De Bank of Ireland heeft kredietbureaus verkeerde data over de schulden van duizenden klanten gestuurd, die hierdoor bijvoorbeeld geen hypotheek, lening of telefoonabonnement konden afsluiten of creditcards aanvragen.
De Britse privacytoezichthouder ICO heeft de bank nu een berisping gegeven, omdat het in strijd met de privacywetgeving heeft gehandeld. Die verplicht dat organisaties ervoor moeten zorgen dat de persoonlijke data die ze hebben kloppend is. De fouten die de Bank of Ireland UK maakte konden bij duizenden mensen voor ellende zorgen", zegt Natasha Longson van de ICO.
Het probleem deed zich alleen bij klanten voor waarvan de schuld was verkocht aan incassobureaus.
Alles bij de bron; Security
De gemeente Eindhoven heeft inwoners die het slachtoffer van een datalek werden soms helemaal niet geïnformeerd. In andere gevallen werden slachtoffers onvolledig of onduidelijk ingelicht.
Dat meldt de interne Functionaris Gegevensbescherming (FG) in een onderzoek waarover het AD bericht. Voor het onderzoek werd een steekproef van zeventig geregistreerde datalekken onderzocht.
Bij acht datalekken werden slachtoffers helemaal niet gewaarschuwd. In elf andere gevallen gebeurde dit onvolledig, onduidelijk of tegenstrijdig. De FG stelt ook vast dat het verplichte datalekkenregister van de gemeente niet overeenkomt met de meldingen die aan de Autoriteit Persoonsgegevens zijn gedaan. Het gaat dan bijvoorbeeld over het soort gegevens dat is gelekt en de mogelijke gevolgen.
Verder blijkt dat datalekken te laat worden geregistreerd. Dit moet binnen 72 uur gebeuren, maar bij een kwart van de zeventig datalekken gebeurde dit later. Sommige datalekken worden na weken of zelfs maanden geregistreerd. De registratie moeten vijf jaar worden bewaard, maar blijken eerder te worden verwijderd. De Functionaris Gegevensbescherming heeft dan ook zijn vragen of het register wel actueel en volledig is.
Eerder dit jaar besloot de Autoriteit Persoonsgegevens het toezicht op de gemeente Eindhoven te verscherpen.
Alles bij de bron; Security
Privacyorganisatie noyb heeft bij de Europese privacytoezichthouder een klacht tegen de Europese Commissie ingediend over advertenties waarmee steun werd gezocht voor client-side scanning, waarmee Brussel de chatberichten van alle burgers wil controleren.
Voor het tonen van de advertenties op X maakte de Commissie gebruik van microtargeting, waarmee het volgens noyb de wet heeft overtreden en democratische procedures tussen EU-instituten heeft ondermijnd.
"De advertentiecampagne van de Europese Commissie, die zelfs op X als misleidend werd aangemerkt, schond ook de AVG", aldus noyb. "Ondanks dat de politieke opvattingen en geloofsovertuigingen van mensen door de AVG beschermd zijn, werden deze datacategorieën voor de advertentiecampagne gebruikt."
Naast de klacht tegen de Europese Commissie die bij de Europese toezichthouder werd ingediend, kijkt noyb ook of het een klacht tegen X gaat indienen omdat het toestond dat gevoelige data illegaal voor politieke microtargeting werd gebruikt.
Volgens noyb vormt de werkwijze van Brussel een bedreiging voor de democratie. "Het lijkt erop dat de Europese Commissie heeft geprobeerd om de publieke opinie in landen zoals Nederland te beïnvloeden, om zo de positie van nationale regeringen in de EU-Raad te ondermijnen.
Dergelijk gedrag, gecombineerd met illegale microtargeting, is een serieuze bedreiging voor het Europese wetgevend proces en staat volledig haaks op de intentie van de Europese Commissie om politieke advertenties transparanter te maken."
Als het aan de privacyorganisatie ligt krijgt Brussel ook een boete opgelegd.
Alles bij de bron; Security
IPhones hebben jarenlang de unieke MAC-adressen van gebruikers gelekt waardoor die waren te volgen, ondanks een privacyfeature van Apple die dit juist moest voorkomen. Deze week kwam Apple met een beveiligingsupdate om het probleem te verhelpen.
Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen.
Drie jaar geleden kwam Apple met een feature genaamd 'private Wi-Fi addresses', die moest voorkomen dat iPhones hun unieke MAC-adres met wifi-netwerken delen.
Met de lancering van iOS 14, iPadOS 14 en watchOS 7 besloot Apple private Wi-Fi addresses te introduceren dat ervoor moet zorgen dat het toestel voor elk wifi-netwerk een ander MAC-adres gebruikt. Met iOS 15, iPadOS 15 en watchOS 8 werd er vervolgens automatisch voor elk wifi-netwerk waar meer dan zes weken geen verbinding mee was gemaakt een ander MAC-adres gegenereerd.
De privacyfeature bleek echter zinloos. "Wanneer een iPhone verbinding met een netwerk maakt, verstuurt het multicast requests om AirPlay-apparaten in het netwerk te vinden. In deze requests verstuurt iOS het echt Wi-Fi MAC-adres", aldus beveiligingsonderzoeker Tommy Mysk die het probleem (CVE-2023-42846) eind juli aan Apple rapporteerde.
Alles bij de bron; Security
Meerdere Canadese computerwinkels zijn betrapt bij het grasduinen op de laptops en smartphones van klanten die ter reparatie waren aangeboden. Zo werden foto's gekopieerd en de browsegeschiedenis bekeken, meldt de Canadese publieke omroep CBC op basis van eigen onderzoek.
Voor het onderzoek werden laptops en smartphones naar twintig verschillende winkels in Ontario gebracht. De apparaten waren voorzien van software waarmee CBC kon kijken wat de reparateurs uitvoerden. Bij zestien winkels werden er activiteiten door de software opgenomen.
Medewerkers van negen winkels bekeken privédata zoals foto's en browsegeschiedenis. In één geval werden de foto's naar een usb-stick gekopieerd. Ook blijkt dat de reparateurs hun sporen proberen te verbergen. "Zonder de trackingsoftware zou de doorsnee consument geen idee hebben dat de technicus deze foto's heeft bekeken", aldus één van de onderzoekers.
De privacytoezichthouder van Ontario hekelt het optreden van de winkels en stelt dat dit moet stoppen. Ze heeft de Canadese privacytoezichthouder opgeroepen om een onderzoek in te stellen.
Alles bij de bron; Security
De Zweedse privacytoezichthouder IMY heeft kledingketen H&M een privacyboete van omgerekend 30.000 euro opgelegd omdat het bedrijf het onnodig lastig maakte voor klanten om zich voor gerichte reclame af te melden.
Volgens de Zweedse privacytoezichthouder heeft H&M de privacywetgeving geschonden door niet meteen te stoppen met het verwerken van de persoonlijke data van de klagers voor gerichte reclame, ook al maakten de klagers hier bezwaar tegen.
Wegens de overtreding besloot IMY de kledingketen een administratieve boete van omgerekend 30.000 euro op te leggen.
Alles bij de bron; Security
Grindr moet een in Noorwegen oplegde privacyboete van omgerekend 5,8 miljoen euro betalen, zo heeft een commissie van beroep geoordeeld. Grindr kreeg de boete opgelegd omdat het van juli 2018 tot en met april 2020 locatiegegevens, ip-adressen, advertentie-ID, geslacht en leeftijd van gebruikers voor advertentiedoeleinden met meerdere derde partijen deelde, zonder dat het hiervoor een gerechtvaardigd belang had.
De dating-app ging tegen de boete in beroep, maar zonder succes. De commissie van beroep oordeelt dat de toestemming die gebruikers gaven voor het verzamelen en delen van hun gegevens niet vrijwillig, specifiek of geïnformeerd was.
Gebruikers kregen tijdens de registratie voor de app geen vrije keuze om met het delen van hun gegevens akkoord te gaan. Daarnaast stond de informatie dat de gebruiker akkoord ging met het delen van zijn persoonlijke data met advertentiepartners alleen in het privacybeleid vermeld.
