De grootschalige cyberaanval op softwarebedrijf Nebu, waarbij de persoonsgegevens van vermoedelijk miljoenen Nederlanders op straat zijn komen te liggen, is al op vrijdag 10 maart begonnen. Cybercriminelen drongen die nacht binnen in de computersystemen van het bedrijf en wisten onder meer toegang tot een wachtwoordkluis te krijgen.
De aanval werd pas 31 uur later door Nebu ontdekt en is niet meteen met benadeelden gedeeld, zegt marktonderzoeker Blauw, een van de gedupeerde partijen, dinsdag in de rechtbank in Rotterdam. Daar dient een kort geding dat het bedrijf heeft aangespannen tegen Nebu, het bedrijf dat de software levert voor klantvriendelijkheidsonderzoeken die Blauw houdt namens tal van grote bedrijven, zoals NS en VodafoneZiggo. Die organisaties, allebei aanwezig in de rechtbank, melden dat er gegevens van mogelijk honderdduizenden klanten zijn gelekt.
In totaal zouden de hackers, van wie de identiteit nog altijd onbekend is, circa 45 minuten bezig zijn geweest om de persoonsgegevens te stelen. Het gaat hierbij niet alleen om namen, leeftijden, geslachten en e-mailadressen, maar in een enkel geval ook om informatie over het inkomen en pensioensgegevens van mensen.
... Ook voor de media is Nebu nog altijd compleet onbereikbaar. Op de website wordt nog steeds niets vermeld over de aanval. Contactgegevens werden zwijgzaam verwijderd.
Aan het einde van het kort geding werd duidelijk dat Nebu en Blauw samen naar een oplossing gaan zoeken. Nebu zegt bereid te zijn meer informatie te willen delen. Uiterlijk woensdag aan het einde van de middag moeten de partijen aan de rechtbank laten weten of het conflict is uitgepraat. Op basis daarvan zal de rechter donderdag met een uitspraak komen.
Alles bij de bron; AD
De Mozilla Foundation, een internationale organisatie die onder andere privacy op het internet onderzoekt, heeft de privacystatements van de 40 meest gedownloade apps in de Google Play Store naast hun daadwerkelijke privacybeleid gelegd. De conclusie? 80 procent van de apps vertellen niet de volledige waarheid.
Bijna een jaar geleden publiceerde Google zijn eigen Data Safety Form. De bedoeling van dit document was om het databeleid van apps transparant te maken. Hiermee openbaarde Google een hoop informatie over de apps die in zijn Play Store beschikbaar zijn. Vooral dus op het gebied van welke persoonsgegevens deze apps verzamelen.
Het document werkt in een notendop zo: een ontwikkelaar die een app wil aanbieden aan de Play Store, moet een uitgebreide vragenlijst invullen. Daarin moet de ontwikkelaar verklaren welke persoonsgegevens de app gaat verzamelen en met welk doel. Dit kunnen (nogal privacygevoelige) gegevens zijn als: politieke/religieuze overtuiging, seksuele oriëntatie, toegang tot foto’s en video’s, Afspraken in je agenda (inclusief aanwezigen), browsegeschiedenis en nog meer.
Aan de hand van het aantal wereldwijde downloads koos de Mozilla Foundation de 40 meest populaire apps in de Play Store, waarvan de helft gratis apps en de andere helft betaalde apps zijn. Het privacybeleid van de invididuele apps werd naast de gegevens van het Data Safety Form gelegd.
Vervolgens kregen de apps een waardering: slecht, verbetering nodig en OK. In bijna 80 procent van de apps zaten in ieder geval wat verschillen tussen het beleid dat ze de consument voorschotelen en het beleid dat ze daadwerkelijk uitvoeren.
16 van de 40 apps, ofwel 40 procent, kreeg een bijzonder slechte beoordeling. De gratis apps zoals Facebook, Facebook Lite, Snapchat en Twitter vallen op in deze lijst. Maar ook betaalde spelletjes zoals Minecraft en Grand Theft Auto: San Andreas liegen over hun privacybeleid.
Alles bij de bron; Kassa
De Britse privacytoezichthouder ICO heeft de boete die het eind vorig jaar een Brits postorderbedrijf oplegde voor het misbruiken van klantgegevens en overtreden van de privacywet met ruim 1,2 miljoen euro verlaagd. De oorspronkelijke boete die Easylife kreeg opgelegd bedroeg omgerekend 1,53 miljoen euro. Dat is nu verlaagd naar 283.000 euro.
Easylife is een postorderbedrijf dat allerlei producten voor onder andere gezondheid en welzijn aanbiedt. Op basis van aangeschafte producten deed Easylife aannames over de gezondheid van de betreffende klant en benaderde die vervolgens zonder toestemming met gezondheidsgerelateerde producten.
Daarmee overtrad Easylife de Britse privacywetgeving, die het verwerken van bepaalde categorieën persoonlijke gegevens, tenzij er aan bepaalde voorwaarden wordt voldaan, verbiedt. Het gaat onder andere om gezondheidsgegevens.
