelden ook online. Daarom willen we anonieme sociale media-accounts kunnen verbieden", aldus het CDA.
Alles bij de bron; Security
Een bedrijf dat een 'slimme' kuisheidskooi maakt die via het internet is te bedienen heeft de privégegevens van duizenden gebruikers gelekt. Het gaat om e-mailadressen, plaintext wachtwoorden, adresgegevens, ip-adressen en in sommige gevallen ook gps-coördinaten, zo meldt TechCrunch. De fabrikant werd op 17 juni door een onderzoeker over het datalek ingelicht.
Verschillende kwetsbaarheden maken het mogelijk om toegang tot de gebruikersdatabase te krijgen, die de gegevens van meer dan tienduizend gebruikers bevat. Het probleem is nog altijd niet verholpen en TechCrunch kreeg geen reactie van de fabrikant.
Naast de kwetsbaarheden die toegang tot de gebruikersdatabase geven, ontdekte de onderzoeker ook logbestanden met informatie van PayPal-betalingen van gebruikers. De kuisheidskooi is via een app op afstand te bedienen. Daarnaast geeft de app weer waar de drager zich bevindt.
Alles bij de bron; Security
De gemeente Roermond heeft een fout gemaakt bij het versturen van brieven met betrekking tot de leerplicht, waardoor de persoonsgegevens van kinderen zijn gelekt, waaronder burgerservicenummers. De fout deed zich voor bij het samenvoegen van aanvraagformulieren en brieven. Die werden daardoor naar het verkeerde adres gestuurd.
In totaal gaat het om honderd brieven en formulieren die na het samenvoegen in enveloppen werden gestoken en zijn verstuurd. Pas na melding van een ouder werd het datalek ontdekt.
Het datalek is inmiddels bij de Autoriteit Persoonsgegevens gemeld. Daarnaast zijn alle gedupeerden via brief geïnformeerd.
Alles bij de bron; Security
Privacyorganisatie None Of Your Business heeft bij de Autoriteit Persoonsgegevens en twee andere Europese autoriteiten geklaagd over het privacybeleid van Google-dochterbedrijf Fitbit.
Fitbit sluist data door naar landen buiten de EU zonder te zeggen welke dat zijn. Behalve dat Fitbit de landen niet noemt in het privacybeleid, wil de gegevensfunctionaris van het bedrijf ook geen inzage geven in waar de data naartoe gaat, meldt Noyb.
Fitbit zegt in het privacybeleid al jaren dat het data doorstuurt naar landen buiten de EU, maar noemt concreet alleen de Verenigde Staten. Welke landen dat nog meer zijn, blijft onduidelijk. Ook de functionaris binnen Fitbit die de klaagster heeft benaderd wilde geen lijst van landen opsturen.
Zonder toestemming voor het doorsturen van gegevens naar die onbekende landen werken de apps en diensten van het bedrijf niet. Na intrekking van de toestemming kan klaagster kortom nog in slechts zeer beperkte mate gebruikmaken van de functies die haar Fitbit smartwatch biedt." Fitbit is sinds 2021 eigendom van Google.
Alles bij de bron; Tweakers
Een onbekende hoeveelheid Nederlanders die niet van extremisme of jihadisme zijn verdacht, zijn toch op een Amerikaanse terreurlijst beland. Ze hebben daar tot op de dag van vandaag veel last van bij reizen naar de VS of andere landen.
Het probleem is ontstaan toen na 2012 vanuit Europa duizenden radicale jongeren naar Syrië trokken om zich daar aan te sluiten bij jihadistische strijd- of terreurgroepen, zoals IS. Politie en inlichtingendiensten in alle Europese landen legden in de jaren erna lijsten aan met de namen van die zogenoemde uitreizigers, familieleden en vrienden. Maar op die lijsten belandden ook jongeren die niet radicaal waren, maar waarover bijvoorbeeld de wijkagent zich zorgen maakte en dacht dat ze mogelijk Syriëganger zouden kunnen worden.
De politie deelde de namen op de Nederlandse lijst volop met de Amerikanen, zo blijkt nu. De FBI zette de Nederlanders daarop in de Terrorist Screening Database (TSDB). Die database bestaat sinds de aanslagen op het World Trade Centre in New York op 11 september 2001 en moet voorkomen dat potentiële terroristen vrij kunnen reizen.
De Nederlandse overheid wilde lang niet zeggen of er vanuit Nederland namen waren verstrekt aan de VS, maar vorige week schreef Minister Dilan Yesilgöz van Justitie en Veiligheid dat dat wel degelijk was gebeurd. Het gaat waarschijnlijk om de namen van honderden Nederlanders: veroordeelde jihadisten, maar dus ook Nederlanders die nooit ergens van verdacht zijn geweest. ,,Inmiddels zijn we tot het inzicht gekomen dat we terughoudender moeten zijn in de aanlevering", stelt de politie nu.
