Wifi- en bluetoothtracking, cameratoezicht en sensoren die data verzamelen over verkeer of geluid, steeds meer gemeenten maken gebruik van smart city-toepassingen, maar als hierbij de privacy niet wordt gerespecteerd kan dit leiden tot een surveillancemaatschappij waarbij burgers niet meer onbespied over straat kunnen, zo waarschuwt de Autoriteit Persoonsgegevens.
De Autoriteit Persoonsgegevens heeft nu een reeks aanbevelingen voor de ontwikkeling van smart city-toepassingen gepubliceerd (pdf). Volgens de privacytoezichthouder zijn die nodig omdat gemeenten niet altijd voldoende stilstaan bij de privacywetgeving terwijl dit juist bij smart city-toepassingen essentieel is.
Alles bij de bron; Security
Een Amerikaans energiebedrijf heeft tijdens een hittegolf op afstand de temperatuur bij klanten via de slimme thermostaat verhoogd om zo energie te besparen. Verschillende Amerikaanse energiebedrijven bieden klanten deelname aan loterijen in ruil voor controle over de slimme thermostaat, meldt Ars Technica.
Door de temperatuur bij hoog energieverbruik, zoals tijdens een hittegolf, te verhogen kan energie worden bespaard. "Elk graad van koeling vergroot je energieverbruik met zes tot acht procent", aldus ERCOT (Electric Reliability Council of Texas).
Verschillende Texanen die aan de beloningsprogramma's van hun energiebedrijf deelnemen wisten niet dat hun slimme thermostaat op afstand kon worden aangepast. Iets wat voor een onaangename verrassing tijdens de afgelopen hittegolf in de Amerikaanse staat zorgde. Klanten kunnen zich echter eenvoudig afmelden en zo weer volledige controle over hun thermostaat krijgen.
Alles bij de bron; Security
Smart cities waarbij burgers door middel van sensoren en andere technologieën in de openbare ruimte worden gevolgd maken standaard inbreuk op het grondrecht van het individu, zo stelt de Autoriteit Persoonsgegevens.
"Het eerste dat gezegd moet worden is dat soms dingen ook niet kunnen", zegt Gerald Hopster, programmaregisseur Artificiële Intelligentie & Algoritmes bij de AP. "Het gaat soms ook nogal ver. Wat er hier gebeurt is dat je eigenlijk standaard inbreuk maakt op het grondrecht van een individu. Namelijk het recht dat diens gegevens niet worden verwerkt. Dat gebeurt wel bij deze smart cities."
“Je verwacht een zekere mate van anonimiteit als je op straat loopt, maar in werkelijkheid hangen er steeds meer camera's en sensoren van gemeenten en bedrijven die je registreren of volgen, soms zonder dat je het meteen door hebt", stelde Anna Maj Drenth, senior inspecteur bij de AP, in een eerdere publicatie over het onderzoek van de toezichthouder naar smart cities (pdf).
Volgens Hopster zijn er maar heel weinig grondslagen waaronder de verwerking van persoonsgegevens binnen smart cities kan plaatsvinden. "De mogelijkheden zijn beperkt", merkt Hopster op.
....Ook is het belangrijk dat gemeenten burgers centraal stellen en in het proces meenemen en informeren. "Het zijn burgers die de stad slim maken, niet de technologie", aldus Hopster. De privacytoezichthouder komt binnenkort met een rapport over smartcitytoepassingen van gemeenten en hoe er met zaken als de AVG en privacy moet worden omgegaan.
Alles bij de bron; Security
Het leek zo’n goed idee: een gps-tracker voor haar demente moeder zodat zij zich vrij kan bewegen terwijl haar naasten altijd weten waar ze is. En dat vindt Anne nog steeds. Ondanks het enorme lek dat ze vorige week in de software van Spotter GPS ontdekte. Deze Nederlandse fabrikant maakt horloges en trackers voor onder andere boten, scooters en auto’s, maar ook voor kwetsbaren als kinderen of demente bejaarden...
...Ze stoorde zich aan de gebruikersinterface van de app van Spotter: ‘Die is vrij beroerd.’ Rutten wilde dus kijken of ze de locatiegegevens van haar moeder op een mooiere manier op een kaart kon weergeven.
Haar plan lukte: Spotter heeft een zogenoemde api (application programming interface) die mogelijk maakt dat de informatie die nodig is voor de kaart uit de database van Spotter wordt gehaald. ‘Wat me toen echter ook opviel, is dat er geen enkele beveiliging is op het openbare internetadres waar je met hun database kan communiceren.’ Iedere tracker werkt met een uniek identificatienummer. Anne kon door willekeurige nummers in te voeren van iedere andere tracker de coördinaten van de laatste tien dagen opvragen.