Gezien de ernst van de overtreding en het aantal getroffen gebruikers ziet de commissie geen aanleiding om de hoogte van het bedrag te veranderen. De Noorse consumentenbond is blij met het oordeel. Grindr had vorig jaar een omzet van omgerekend 184 miljoen euro.
Alles bij de bron; Security
DarkBeam, een bedrijf dat voor organisaties op internet naar datalekken monitort, heeft miljarden records met wachtwoorden en e-mailadressen van slachtoffers van bekende en onbekende datalekken gelekt. Dat ontdekte beveiligingsonderzoeker Bob Diachenko.
DarkBeam monitort naar eigen zeggen het 'dark web' op datalekken. Vervolgens worden bedrijven die klant van het 'digital risk protection platform' zijn en in deze datalekken voorkomen gewaarschuwd.
Volgens Diachenko had DarkBeam de eigen Elasticsearch- en Kibana-instances niet beveiligd, waardoor die zonder inloggegevens te benaderen waren. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Kibana is een datavisualisatie-tool voor Elasticsearch.
Via de instances vond Diachenko 3,8 miljard records met e-mailadressen en wachtwoorden van slachtoffers van zowel bekende als onbekende datalekken. De installaties zijn inmiddels weer beveiligd.
Alles bij de bron; Security
Anonieme roddelkanalen op TikTok, geïnspireerd op de Amerikaanse serie Gossip Girl en sluipen nu ook de scholen in ons land binnen. Via die ‘juice channels’ worden jongeren opgeroepen om roddels over andere jongeren in te sturen.
Die accounts maken de verhalen dan openbaar, al geven ze enkel de initialen van de bewuste personen vrij. Toch zijn de roddels vaak gedetailleerd genoeg en kunnen jongeren er hun medeleerlingen in herkennen. Dat is wat gebeurd is op het Gentse Sint-Paulusinstituut, waar twee leerlingen het slachtoffer zijn geworden van pesterijen via zo’n TikTok-account.
Hoewel de roddels anoniem waren, werden de namen van de leerlingen wel in de reacties vernoemd, legt directeur Rik D’hollander uit. Hij zegt dat meerdere leerlingen het account zelf hebben gerapporteerd, waardoor de beheerder het account intussen heeft verwijderd.
Na advies van het CLB en slachtofferhulp is de schooldirectie gisteren naar de politie gestapt. Al kan die weinig doen, omdat het account niet meer bestaat en de school zelf geen slachtoffer is. De school onderzoekt wel nog wie achter het account zit. Als dat een leerling van de school is, zal de directie in gesprek gaan, en “uiteraard zal daar ook een sanctie aan verbonden zijn”.
Alles bij de bron; deMorgen
AI-onderzoekers van Microsoft hebben door een verkeerd geconfigureerd token 38 terabyte aan interne data gelekt, waaronder private keys, wachtwoorden en meer dan dertigduizend interne Microsoft Teams-berichten. Dat laat securitybedrijf Wiz.io weten, dat het probleem ontdekte.
De twee onderzoekers deelden gegevens via een Azure-feature genaamd SAS-tokens, waarmee het mogelijk is om data van Azure Storage-accounts te delen. De feature genereert hiervoor een link waarmee bepaalde bestanden zijn te delen. De link werd vervolgens door de onderzoekers via een publieke GitHub-repository gedeeld. Door de configuratiefout werden niet bepaalde bestanden maar het gehele account gedeeld, waaronder 38 terabyte aan interne bestanden.
Het ging ook om een back-up van de werkstations van de twee Microsoft-medewerkers met daarin onder andere private keys, wachtwoorden en meer dan dertigduizend interne Microsoft Teams-berichten van 359 Microsoft-medewerkers. De configuratiefout betrof niet alleen het delen van teveel bestanden, maar gaf gebruikers ook de 'full control' permissie in plaats van read-only rechten.
Het SAS-token werd voor het eerst op 20 juli 2020 via GitHub gedeeld. Onderzoekers van Wiz vonden het token op 22 juni van dit jaar. Twee dagen later werd het token door Microsoft ingetrokken. Microsoft stelt dat er geen gegevens van klanten zijn gelekt en geen andere interne diensten vanwege de fout risico hebben gelopen.
Alles bij de bron; Security