45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Hansken; de NFI zoekmachine waarmee de politie schatten aan digitaal bewijs doorspit [LongRead]

Het zit ze duidelijk dwars bij het Nederlands Forensisch Instituut (NFI). Ze zijn trots op hun zelf ontwikkelde zoekmachine Hansken, maar deze wordt door critici neergezet als onbetrouwbaar. Een zwarte doos. Of erger nog: een grofmazig sleepnet waarmee de politie complete databestanden kan leegtrekken.

Hansken kwam in de schijnwerpers bij de zogenoemde Mocro War. In 2017 werd bekend dat justitie miljoenen versleutelde berichten in bezit had. Spil in deze doorbraak was de Nijmeegse aanbieder Ennetcom, die de onder criminelen populaire telefoons prepareerde. De encryptie ten spijt: door een rondslingerende digitale sleutel was alle moeite voor niets. De databerg van Ennetcom geldt nu als een schatkamer aan bewijs. En Hansken helpt de berg te doorzoeken.

Marjolijn Brouwer (adviseur digitaal en biometrisch forensisch onderzoek bij het NFI) en Harm van Beek (forensisch wetenschapper en een van de grondleggers van Hansken) willen graag vertellen hoe Hansken werkt....

Alles bij de bron; Volkskrant


 

Groot datalek bij Achmea in Apeldoorn: gegevens van duizenden verzekerden op straat

De gegevens van duizenden klanten van Achmea liggen na een hack op straat. Het datalek bij de grootste verzekeraar van Nederland is vermoedelijk ontstaan via een medewerker op een kantoor in Apeldoorn, of via iemand uit de omgeving van deze werknemer. 

In meerdere bestanden staan de namen, BSN-nummer en adressen van circa 10.000 mensen. Duizenden slachtoffers van deze hack komen uit Oost en Noord-Nederland. In sommige bestanden staan ook bedragen die cliënten uitgekeerd kregen, soms ook van cliënten die inmiddels overleden zijn.

,,We hebben gesproken met de medewerker in Apeldoorn, via wie het lek lijkt te zijn ontstaan.’’ Het vermoeden is dat iemand uit 'de omgeving' van deze werknemer was. ,,De persoon die de cliëntengegevens in bezit heeft gekregen, heeft die onderschepte gegevens ook naar ons gestuurd, maar zei er bij het niet verder te verspreiden.’’

Omdat Achmea ervan uit ging dat de gegevens niet verder geopenbaard werden, hebben ze de duizenden klanten niet geïnformeerd. ,,Dat hebben we ook aan de Autoriteit Persoonsgegevens aangegeven. Omdat er een medewerker bij betrokken was, was het erg privacygevoelig, en daarom hebben we het niet groter willen maken. Maar nu is het toch verder verspreid.’’

Alles bij de bron; deStentor


 

Intern Politie rapport: regels bij raadplegen database telecomgegevens CIOT onduidelijk

Politiemensen vinden de regels rond het raadplegen van de Nederlandse database met telecomgegevens CIOT onduidelijk. Dat blijkt uit een intern toezichtsrapport. Doordat de regels onduidelijk zijn, maken politiemensen fouten, meldt de NOS op basis van het rapport uit 2016. 

Bij politiemensen is bijvoorbeeld niet duidelijk hoe zij internationale rechtshulpverzoeken moeten behandelen en ook is onduidelijk hoelang de politie de data mag bewaren. 

De database met de naam Centraal Informatiepunt Onderzoek Telecommunicatie bevat het volledige klantenbestand van alle providers, inclusief ip-nummers en telefoonnummers. Het gaat alleen om huidige gegevens en bevat geen historisch overzicht van personen of telefoonnummers en ip-adressen. In totaal vroegen bevoegde mensen vorig jaar ongeveer twee miljoen keer gegevens op in de database, zo bleek eerder dit jaar uit het jaarverslag. Politiekorpsen het meest maar ook de FIOD graait in de database.

Alles bij de bron; Tweakers


 

Belastingdienst kan beveiliging gevoelige persoonsgegevens niet garanderen

De Belastingdienst kan niet garanderen dat gevoelige gegevens van burgers binnen zijn systemen blijven. Het zou technisch onhaalbaar zijn om te loggen wie de gegevens benadert en om de toegang te beperken.

De beveiliging van de systemen van de Belastingdienst is niet op orde en de dienst geeft aan niet te kunnen voldoen aan enkele eisen van de Autoriteit Persoonsgegevens. Die bepaalde afgelopen zomer dat de Belastingdienst moet bijhouden wie gevoelige gegevens benadert, nadat Zembla begin vorig jaar al onthulde dat een afdeling van de dienst geen logs op dit punt bijhield en een autorisatiesysteem gebreken vertoonde.

Trouw citeert nu uit een brief van Belastingdienst-directeur-generaal Jaap Uijlenbroek aan de Autoriteit Persoonsgegevens dat het technisch niet mogelijk is om de gewenste logs bij te houden en met autorisatie de toegang tot de data te beperken. Privacy- en beveiligingsdeskundige Bart Jacobs spreekt tegen het dagblad zijn verbazing uit. "Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn."

Ook bij de Autoriteit Persoonsgegevens roept de brief vragen op, hoewel de privacywaakhond de reactie nog bestudeert. In de afgelopen zomer bleek ook dat de Belastingdienst nog niet aan de sinds mei van kracht zijnde AVG kan voldoen. Dat zal pas volgend jaar zo zijn, al voldoet de afdeling datafundamenten & analytics al wel aan de AVG, volgens Uijlenbroek.