Alles bij de bron; Security
Kinderen in het primair onderwijs maken misbruik van het digitale onderwijssysteem Snappet om medeleerlingen opzettelijk met slechte resultaten op te schepen en hen zo te pesten, zo claimt het AD.
Kinderen kunnen via Snappet allerlei opgaven maken, waarbij hun voortgang in het systeem wordt opgeslagen en bijgehouden. Ze maken hierbij gebruik van hun eigen account.
Er zijn inmiddels meerdere gevallen bekend waarbij leerlingen de gegevens van een medeleerling gebruikten en vervolgens de te maken opgaven opzettelijk fout deden, wat gevolgen heeft voor de prestaties van de betreffende leerling in Snappet. Dergelijke fraude kan niet meteen ongedaan worden gemaakt, de gepeste leerling zal zelf allerlei opgaven moeten maken om terug te keren op zijn of haar vorig niveau.
Volgens een basisschool waar de fraude drie keer voorkwam zijn getroffen leerlingen snel weer op hun niveau terug. Ook Snappet stelt dat de fraude geen langdurige gevolgen heeft voor leerlingen. Scholen wordt aangeraden om goede wachtwoorden voor leerlingen te kiezen, maar die gaan daar niet altijd goed mee om. Zo plakken sommige kinderen hun wachtwoord bijvoorbeeld op de computer.
Alles bij de bron; Security
Een groep van conservatieve katholieken uit de Verenigde Staten heeft miljoenen dollars uitgegeven aan data van mobiele dating-apps om zo homoseksuele priesters te vinden, zo meldt The Washington Post. De krant spreekt van een nieuwe grens op het surveillancefront waarbij individuele personen de activiteiten en locaties van andere burgers via commercieel beschikbare informatie kunnen volgen. Er is geen Amerikaanse privacywetgeving die de verkoop van dergelijke data verbiedt.
De groep claimt dat de data, die het met bisschoppen deelt, van meerdere dating- en seks-apps afkomstig is. De meeste data is afkomstig van Grindr. De groep koopt deze gegevens bij datahandelaren, die de informatie weer van advertentieveilingen krijgen.
De gekochte locatiegegevens en andere details van de apps werden vervolgens door de groep vergeleken met de locaties van kerken, parochies, pastorieën en seminarium om geestelijken te vinden die mogelijk op de betreffende apps actief zouden zijn.
De data waar de groep over beschikt beslaat de periode van 2018 tot 2021 en bevat ook afbeeldingen van bepaalde adressen. Het is niet bekend van welke datahandelaren de gegevens vandaan komen.
De data bevatte genoeg identificerende details en "locatie pings" dat de groep mensen kon identificeren die vermoedelijk van de apps gebruikmaakten. De informatie die vervolgens aan bisschoppen werd doorgespeeld bestond onder andere uit het type apparaat, locatie, device ID en de internetprovider van de gebruiker.
Grindr laat in een reactie weten dat het begin 2020 is gestopt met het delen van locatiegegevens. Growlr is daar vorig jaar mei mee gestopt om naar eigen zeggen onbedoeld misbruik te voorkomen.
Afgelopen september stelde de Amerikaanse burgerrechtenbeweging EFF nog dat datahandelaar Fog Data Science locatiegegevens van miljoenen Amerikaanse telefoons aan de politie in het land verkoopt. De gegevens waar het bedrijf over beschikt zijn vermoedelijk afkomstig van duizenden Android- en iOS-apps die toegang tot de locatie van gebruikers hebben.
Alles bij de bron; Security
Het online therapieplatform BetterHelp schond privacybeloftes en misleidde gebruikers door gevoelige gezondheidsgegevens, waaronder informatie over "psychische gezondheidsuitdagingen", met Facebook en andere advertentiebedrijven te delen.
Via BetterHelp kunnen mensen online in contact komen met pyschologen, therapeuten, maatschappelijk werkers en andere adviseurs. Wie interesse in advies heeft moet eerst een formulier invullen dat om gevoelige psychische gezondheidsinformatie vraagt, zoals of de persoon in kwestie met depressie of suïcidale gedachten te maken heeft gekregen of medicatie gebruikt. Vervolgens moeten ook naam, e-mailadres, geboortedatum en andere persoonlijke informatie worden opgegeven. Op basis van deze informatie zoekt BetterHelp een geschikte therapeut.
Tijdens het aanmeldproces beloofde BetterHelp meerdere keren dat het de gezondheidsgegevens van klanten niet zou gebruiken of delen, behalve voor beperkte doeleinden, zoals het bieden van therapie. Ondanks deze beloftes bleek BetterHelp e-mailadressen, ip-adressen en ingevulde gezondheidsgegevens voor advertentiedoeleinden te delen met Facebook, Snapchat, Criteo en Pinterest, zo stelt de FTC.
