De Zweedse online bank Avanza heeft wegens een datalek door een verkeerd ingestelde Meta-pixel op de eigen website en binnen de eigen app een AVG-boete van omgerekend 1,3 miljoen euro gekregen.
Via de pixel werden allerlei gevoelige financiële gegevens van een miljoen Avanza-klanten naar Meta doorgestuurd, aldus de Zweedse privacytoezichthouder IMY.
De bank meldde zelf aan de toezichthouder dat door een verkeerde instelling van de Meta-pixel tussen 15 november 2019 en 2 juni 2021 gegevens van een miljoen klanten onbedoeld naar Meta gingen. Het datalek werd veroorzaakt doordat de bank een aantal 'subfuncties' van de Meta-pixel per ongeluk inschakelde, aldus de Zweedse privacytoezichthouder.
De bank zegt dat het na ontdekking van het datalek de pixel heeft uitgeschakeld en dat Meta heeft bevestigd dat de verzamelde persoonlijke data is vernietigd.
Alles bij de bron; Security
Als Europeanen straks met de crypto-euro betalen, moet dat met net zoveel privacy kunnen als bij een contante betaling. Dat wil de Europese Centrale Bank (ECB) die momenteel werkt aan een systeem voor de digitale euro.
De financieel toezichthouder zegt te streven naar een hoge privacystandaard. De ECB wil dat bij offline betalingen met de digitale munt niemand inzicht krijgt in de transactie. Behalve natuurlijk de twee betrokken partijen, zoals een winkelier en een klant.
Bij online betalingen zouden iets meer partijen kunnen meekijken, maar dan alleen om fraude en witwassen te voorkomen. De ECB wil dan ook gebruikmaken van onder meer 'pseudonimisatie' (het omzetten van een persoonsgegeven naar een niet-herleidbare code), om zo persoonlijke gegevens af te schermen. Er moet een onafhankelijk instituut komen dat hier toezicht op houdt.
De Europese toezichthouder werkt al enige tijd aan een systeem voor de digitale variant van de euro. Maar de invoering duurt sowieso nog enkele jaren, als het er überhaupt al van komt.
De beslissing hierover ligt niet alleen bij de ECB. Ook het Europees Parlement en de lidstaten hebben hier iets over te zeggen. Het initiatief krijgt volop kritiek. Niet alleen vanwege twijfels over de privacy, maar ook omdat critici zich afvragen waar een digitale euro eigenlijk voor nodig is.
Alles bij de bron; NU
De Europese Commissie kwam onlangs met een voorstel voor een verordening omtrent de euro als wettig betaalmiddel. Een acceptatieplicht voor contant geld is hiervan onderdeel. Het wetsvoorstel is onder meer bedoeld om meer duidelijkheid te geven over het begrip 'wettig betaalmiddel', en duidelijker vast te leggen dat eurobankbiljetten en -munten daaronder vallen.
Van Weyenberg pleit voor een brede acceptatieplicht van content geld, maar wel met voldoende mogelijkheden voor nationale uitzonderingen. Hij wijst daarbij onder meer op de mogelijkheid contante betalingen te weigeren met het oog op de veiligheid.
Alles bij de bron; Dutch-IT-Channel
Microsoft kan niet garanderen dat data van de Britse politie die is opgeslagen in Azure-omgevingen binnen het Verenigd Koninkrijk blijft, ook al maakt nationale wetgeving dat verplicht. Dat blijkt uit correspondentie tussen het bedrijf en de Schotse politie.
De politiediensten in Schotland testen momenteel een nieuw systeem, de Digital Evidence Sharing Capability (DESC), wat het delen van informatie en bewijsmateriaal tussen verschillende diensten moet vereenvoudigen. Die data wordt in Azure opgeslagen en moet binnen de grenzen van het VK blijven.
Microsoft verstuurt data die is opgeslagen op zijn publieke hyperscaler-platform echter geregeld heen en weer tussen verschillende datacenters, ook buiten het Verenigd Koninkrijk (VK). Dit zou zelfs ‘inherent’ zijn aan de architectuur van Azure, meldt Microsoft in de correspondentie met de politie van Schotland.
