- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De European Data Protection Board, een samenwerkingsverband van verschillende Europese privacytoezichthouders, hebben na een spoedprocedure besloten dat Meta onrechtmatig persoonsgegevens van gebruikers verwerkt. Meta doet dat terwijl hier geen juridische basis voor is, zo schrijft de Autoriteit Persoonsgegevens.
Het samenwerkingsverband suggereert dat Meta op basis van posts, woonplaats, leeftijd en interactie met berichten een gebruikersprofiel aanmaakt dat interessant is voor adverteerders, waarmee het bedrijf geld verdient. Meta zou daarentegen niet kunnen rechtvaardigen dat er op deze manier gebruikersgegevens verwerkt moeten worden. "Meta houdt bij wat je op Facebook en Instagram zet, aanklikt of leuk vindt en gebruikt die informatie voor het aanbieden van persoonsgerichte advertenties", aldus de EPDB. "Het onterecht verwerken van de persoonlijke informatie van miljoenen mensen op Facebook is een verdienmodel voor Meta. Door hier een eind aan te maken, is de privacy van mensen beter beschermd."
Het spoedproces dat aan het verbod op gepersonaliseerde advertenties voorafging, werd in werking gezet door Noorwegen. Eerder besloot de Noorse privacytoezichthouder Datatilsynet al om Meta vanaf begin augustus drie maanden lang 88.000 euro boete per dag te geven voor het overtreden van de AVG.
Het samenwerkingsverband draagt de privacytoezichthouder van Ierland, het land waar Meta in Europa is gevestigd, op om binnen twee weken maatregelen tegen het socialemediabedrijf te nemen. De Ierse Data Protection Commission zou tot dusver niet 'voortvarend genoeg' hebben opgetreden tegen Meta.
Alles bijde bron; Tweakers
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Frankfurt Airport rolt de komende maanden een systeem uit voor gezichtsherkenning van alle passagiers.
Het systeem heet Smart Path en is de afgelopen jaren in het gebruik bij Star Alliance succesvol gebleken. Frankfurt wil het daarom ook beschikbaar maken voor passagiers die met andere maatschappijen vliegen.
In de praktijk werkt het als bij een mobiele telefoon: de unieke trekken van elk gezicht worden bij een registratie, in de app of op de luchthaven bij een ‘kiosk’, eerst vastgelegd. De passagier zal dan bij aankomst of vertrek voor non-Schengenvluchten voortaan door de camera van Smart Path worden herkend en hoeft geen paspoort meer te laten zien. De oude manier met handmatige checks blijft ook bestaan, voor passagiers die daar de voorkeur aan geven.
Ter vergelijking: Schiphol heeft ook een systeem van gezichtsherkenning bij de zelfservicecontrole van biometrische paspoorten, maar hierbij moeten de passagiers nog steeds hun pas ‘laten zien’ aan het apparaat.
Alles bij de bron; Luchtvaartnieuws
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
De doorontwikkeling van immersieve technologieën, zoals virtual en augmented reality, vergroot het risico op beïnvloeding en manipulatie van burgers.
Huidige wetten en beleidsvoering kunnen de maatschappelijke dreiging van grootschalige dataverzameling door Big Tech niet inperken.
Dit concludeert het Rathenau Instituut, dat oproept tot debat.
Immersieve technologie vervaagt de grens tussen de fysieke en virtuele wereld en verzamelt veel gegevens over gebruikers, waaronder pupilreflexen, irisscans, neurodata en stemgegevens. Deze grootschalige verzameling van lichaams- en gedragsgegevens brengt risico's met zich mee voor privacy, democratie en veiligheid, waarschuwt de Haagse denktank.
Het Rathenau Instituut concludeert dat de huidige wetgeving en beleid ontoereikend zijn voor de verantwoorde doorontwikkeling van immersieve technologie. De organisatie roept op tot een maatschappelijk debat over welke persoonlijke data wel of niet mogen worden verzameld, onder welke voorwaarden en voor welke specifieke toepassingen. Het debat moet rekening houden met de bescherming van burgers, de verantwoordelijkheid van ontwikkelaars en de rol van toezichthouders.