Zo gebruikte BetterHelp het e-mailadres van cliënten en het feit dat ze eerder therapie hadden gehad om Facebook te vragen soortgelijke personen te vinden en hen de advertenties van BetterHelp te tonen. Dat leverde het bedrijf volgens de FTC tienduizenden nieuwe cliënten en miljoenen dollars aan omzet op.
De FTC wil nu dat BetterHelp een bedrag van 7,8 miljoen dollar betaalt, dat onder cliënten van het platform zal worden verdeeld. Daarnaast krijgt het platform een verbod opgelegd voor het delen van gezondheidsinformatie voor advertentiedoeleinden.
Alles bij de bron; Security
Fraudebeschermingsdienst Eye4Fraud heeft de gegevens van zestien miljoen accounts gelekt, waaronder e-mailadressen, ip-adressen, namen, gedeeltelijke creditcardgegevens, wachtwoordhashes, telefoonnummers en fysieke adresgegevens van zestien miljoen accounts. Eye4Fraud biedt een dienst waarbij het de bestellingen die bedrijven ontvangen op fraude controleert.
Onlangs claimde een aanvaller dat hij de volledige databaseback-up van de S3 storage servers van Eye4Fraud in handen heeft gekregen. De in totaal 65 gigabyte grote dataset werd vervolgens op internet te koop aangeboden.
Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned ontving de dataset en vroeg Eye4Fraud naar eigen zeggen herhaaldelijk om een reactie, maar kreeg die niet. Van de zestien miljoen bij Eye4Fraud buitgemaakte e-mailadressen was 77 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
De Autoriteit Persoonsgegevens (AP) gaat strenger toezicht houden op de gemeente Eindhoven. De privacywaakhond heeft signalen dat de gemeente datalekken niet of niet op tijd meldt. Ook andere regels leeft Eindhoven onvoldoende na. Daardoor is de privacy van burgers in gevaar.
"Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat", zegt AP-vicevoorzitter Monique Verdier. "Het is van groot belang dat een gemeente van tevoren controleert of het verzamelen en gebruiken van jouw persoonsgegevens mag en veilig kan."
De toezichthouder is ook bezorgd over datalekken die niet op tijd worden gemeld. Dat is volgens Verdier nodig om snel maatregelen te kunnen nemen. "Dat nota bene een van de grootste gemeenten én de brainport van Nederland dat niet op orde lijkt te hebben, is zeer ernstig."
Alles bij de bron; NU
Take It Down is een nieuw digitaal hulpmiddel waarmee iemand expliciete beelden van zichzelf op het internet kan verwijderen. De tool moet slachtoffers weer ‘een vorm van controle teruggeven’.
Take It Down wil tieners, en “iedereen die ooit tiener was”, weer een vorm van controle teruggeven door hen expliciete foto’s en video’s van zichzelf te laten verwijderen van het internet.
Via de site kan iedereen anoniem - en zonder de effectieve beelden te moeten uploaden - een digitale vingerafdruk van de afbeelding of video maken. Die vingerafdruk bestaat uit een unieke reeks getallen die een “hash” wordt genoemd, en wordt vervolgens in een database opgenomen. Deelnemende techbedrijven zullen vervolgens de corresponderende beelden verwijderen van hun platformen.
Momenteel zijn er een handvol grote spelers die deel uitmaken van het programma; socialemediaplatformen Instagram en Facebook, jongerenapp Yubo, creator-website Onlyfans en pornowebsite Pornhub. Twitter en TikTok nemen voorlopig geen deel uit van het project.
Wel geldt de hash of digitale vingerafdruk enkel voor de originele afbeelding. Als iemand er een meme van maakt of zelfs maar het beeld bijsnijdt, dan wordt het gezien als een nieuwe prent en heeft het dus ook een nieuwe hash nodig. Afbeeldingen die visueel vergelijkbaar zijn, zoals dezelfde foto met een Instagram-filter, zullen volgens de makers wel een soortgelijke vingerafdruk hebben, met slechts één teken verschil.
Alles bij de bron; deMorgen
Minister Hanke Bruins Slot van Binnenlandse Zaken en de Zweedse Eurocommissaris Ylva Johansson zijn de winnaars van de Big Brother Awards.
Bruins Slot kreeg de prijs "wegens het faciliteren van de grenzeloze datahonger van de geheime diensten en het afbreken van het toezicht op diezelfde diensten". De minister is van plan om het toezicht op de Wet op de inlichtingen- en veiligheidsdiensten te versoepelen.
Voor het eerst gaat een Big Brother Award naar een Eurocommissaris. Ylva Johansson won de publieksprijs, vanwege haar voorstel om techbedrijven te laten meekijken op alle Europese telefoons. Het idee erachter is om kindermisbruik beter te kunnen tegengaan.
Bits of Freedom noemt het voorstel "misschien wel de grootste bedreiging voor vertrouwelijke communicatie op dit moment".
Alles bij de bron; NU