Bron; Tweakers


 

Accu- en batterijenwebwinkel waarschuwt klanten voor een datalek

De accu- en batterijenwebwinkel Batterijenhuis.nl heeft een deel van zijn klanten ingelicht over een datalek. Criminelen wisten persoonsgegevens van klanten weg te sluizen. Het lek treft ongeveer vijftien procent van de klanten.

De gegevens die de criminelen in handen kregen, betreffen onder andere naam, adres, woonplaats, e-maildres en wachtwoord. Volgens de webwinkel zijn wachtwoorden gehasht. "De kans dat er iets met deze lijst wordt gedaan, achten wij klein, omdat het bijzonder lastig is deze lijst te ontsleutelen", meldt het bedrijf aan de getroffen klanten in een dinsdag verzonden e-mail. De winkel adviseert klanten uit voorzorg hun wachtwoord te wijzigen.

De winkel benadrukt dat bankrekening- of creditcardgegevens niet zijn gestolen. Deze werden niet door Batterijenhuis.nl opgeslagen. 

Alles bij de bron; Tweakers


 

Google+-lek leidt tot vragen van toezichthouders in EU en VS

Google maakte aan het begin van deze week bekend dat het stopt met Google+ voor consumenten. Tegelijk maakte het bekend dat het er bij een intern onderzoek achter is gekomen dat de People-api van zijn sociale netwerk toegang gaf tot profielgegevens van gebruikers en openbare info van hun vrienden. Het ging onder meer om gegevens als naam, e-mailadres, werk en geslacht, ook als deze afgeschermd waren. Google stelde dat gegevens van 500.000 accounts op deze manier potentieel risico liepen.

Omdat er geen bewijs was dat de toegang was misbruikt, bracht het bedrijf het lek niet naar buiten. 

Een woordvoerder van de Ierse privacytoezichthouder zegt: "De Data Protection Commission was niet op de hoogte van dit incident en we moeten nu de details van het lek zien te begrijpen, waaronder de aard, impact en gevolgen voor individuen, en we zullen hierover informatie opvragen bij Google."

De privacytoezichthouder van de Duitse deelstaat Hamburg zegt vragen naar Google te hebben gestuurd. Daarmee wil de organisatie achterhalen hoeveel Duitse gebruikers getroffen kunnen zijn. Omdat het incident zich voordeed voor de inwerkingtreding van de algemene verordening gegevensbescherming, oftewel AVG, zijn zowel de Duitse als de Ierse toezichthouder bezig met de zaak.

Alles bij de bron; Tweakers


 

Zelflerende kentekenherkenning

De AutoVu MLC is een kentekenscanner die dankzij machine learning veel nauwkeuriger werkt dan oudere scanners zonder deze functie. De scanner wordt naar gelang de tijd steeds preciezer.

Een probleem met ANPR-scanners is dat ze soms een kenteken verkeerd lezen, waardoor een niet geautoriseerd voertuig toegang krijgt of juist een geautoriseerd voertuig de toegang geweigerd wordt. Door speciale algoritmes te ontwikkelen, verwacht de producent dit probleem nu grotendeels opgelost te hebben. De scannauwkeurigheid neemt in ieder geval met minstens 70 procent toe, aldus de fabrikant. De scanners zijn bedoeld voor handhavers, beheerders van parkeerfaciliteiten en wegbeheerders.

Alles bij de bron; BeveilNieuws


 

Wat als .... het internet uitvalt?

Zwart, zwart, zwart, zwart, zwart. Een voor een krijgen alle monitors in de kantoortuin zwarte schermen. Er verschijnen rode letters op. 

De verwarring is groot. Wat moeten we op ons werk dóén zonder computer? Er ontstaan rijen naar de uitgang, waar medewerkers over de toegangspoortjes heen moeten klimmen – ook de pasjes werken niet meer. Het tafereel speelt zich af op tientallen plaatsen tegelijk. Bedrijven in heel Nederland blijken getroffen.

We dachten dat het niet eens kon. Dat internet uitgevonden was als techniek om zelfs na een kernbom te blijven functioneren. Gerichte verstoring: ja. Totale verstoring: nee.....

Dit artikel is gebaseerd op diverse reconstructies van daadwerkelijke cyberaanvallen, zoals NotPetya en WannaCry in 2017 en de aanval op internetdienstverlener Dyn in 2016. Ook rapporten van cyberveiligheidsbedrijven over internet of things-botnets zoals Hajime en Mirai werden geraadpleegd, net als rapporten en persberichten van de Nationaal Coördinator Terrorismebestrijding en de Duitse geheime dienst BfV. 

Onderdelen van het scenario zijn daarnaast besproken met prof. Aiko Pras (Universiteit Twente), Ronald Prins (voormalig directeur cyberveiligheidsbedrijf Fox-IT) en prof. Michel van Eeten (TU Delft). Prins en Pras zijn stellig: internet kan inderdaad grootschalig uitvallen, en als dat gebeurt gaat dat voor enorme ontwrichting zorgen. Aiko Pras denkt dat DDoS-aanvallen veel groter en verstorender zullen worden dan ze tot nu toe zijn geweest.

Ronald Prins vreest vooral voor de gevolgen van onvoorspelbare kettingreacties en voor het maatschappelijke effect van een grootschalige, gecoördineerde aanval op de banken. Beiden zijn zeer bezorgd over hoe Nederland is voorbereid op dit soort scenario’s.

Van Eeten denkt dat internet zo flexibel is dat het niet zo grootschalig en langdurig is uit te schakelen als in dit artikel wordt geschetst. Hij wijst erop dat er jarenlang zorgen waren over grote cascade-effecten bij een eventuele storing van internetknooppunt AMS-IX. Ontregelende kettingreacties bleven vrijwel uit tijdens een storing in 2015.

Alles bij de bron; NRC [Long-Read]