- Gegevens
- Hoofdcategorie: Internet en Telecom
Uitgerekend het opleidingsinstituut dat honderden trainingen heeft gegeven om werknemers bewust te maken van cybersecurity, is zelf het slachtoffer geworden van phishing. Een werknemer trapte in een phishingmail.
Waarna zich het scenario ontrolde waarvoor het instituut in zijn cursussen waarschuwt: liefst 28.000 records met persoonlijke identificeerbare informatie raakten in verkeerde handen. De aanvaller bleek toegang te hebben gekregen tot 513 e-mails, veelal vol privégegevens.
De medewerker had een malafide Microsoft 365-app toegang tot zijn account gegeven. Vervolgens stelde de aanvaller een regel in waardoor inkomende e-mails naar een e-mailadres van hem werden doorgestuurd.
Het pijnlijke datalek werd ontdekt in dezelfde week waarin het bedrijf de media had uitgenodigd om eens een kijkje bij de cursus Security Awareness in Amsterdam te nemen. 'Dit trainingsprogramma is samengesteld door een wereldwijd netwerk van 's werelds meest deskundige cybersecurity-experts,' zo prees het zichzelf aan.
SANS, naar eigen zeggen 'wereldwijd de meest gewaardeerde en veruit grootste bron voor cybersecuritytrainingen en -certificeringen', claimt met meer dan 1.300 organisaties te hebben samengewerkt en heeft daarbij meer dan 6,5 miljoen medewerkers opgeleid. Het bedrijf gaat de slachtoffers van het datalek informeren.
Alles bij de bron; Computable
- Gegevens
Het Britse hof van beroep heeft een proef van de politie in Wales met gezichtsherkenningstechnologie onwettig genoemd. Van mei 2017 tot april 2019 maakte de South Wales Police Force in zo'n vijftig gevallen gebruik van geautomatiseerde gezichtsherkenningstechnologie. Camera's scanden de gezichten van alle voorbijgangers en vergeleken die met gezichten op een lijst van gezochte personen.
Wanneer een gescand gezicht niet op de lijst voorkwam werd die uit het systeem verwijderd. Het systeem kon vijftig gezichten per seconde scannen en er wordt geschat dat tijdens de vijftig keer dat het systeem werd ingezet zo'n 500.000 gezichten zijn gescand. Een burgerrechtenactivist, die ook door het systeem zou zijn gefilmd, stapte naar de rechter. Het systeem zou namelijk in strijd zijn met artikel 8 van het Europees Verdrag voor de Rechten van de Mens, namelijk het recht op respect van privé-, familie- en gezinsleven...
...Burgerrechtenbeweging Liberty is blij met de uitspraak. "Het hof vindt ook dat deze dystopische surveillancetool onze rechten schendt en onze vrijheden bedreigt." Liberty wil dat de Britse overheid gezichtsherkenningstechnologie gaat verbieden. De Britse privacytoezichthouder ICO verwelkomt de uitspraak.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Facebook moet mogelijk wederom een schikking treffen nu dochter Instagram in de Verenigde Staten voor de rechter is gedaagd omdat de app zonder medeweten en toestemming gezichten indexeert van mensen die op foto’s staan.
Voor de gezichtsherkenning vergelijkt Instagram foto’s met een database van gezichtssjablonen, oftewel foto’s van andere gebruikers.
Het vastleggen daarvan zou volgens de aanklager de privacywet van de staat Illinois schenden. Deze wet verbiedt bedrijven om biometrische gegevens van mensen te gebruiken. Volgens de wet kan Facebook worden gedwongen om 1000 tot 5000 dollar te betalen per overtreding.
Alles bij de bron; Emerce
- Gegevens
Kinderopvangorganisaties moeten van de Belastingdienst voortaan iedere maand gegevens aanleveren bij de Belastingdienst over de gebruikte opvanguren. Kinderopvanginstellingen vragen op hun beurt de ouders in een brief om toestemming voor deze gegevensdeling met de Belastingdienst. Privacy-deskundige Simon Lelieveldt adviseert om geen toestemming te geven.
Dat meldt de website van het consumentenprogramma Radar. Lelieveldt postte een uitgebreide tweet om andere ouders te informeren over de nieuwe regels.
In het nieuwe systeem levert de kinderopvang iedere maand gegevens aan bij de Belastingdienst. Ouders komen er niet aan te pas. Het bezwaar van Lelieveldt is dat ouders op deze manier de controle kwijtraken over welke gegevens bekend zijn bij de Belastingdienst. "De Belastingdienst wil vooral betaalbewijzen zien. Je wordt als ouder compleet buitenspel gezet en je kunt niets controleren. Hierdoor ben ik als ouder niet meer de baas over mijn eigen gegevens", zegt hij.
Volgens Lelieveldt kun je als ouder geen bezwaar maken tegen dit nieuwe systeem. Het wordt je gewoon meegedeeld door de kinderopvang. "Er is geen opt-out, ik wil dit niet. Je kunt alleen toestemming verlenen. En de kinderopvang moet gedwongen meewerken anders raken zij hun vergunning kwijt, dus die kunnen niet anders dan dit soort brieven versturen." Lelieveldt raadt op de website van Radar ouders aan bezwaar te maken bij de privacy-officer van de kinderopvang. Daar staat ook een voorbeeldtekst die ouders kunnen sturen.
Alles bij de bron; TaxLive
- Gegevens
- Hoofdcategorie: Internet en Telecom
In Amsterdam e.o. is een levendige handel ontdekt in accounts van Felyx-deelscooters. Deze accounts worden gehackt en online verhandeld, inclusief rijbewijs en betaalgegevens van een ander.