De data zijn weliswaar niet aan andere persoonlijke gegevens gelinkt, maar aan de hand van de coördinaten was het voor haar een fluitje van een cent te ontdekken waar een drager van de tracker zich bevindt. Of zich de laatste dagen heeft bevonden. Ze geeft een Spotter-gebruiker met een willekeurig id als voorbeeld. Op een kaart is precies te zien waar de drager van de gps-zender zich de laatste tijd vaak bevond....
...Spotter dicht het lek snel en maakte melding van het lek bij de Autoriteit Persoonsgegevens. Volgens Wendy Hofman van Spotter is het recent ontstaan na een software-update: ‘Een detail in de code was niet in orde’.
Alles bij de bron; Volkskrant
De beveiligingscamera's en videodeurbellen van het merk Eufy tonen zowel live als opgenomen beelden aan vreemden. Het privacylek werd het eerst opgemerkt door Eufy-gebruikers uit Nieuw-Zeeland en Australië. Ze zien bij het openen van de Eufy-app niet de beelden van hun eigen camera, maar van ogenschijnlijk willekeurige vreemden.
De app geeft de gebruikers toegang tot de beelden van de vreemden alsof zij hun eigen camera's en beelden beheren. Daardoor zijn zowel livebeelden als opnames te bekijken en zijn draaibare camera's zelfs bij te stellen. Ongemerkt kunnen dan opnames worden gemaakt, die op de telefoon van de kijker opgeslagen kunnen worden.
Tal van gebruikers melden dezelfde problemen. Die gebruikers komen grotendeels uit Nieuw-Zeeland en Australië, maar de problemen spelen zich ook in de VS af. De problemen lijken zich te beperken tot gebruikers die zelf ook al Eufy-camera's hebben; beelden lijken niet zichtbaar in de Eufy-app voor mensen zonder camera.
Alles bij de bron; RTL
Het hele doel van fitnesswearables en smartwatches is om zoveel mogelijk data te registeren, zodat je een goed beeld krijgt van je algehele gezondheid. Maar wat wordt er zoal met die gegevens gedaan? We kijken naar het privacybeleid van Garmin om daar een indruk van te geven...
...Eindoordeel
Het privacybeleid van Garmin is overzichtelijk en duidelijk. Garmin informeert per type persoonsgegeven dat het verwerkt, uitgebreid over de grondslag daarvoor en het doel. Ook de door Garmin aangeboden producten en diensten lijken zo privacyvriendelijk mogelijk te zijn ingesteld. Dat is ook van groot belang nu de smartwatches van Garmin een variatie aan gezondheidsgegevens verwerken.
Er zijn tenslotte ook een aantal aandachtspunten. Zo zou Garmin de grondslag voor doorgiften naar de VS moeten heroverwegen. Het Privacy Shield is namelijk ongeldig verklaard. Garmin deelt data met overige derden, maar specificeert niet duidelijk genoeg wie onder deze categorie vallen.
Alles bij de bron; PCM-Web
Van smartphones en slimme speakers is het inmiddels bekend dat zij toegang geven tot gevoelige persoonlijke informatie. Veel minder bekend is dat de moderne auto een doos vol snoepjes is voor criminelen en opsporingsdiensten op zoek naar locatiegegevens, activiteiten en informatie uit gesprekken.
Auto's blijken heel veel informatie vast te leggen, bijvoorbeeld locatiegeschiedenis, de ID's van telefoons en andere apparatuur met wifi of Bluetooth, maar ook wanneer specifieke deuren worden ontgrendeld en gesloten, welke gordels zijn gesloten en welke lichten aan waren De boordcomputer slaat in de logs gegevens op over gesprekken die via de telefoon zijn gevoerd, tekstberichten en contacten uit het telefoonboekje van gekoppelde telefoons en van uitgesproken spraakcommando's. Het navigatiesysteem onthoudt opgeslagen bestemmingen en houdt een log bij van recente GPS-locaties en snelheden.
Het gebruik van voertuigdata is geen uitzondering in de VS. NBC News wijst op een nieuwe tak bij de recherche genaamd digital vehicle forensics, volledig gericht op het extraheren van zo veel mogelijk bewijslast uit vervoersmiddelen. Ook voor commerciële bedrijven blijkt dit een gat in de markt, zoals voor Berla Corp. een technologiebedrijf dat zich heeft gespecialiseerd in het digitaal ontsluiten van inmiddels 14.000 autotypen.
