Digitale Schandpaal
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een lek waren zogenoemde afmeldcodes van duizenden beveiligingssystemen van Nederlandse gebouwen meer dan een jaar lang online te vinden. Met de codes konden alarmsystemen op afstand worden afgemeld.
Door een lek in een app van het Amerikaanse bedrijf Carrier Global, die werd gebruikt door alarmcentrale SMC, waren duizenden afmeldcodes op internet te vinden. Een server waarop de gegevens stonden, was niet goed afgeschermd.
Minstens 26.000 alarmsystemen in Nederland zijn getroffen door het lek. Het zou gaan om alarmen van onder meer supermarkten, banken, overheidsdiensten, stad- en provinciehuizen, nutsbedrijven, een drukker van geldpapier en Fox-IT, een bedrijf dat staatsgeheimen bewaart. De afmeldcodes van veertienduizend van die systemen waren online te vinden.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een man uit Kesteren is zaterdagmiddag en -avond lastiggevallen en bedreigd. In verschillende appgroepen ging rond dat hij de dader zou zijn van de gijzeling in Ede zaterdagochtend. Daar bleek echter niets van waar.
De man vertoont enige uiterlijke gelijkenissen met de foto's van de gijzelnemer. Foto's van de man uit Kesteren werden samen met foto's van de gijzelnemer uit de media verspreid. Ook de naam van de man uit Kesteren en foto's van zijn vrouw werden gedeeld...
..Toen even later bekend werd dat de verdachte een 28-jarige man uit Ede is, was duidelijk dat de man uit Kesteren niets met de kwestie te maken heeft. Agenten hebben inmiddels contact opgenomen met degene die de man vals beschuldigde. ‘Die ging diep door het stof', schrijft wijkagent Langerak op Instagram.
Dan volgt er een oproep: ‘Beschuldig nooit zomaar iemand. De schade die wordt veroorzaakt is vaak niet te overzien.
Alles bij de bron; AD
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Oostenrijkse gynaecoloog heeft een AVG-boete van 10.000 euro gekregen omdat hij medische gegevens van een patiënte in een reactie op een negatieve review van haar plaatste. De vrouw had in september 2022 onder haar eigen naam een negatieve recensie over de gynaecoloog geplaatst. Een dag later kwam de gynaecoloog met een reactie, waarin hij onder andere stelde dat de vrouw een vaginale infectie had.
De vrouw stapte naar de Oostenrijkse privacytoezichthouder DSB. Die stelde dat de AVG op verschillende punten was overtreden. Zo was er sprake van onrechtmatige verwerking van bijzondere persoonsgegevens door de diagnose van de vrouw in een reactie op haar review te publiceren. Daarnaast was er geen link tussen het verzamelen van de gegevens en verwerking hiervan. Ook schond de gynaecoloog de AVG-principes van doelbinding en dataminimalisatie.
Aangezien de gynaecoloog geen inzicht in zijn finaciele situatie wilde geven, keek de Oostenrijkse privacytoezichthouder naar het geschatte inkomen van de man en kwam zo uit op een boete van 10.000 euro. De gynaecoloog heeft hier bezwaar tegen gemaakt en de reactie met de medische informatie werd pas november vorig jaar van de website verwijderd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Fujitsu heeft via een publieke Microsoft Azure-bucket duizenden e-mails, uit LastPass geëxporteerde wachtwoorden, AWS-keys en klantdata gelekt. De onbeveiligde, publieke bucket was bijna een jaar lang voor iedereen op internet toegankelijk.
In de bucket vond beveiligingsonderzoeker Jelle Ursem van het Dutch Institute for Vulnerability Disclosure een volledige back-up van een mailbox met duizenden e-mails met daarin gevoelige data, uitgebreide details over activiteiten van klanten en eigen teams, een CSV-bestand met wachtwoorden die uit wachtwoordmanager LastPass waren geëxporteerd en een groot aantal Microsoft OneNote-bestand met informatie over klanten.