Gebruikers van de scooter-deeldienst vullen normaal gesproken eerst hun betaalgegevens in en valideren dan hun rijbewijs. Die geverifieerde accounts worden nu doorverkocht zodat kopers gratis én zonder rijbewijs een scooter kunnen rijden. Verkeersagent Jeroen Heuts meldde de hack op twitter. Volgens hem zijn precieze aantallen niet bekend.
Alles bij de bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Internet en Telecom
Als een onlinedienst gratis is te gebruiken, blijkt de gebruiker meestal het product. Dat is ook het geval bij Simpler Apps Inc. Dit bedrijf maakt smartphone-apps die bijvoorbeeld back-ups maken van je contactenlijst en namen van onbekende bellers voor je achterhalen. Dat doet Simpler gratis, maar ondertussen wordt de contactinformatie verkocht via de Amerikaans-Israëlische dienst Lusha.
Eerder deze week onthulde deze krant dat Lusha via netwerksite LinkedIn mailadressen en privénummers verkoopt – ook van vele Nederlanders, onder wie politici, influencers en zelfs een directeur van de Nederlandse privacywaakhond. Dat zorgde voor ophef, omdat die gegevens normaal niet vindbaar zouden moeten zijn. Dus vroegen verschillende Trouw-redacteuren aan Lusha hoe het bedrijf hun data verkreeg. In alle gevallen was het antwoord: Simpler Apps Inc.
De samenwerking met Simpler verklaart mogelijk waarom Lusha privénummers heeft van mensen die ervan overtuigd zijn dat ze hun contactgegevens nooit zomaar ergens delen. In Simplers privacyvoorwaarden staat dat het bedrijf niet alleen de informatie van gebruikers met derden kan delen, maar ook hun contactenlijsten. Zo kunnen data van mensen die nergens mee hebben ingestemd, alsnog in Lusha’s handen terechtkomen.
Of de bedrijven de wet overtreden, zal een toezichthouder moeten bepalen. Mogelijk valt Lusha onder de minder strenge Amerikaanse privacyregels. Simpler lijkt zich bij het verzamelen van data echter expliciet op Europese gebruikers te richten, omdat zijn apps in diverse Europese talen beschikbaar zijn. Hierdoor valt Simpler volgens Terstegge onder de AVG en die staat de verkoop van contactenlijsten waarschijnlijk niet toe. Lusha en Simpler hebben niet gereageerd op vragen voor dit artikel.
Alles bj de bron; Trouw
- Gegevens
- Hoofdcategorie: Internet en Telecom
Beveiligingsexpert Mazin Ahmed, die voorheen bij de end-to-end versleutelde maildienst ProtonMail werkte, heeft videovergaderplatform Zoom uitgebreid aan de tand gevoeld. Daarbij heeft hij diverse bugs en kwetsbaarheden gevonden.
Een van de zeker zeven beveiligingsproblemen die Ahmed heeft ontdekt, is dat end-to-end encrypted berichten tussen Zoom-gebruikers op Linux onversleuteld worden opgeslagen door het bedrijf. De chatcommunicatie die volledig versleuteld zou moeten zijn, blijkt in plain-text op disks te staan. Daarnaast heeft hij geheugenlekkage op Zooms productieserver gevonden, blootstelling van de Kerberos-authenticatieserver en meer slordigheden met impact op de security.
Ahmed trekt de kritische conclusie dat schaduw-IT kenmerkend is voor publieke diensten bij Zoom. Sommige instances van servers die de videovergaderfirma gebruikt, krijgen geen regelmatige updates en blijken bovendien publiekelijk toegankelijk te zijn. Zo vond hij een development instance die al minstens 10 maanden geen updates heeft gekregen. Een screenshot dat de security-onderzoeker op 14 juli dit jaar heeft gemaakt, toont een build van 10 september vorig jaar.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Databases
De Wall Street Journal deed onderzoek naar de dataverzameling van TikTok. De krant concludeert dat de app een manier gebruikte om unieke mac-adressen te verzamelen, ook al staat Google dat niet toe. De WSJ keek naar negen verschillende versies van de app die tussen april 2018 en januari 2020 zijn uitgebracht. TikTok zou in ieder geval in de eerste achttien maanden daarvan de mac-adressen hebben verzameld, maar zou daar in november vorig jaar mee gestopt zijn.
De verzameling ging ook door nadat Google het in 2015 verbood om persoonlijke gegevens te koppelen aan apparaat-identifiers. Daaronder vielen bijvoorbeeld imei-nummers, maar ook mac-adressen. TikTok gebruikte volgens de WSJ een maas in Googles beleid. Het bedrijf verzamelde het mac-adres zodra de app voor het eerst werd geopend, voordat de gebruiker daar toestemming voor kon geven. Tegelijkertijd werd het unieke advertiser-id gekoppeld aan het mac-adres. Als een gebruiker zijn advertiser-id reset, kan TikTok die nieuwe id alsnog aan de gebruiker koppelen, omdat het mac-adres wel hetzelfde blijft.
Ook ontdekte de krant dat TikTok een eigen, zelfgebouwde encryptielaag heeft gebouwd die het over verbindingen heen zet. Op die manier zouden verzonden gegevens verder worden verborgen, bovenop de standaardencryptieprotocollen die al gebruikt werden.
De Wall Street Journal concludeert in het onderzoek dat TikTok naast het mac-adres weinig informatie verzamelt die andere apps niet ook verzamelen.
Alles bij de bron; Tweakers