Wie eenmaal op de lijst staat, komt er nauwelijks meer vanaf. De Nederlandse politie kan de Amerikanen vragen om namen te verwijderen, maar die verzoeken worden niet altijd gehonoreerd. En zo stellen de Nederlandse autoriteiten: ,,Als de FBI de signalering handhaaft, is dat niet meer de verantwoordelijkheid van Nederland”. De Amerikanen willen sowieso niet bevestigen of en zo ja, waarom een naam nog op de lijst staat.
Alles bij de bron; AD
Het UWV wist al sinds 2020 dat het de privacy van uitkeringsgerechtigden schond door zonder toestemming cookies te plaatsen. Die cookies werden ook gebruikt om illegaal fraudeurs op te sporen. Waarschuwingen van een interne toezichthouder werden in de wind geslagen, blijkt uit onderzoek. Pas begin dit jaar werd het probleem opgelost.
Het UWV stelde sitebezoekers wel op de hoogte van het plaatsen van cookies, maar bood niet de kans om ze te weigeren. In dit geval had dat wel gemoeten, aldus de functionaris gegevensbescherming, de interne toezichthouder.
Sommige cookies werden ook gebruikt om te onderzoeken welke uitkeringsontvangers illegaal in het buitenland verbleven. Die data mogen voor dat doel niet gebruikt worden, met of zonder toestemming, oordeelde het advocatenkantoor van de overheid later.
Vakbond FNV overweegt een kort geding om het UWV te laten stoppen met alle fraude-algoritmes.
Alles bij de bron; NOS
De Ierse privacytoezichthouder DPC bevond zich gisteren en donderdag voor het Ierse hooggerechtshof in een zaak over het niet onderzoeken van Googles online advertentieveilingen. De zaak is aangespannen door Johnny Ryan, die in 2017 al melding bij de DPC maakte van Googles "Real-Time Bidding" (RTB) systeem. RTB is een technologie waarbij advertentieruimte op websites en binnen apps via een geautomatiseerde veiling wordt verkocht aan adverteerders.
Elke keer dat iemand een website bezoekt of app gebruikt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd.
De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. "Het probleem is dat Googles RTB-veiling privé-informatie over wat mensen online aan het doen zijn en waar ze zich fysiek bevinden naar meer dan duizend trackingbedrijven stuurt", aldus het Irish Council for Civil Liberties (ICCL) waar Ryan senior fellow is.
Na zijn melding in 2017 diende Ryan bij de DPC een AVG-klacht in tegen Googles advertentieveiling. In mei 2019 maakte de Ierse privacytoezichthouder bekend dat het een onderzoek zou instellen, maar dat hier niet naar de veiligheid van persoonsgegevens werd gekeken, terwijl dat de kern van de klacht van Ryan was. Volgens de ICCL en Ryan is er met het veilingsysteem sprake van het grootste datalek dat ooit is vastgelegd.
De DPC weigert echter al vijf jaar om de veiligheid van persoonsgegevens binnen Googles systeem goed te onderzoeken, stelt Ryan, die het onverklaarbaar noemt dat de toezichthouder niet in actie komt.
De DPC wordt al jaren verweten op de hand van techbedrijven te zijn en is herhaaldelijk door Europese privacytoezichthouders op de vingers getikt omdat de AVG-boetes die het aan techbedrijven oplegt te laag zijn en die vervolgens gedwongen moet aanpassen.
Alles bij de bron; Security
De cookies die de Nederlandse uitkeringsinstantie UWV gebruikte om websitebezoekers te volgen, werden ook gebruikt om gebruikers tijdens meerdere sessies te volgen. Daarmee lijkt de overtreding die eerder aan het licht kwam groter dan gedacht.
De NOS, die eerder het nieuws over de UWV-cookies bracht, schrijft nu dat de overtreding verder ging dan aanvankelijk werd gedacht.
Aanvankelijk stelde het UWV dat het alleen om cookies ging die voor een enkele sessie werden gebruikt en daarna werden verwijderd. Dat blijkt nu niet waar te zijn. De cookies konden in bepaalde gevallen bezoekers tot wel een half jaar in de gaten houden, waardoor alle bezoeken in die periode aan elkaar konden worden gekoppeld.
Dat gebeurde bovendien ook voor bezoekers die niet inlogden op de website van de UWV. Aanvankelijk werden IP-adressen van bezoekers gekoppeld als ze inlogden via DigiD, maar nu blijkt ook dat bezoekers werden gevolgd als ze niet inlogden.
Inmiddels is het systeem stopgezet, nadat de landsadvocaat daar kritiek op had geleverd en had gesteld dat er geen juridische basis bleek te zijn. De Autoriteit Persoonsgegevens is inmiddels een onderzoek gestart.
Alles bij de bron; Tweakers [Thnx-2-Niek]