De info kwam boven water naar aanleiding van een beroep op de Freedom of Information Act, de Britse variant van een woo-verzoek. Het Britse IT-magazine Computer Weekly berichtte er vervolgens over.
Doordat de data ook naar andere plekken buiten het VK ‘reist’, voldoen de politiediensten niet aan een onderdeel van de zogeheten Data Protection Act aldaar die stelt dat data van wetshandhavers soeverein moet blijven. Overigens heeft Microsoft wel aanpassingen gemaakt die ervoor zorgen dat de DESC-data het land niet verlaat, maar heeft het dit volgens de berichten niet voor andere diensten gedaan omdat het bedrijf ‘hier niet om was gevraagd’. Ook zou het bedrijf hiertoe contractueel niet verplicht zijn.
In een reactie stelt Microsoft dat het de vereisten voor data residency en -bescherming serieus neemt, maar geen contractuele toezeggingen heeft gedaan die veranderen hoe Azure-services al werken. Het bedrijf zegt min of meer dat het de politiedienst heeft uitgelegd hoe Azure werkt en dat het op basis van die uitleg kan bepalen of ze het platform kunnen blijven gebruiken om aan wetgeving te voldoen.
Alles bij de bron; TechZine
Gezichtsherkenningsbedrijf Clearview AI heeft een privacyzaak in de Amerikaanse staat Illinois geschikt met aandelen voor de eisers. Het bedrijf is naar eigen zeggen financieel niet in staat om een bedrag in dollars te betalen.
Clearview beschikt over een systeem met dertig miljard afbeeldingen van gezichten. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt.
Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde. Volgens de Clearview-ceo hebben politiediensten het systeem één miljoen keer gebruikt.
Sejal Zota, een advocaat die mensen bijstaat in een rechtszaak tegen Clearview AI in de staat Californië, betreurt de uitspraak, zo laat hij tegenover persbureau AP weten. "Het legitimeert Clearview. Het lost de oorzaak van het probleem niet op. Clearview mag blijven doorgaan met het verzamelen en verkopen van mensen hun gezichten zonder hun toestemming, en die te gebruiken voor het trainen van AI-technologie."
Alles bij de bron; Security
Bij een cyberaanval op een dochterbedrijf van het Duitse DZ Bank zijn mogelijk persoonsgegevens van tienduizenden klanten gestolen. Het gaat specifiek om beleggers die klant zijn bij de vastgoeddochter van DZ Bank.
De Rheinische Post meldt dat de aanvallers toegang hebben weten te krijgen tot adresgegevens, geboortedata, belegde bedrage, btw-nummers en correspondentie met klanten.
Alles bij de bron; Dutch-IT-Channel
Levi Strauss heeft accounts van meer dan 72.000 gebruikers gereset wegens een credential stuffing-aanval. Aanvallers wisten met inloggegevens die bij andere websites waren gestolen in te loggen op de accounts. De aanval vond op 13 juni plaats.
"Onze securitydetectietools functioneerden naar behoren in dit geval en we wisten de aanval snel te identificeren en blokkeren", aldjus Levi Strauss. Het bedrijf zegt dat het van alle accounts waar gedurende de aanval op werd ingelogd de wachtwoorden heeft gereset.
Doordat de aanvallers toegang kregen tot de accounts van gebruikers hebben ze mogelijk ook gegevens van deze gebruikers ingezien, aldus de datalekmelding. Het gaat om informatie zoals bestelgeschiedenis, naam, e-mailadres, adresgegevens en de laatste vier cijfers van het creditcardnummer als die waren opgeslagen.
Alles bij de bron; Security
De gegevens van 60.000 Nederlanders met een studieschuld waren online zichtbaar door een fout van DUO. Analysesoftware waar DUO gebruik van maakt bleek niet goed te zijn beveiligd. Het datalek is ontdekt door een ethische hacker.
De fout is ontstaan rond een enquete die DUO op 30 mei verstuurden naar mensen die hun studieschuld terugbetalen. De resultaten analyseert DUO met behulp van software die echter niet goed beveiligd bleek te zijn waardoor de ethische hacker de e-mailadressen van de 60.000 deelnemers kon zien.
Zowel DUO als de softwareleverancier onderzoeken het lek. Ook is het lek door DUO gemeld bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Dutch-IT-Channel