Maar de gegevens worden niet alleen bij opsporingsdiensten gebruikt. NBC haalt ook een voorbeeld aan van een Australische man die zijn ex-vriendin in de gaten hield via een app waarmee hij live gegevens uit haar Land Rover kon ophalen. Hij was zelfs in staat op afstand ramen en deuren te openen en sluiten.
Bij zorgen rondom privacy denken mensen nog vrijwel alleen aan smartphones en pc's. Bij apparatuur met embedded computers - zoals er vele zitten in auto's, maar ook in andere 'slimme'-apparatuur - is dat besef er nog nauwelijks. Het gevolg is dat de gegevens - die vaak voor functionele controle worden bewaard - onvoldoende beschermd zijn tegen gebruik met een ander achterliggend doel. Misschien verstandig om eens over na te denken bij het inruilen van de auto of het synchroniseren van de smartphone in een huurauto.
Alles bi de bron; AGConnect
Onderzoekers hebben in elf deurbelcamera's die via Amazon, eBay en Wish worden aangeboden kwetsbaarheden ontdekt waardoor een aanvaller onder ander het wifi-wachtwoord kan stelen of beelden kan onderscheppen.
Bij alle elf de apparaten ontdekten de onderzoekers problemen. Zo wordt bijvoorbeeld bij de Victure VD300 de naam van het wifi-netwerk en wachtwoord onversleuteld naar servers in China verstuurd. De Qihoo 360 Smart Video Doorbell slaat beelden onversleuteld op.
De Ctronics CT-WDB02 deurbelcamera maakt het mogelijk voor aanvallers om het wifi-wachtwoord te stelen. Een kwetsbaarheid in de V5 Wifi deurbelcamera zorgt ervoor dat een aanvaller zijn telefoon aan het apparaat kan koppelen om die vervolgens uit te schakelen.
Alles bij de bron; Security
Massachusetts neemt een wet aan die autofabrikanten verplicht telemetriegegevens van auto's uitleesbaar te maken. Iedereen moet deze gegevens kunnen gebruiken om het voertuig te repareren.
Autofabrikanten zijn volgens de nieuwe wet vanaf 2022 verplicht een standaard open dataplatform te implementeren in voertuigen. Dit platform geeft voertuigeigenaren en onafhankelijke onderhoudsspecialisten de mogelijkheid telemetriegegevens op te vragen. Deze informatie wordt vaak direct naar een server van de autofabrikant gestuurd.
Telemetriegegevens ondersteunen de data monteurs bij het uitvoeren van reparaties. Door deze data in eigen handen te houden kunnen fabrikanten reparaties door derde partijen bemoeilijken. Met de nieuwe wet wil Massachusetts dit voorkomen.
Alles bij de bron; DutchIT
Op dit moment zijn er naar schatting wereldwijd twintig tot dertig miljard Internet of Things-apparaten met het internet verbonden. Een aantal dat in 2025 mogelijk zal zijn gestegen naar vijftig tot honderd miljard. Als samenleving staan we echter niet voldoende stil wat de impact hiervan is op onze privacy en security en hoe het voor een groter aanvalsoppervlak tegen netwerken en systemen zorgt, zo stelt de Amerikaanse geheime dienst NSA.
"Als samenleving denken we niet na over hoe IoT-apparaten onze gevoelige informatie verzamelen of operaties verstoren", aldus de NSA. Nu er steeds meer thuis wordt gewerkt is het voor organisaties nodig om proactief te zijn en stappen te nemen om medewerkers die vanuit huis werken te beschermen, zo gaat de geheime dienst verder.
Volgens de NSA moeten mensen hiervoor wel hun gedrag aanpassen. "Om onze persoonlijke informatie en data te beschermen is het belangrijk dat we anders met technologie en IoT omgaan." Zo moeten alle beveiligingsfeatures up-to-date en geüpdatet zijn. Verder moet voor elk aangeschaft product de gebruikersovereenkomst worden gelezen, zodat duidelijk is welke informatie het apparaat verzamelt.
Als laatste moeten gebruikers bewust zijn dat de IoT-wereld continu aan het veranderen is. "Als gebruiker van technologie is je voornaamste doel om altijd je persoonlijke informatie te beschermen door proactief en waakzaam te zijn", besluit de geheime dienst de oproep.
Bron; Security