De bucket, die sinds maart 2022 publiekelijk online stond, werd begin 2023 offline gehaald nadat de onderzoeker Fujitsu had ingelicht.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Avast moet een bedrag van 16,5 miljoen dollar betalen wegens het op oneerlijke wijze verzamelen en verkopen van gebruikersgegevens, zo heeft de Amerikaanse toezichthouder FTC bepaald. Het ging om browsegegevens van gebruikers die de browser-extensie of antivirussoftware van de virusbestrijder hadden geïnstalleerd.
Volgens de FTC werden via de programma's browsegegevens van gebruikers op oneerlijke wijze verzameld, oneindig lang bewaard en zonder duidelijke kennisgeving en toestemming van gebruikers doorverkocht. Tevens stelt de toezichthouder dat Avast gebruikers heeft misleid door te claimen dat de software de privacy van gebruikers zou beschermen door third-party tracking te blokkeren, maar werd er niet gemeld dat hun browsegegevens werden verkocht. De FTC laat weten dat gegevens van gebruikers verkocht zijn aan meer dan honderd derde partijen.
Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. De FTC laat weten dat Avast zeker tenminste sinds 2014 gegevens van gebruikers via de extensies en antivirussoftware verzamelde.
Verder besloot Avast het her-identificeren van gebruikers aan de hand van verkochte data niet te verbieden. En zelfs bij de contracten waar een dergelijk verbod wel was opgenomen, was dit dusdanig verwoord dat derde partijen niet-persoonlijke identificeerbare informatie aan het browsegedrag van Avast-gebruikers konden koppelen. Sommige van de producten die Jumpshot aanbood waren zo ontworpen dat klanten bepaalde gebruikers konden tracken of zelfs bepaalde gebruikers en hun browsegeschiedenis aan andere informatie konden koppelen die deze klanten al over de gebruikers in bezit hadden.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De cybercrimegroepering Water Hydra buit een kwetsbaarheid in Microsoft Windows Defender actief uit.
Het gaat om een zero-day-lek, die wordt misbruikt in een geavanceerde zero-day-aanvalsketen die een Windows Defender SmartScreen-bypass mogelijk maakt.
Aanvallen zijn gericht op het infecteren van slachtoffers met de DarkMe remote access trojan (RAT) voor mogelijke gegevensdiefstal en ransomware.
De kwetsbaarheid is op 31 december 2023 ontdekt, waarna Trend Micro klanten hiertegen sinds 17 januari 2024 automatisch beschermd en het lek aan Microsoft heeft doorgegeven.
Alles bij de bron; DutchIT
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een recordaantal meldingen van kinderporno op onlineplatformen zet de schijnwerpers op Meta en mede-techreuzen tijdens een hoorzitting voor de Amerikaanse Senaat.
De taal is, zoals altijd, ferm en de excuses klinken voor de zoveelste keer oprecht.
De opmerking van een van de senatoren aan het begin van de hoorzitting aan het adres van Meta-topman Mark Zuckerberg en zijn mede-ceo’s laat geen misverstand bestaan over hoe de vlag erbij hangt. ‘U heeft een product dat mensen kapotmaakt.’
De bazen van TikTok, Snapchat, X, Meta (Instagram, Facebook, Whatsapp) en chatplatform Discord worden ervan beschuldigd te weinig te doen om zaken als de verspreiding van kinderporno, cyberpesten en de verkoop van drugs via hun platformen te voorkomen.
Volgens het National Center for Missing and Exploited Children zijn de meldingen van het aantal keren dat kinderporno op onlineplatformen is aangetroffen vorig jaar gestegen van 32 miljoen naar 36 miljoen. Het hoogste aantal ooit.
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Internet en Telecom
Sinds de Brexit mogen Europese bedrijven en overheden persoonlijke gegevens niet meer delen met organisaties in Groot-Brittannië. Desondanks heeft Londen honderdduizenden boetes naar Europeanen gestuurd op basis van illegaal verkregen persoonsgegevens.
Een Brits incassobureau heeft via tussenpersonen in Europa de gegevens van honderdduizenden Europeanen kunnen achterhalen om boetes te kunnen sturen. Vanwege de Brexit hadden die gegevens nooit met het incassobureau gedeeld mogen worden. The Guardian spreekt van een groot datalek.
Tussenpersonen van het incassobureau in Nederland, België, Duitsland, Italië, Frankrijk en Spanje hebben gegevens van Europeanen doorgespeeld aan het Britse incassobureau Euro Parking Collection. Die organisatie int boetes voor het rijden in de milieuzones in en rond Londen.
Doordat de boetes zijn verstuurd op basis van illegaal verkregen gegevens, moet Londen waarschijnlijk een streep halen door honderdduizenden boetes die naar Europeanen zijn gestuurd. Nederlandse- en Franse beroepschauffeurs zijn al naar de rechter gestapt om de boetes van tafel te krijgen.
De Belgische Gegevensbeschermingsautoriteit is een onderzoek gestart naar hoe de gegevens van Belgen in handen zijn gekomen van Euro Parking Collection. Eerder werd al een Belgische gerechtsdeurwaarder geschorst voor het illegaal doorspelen van persoonsgegevens aan het incassobureau.
Overtredingen in milieuzones vallen onder het civiele recht. Daarvoor mogen geen gegevens met Groot-Brittannië gedeeld worden.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Amerikaans advocatenkantoor dat organisaties en bedrijven bijstaat die slachtoffer van een datalek zijn geworden, is zelf door een datalek getroffen. Daarbij zijn de gegevens van 637.000 personen, die eerder al slachtoffer van een datalek waren geworden, in handen van aanvallers gekomen.
Het datalek deed zich begin vorig jaar voor en werd destijds ook al bekendgemaakt, maar blijkt veel groter te zijn dan in eerste instantie werd gecommuniceerd.
Het kantoor stond in het verleden verschillende Amerikaanse zorgverleners bij waar de gegevens van miljoenen mensen werden gestolen. Daardoor beschikte het ook over gegevens van cliënten van deze zorgverleners die slachtoffer van het datalek waren geworden.
In eerste instantie werd gemeld dat het om de gegevens van 152.000 personen ging, maar dat blijken er nu ruim 637.000 te zijn. De gestolen data bestaat onder andere uit naam, adresgegevens, e-mailadres, geboortedatum, social-securitynummer, rijbewijs- of paspoortnummer, rekeninginformatie, belastingidentificatienummer, medische diagnoses, medische behandelingen, zorgclaims, medisch dossiernummer en creditcardnummer. Vorige maand besloot het advocatenkantoor vier massaclaims die vanwege het datalek waren aangespannen te schikken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Dna-testbedrijf 23andMe heeft gebruikers de schuld gegeven van het grote datalek waarbij de gegevens van 6,9 miljoen mensen werden gestolen.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de 14.000 accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n 14 miljoen gebruikers. Er lopen inmiddels meer dan 30 rechtszaken die door slachtoffers van het datalek tegen 23andMe zijn aangespannen.
In een e-mail aan één van de advocatenkantoren die voor slachtoffers een rechtszaak voert stelt 23andMe dat er geen sprake is van een datalek en dat het incident de schuld van gebruikers is. Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten. Daarom was het incident geen gevolg van slechte beveiliging van 23andMe.
De advocaat in kwestie noemt het 'schaamteloos' hoe 23andMe slachtoffers de schuld van het datalek geeft. "Het datalek heeft miljoenen gebruikers geraakt van wie de gegevens via de DNA Relatives-feature op 23andMe waren blootgesteld, niet omdat ze wachtwoorden hergebruikten.
Van die miljoenen mensen zijn slechts een paar duizend via credential stuffing gecompromitteerd."
Alles bij de bron; Security