De denktank ziet vooral in de gezondheidszorg, training en onderwijs, entertainment, infrastructuur, industrie, kantoor en kunst veel nieuwe toepassingen van immersieve technologie. Naast ar en vr wordt ook de metaverse tot een immersieve technologie gerekend.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
IPhones hebben jarenlang de unieke MAC-adressen van gebruikers gelekt waardoor die waren te volgen, ondanks een privacyfeature van Apple die dit juist moest voorkomen. Deze week kwam Apple met een beveiligingsupdate om het probleem te verhelpen.
Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen.
Drie jaar geleden kwam Apple met een feature genaamd 'private Wi-Fi addresses', die moest voorkomen dat iPhones hun unieke MAC-adres met wifi-netwerken delen.
Met de lancering van iOS 14, iPadOS 14 en watchOS 7 besloot Apple private Wi-Fi addresses te introduceren dat ervoor moet zorgen dat het toestel voor elk wifi-netwerk een ander MAC-adres gebruikt. Met iOS 15, iPadOS 15 en watchOS 8 werd er vervolgens automatisch voor elk wifi-netwerk waar meer dan zes weken geen verbinding mee was gemaakt een ander MAC-adres gegenereerd.
De privacyfeature bleek echter zinloos. "Wanneer een iPhone verbinding met een netwerk maakt, verstuurt het multicast requests om AirPlay-apparaten in het netwerk te vinden. In deze requests verstuurt iOS het echt Wi-Fi MAC-adres", aldus beveiligingsonderzoeker Tommy Mysk die het probleem (CVE-2023-42846) eind juli aan Apple rapporteerde.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Een meerderheid in de Tweede Kamer heeft ingestemd met een motie die de regering verzoekt om niet akkoord te gaan met enig Europees voorstel dat client-side scanning bevat. Volgens de motie van Wybren van Haga van Groep van Haga hoort client-side scanning thuis in een dystopische surveillancestaat zoals Noord-Korea of China, maar zeker niet in Nederland.
Daarnaast stelt de motie dat wetenschappers, juristen en privacydeskundigen vrijwel unaniem vernietigend zijn over dit voorstel en het de verwachting is dat het geen stand zal houden bij de rechter. "Verzoekt de regering niet akkoord te gaan met enig voorstel dat een detectiebevel op basis van client-side scanning bevat", aldus Van Haga.
Vorige week nam de Tweede Kamer al een andere motie tegen client-side scanning aan. Die motie van D66-Kamerlid Dekker-Abdulaziz verzocht de regering een eerder aangenomen motie van D66-Kamerlid Van Ginneken over het tegengaan van client-side scanning alsnog uit te voeren.
Eind juni liet minister Yesilgöz van Justitie en Veiligheid weten dat ze de motie van Van Ginneken, die door een meerderheid in de Tweede Kamer was aangenomen en oproept tot het tegengaan van client-side scanning, waarbij alle chatberichten van burgers worden gecontroleerd, niet zal uitvoeren. Volgens de minister is de inbreuk op grondrechten die hierbij plaatsvindt proportioneel en gerechtvaardigd
Alles bij de bron; Security.
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Na eerdere kritiek van privacy-experts verzet nu ook het Europees Parlement zich tegen een omstreden anti-kinderpornowet.
Het presenteerde donderdag een alternatief, dat online kindermisbruik moet aanpakken zonder daarbij Europeanen op hun telefoons en computers te hoeven surveilleren.
‘Het internet is nu onveilig voor kinderen. Het is alsof we ze zonder begeleiding achterlaten in het centrum van een drukke stad’, zegt Europarlementariër Paul Tang (PvdA).
Daarom presenteerde het Europees Parlement vandaag een tegenvoorstel dat kinderen moet beschermen zonder massaal de end-to-end-versleuteling van chatverkeer te omzeilen.
In het tegenvoorstel van het Europees Parlement moeten social media-accounts van kinderen op bijvoorbeeld Instagram en YouTube Kids standaard op ‘privé’ staan. Hierdoor kunnen onbekenden niet zomaar kinderen benaderen of screenshots van hun profiel maken.
Ook verplicht het online platforms en techbedrijven om preventieve maatregelen te treffen om online kindermisbruik te voorkomen. Het gaat daarbij onder meer om een online verplichting voor techbedrijven om de leeftijd van gebruikers te verifiëren, bijvoorbeeld met hun DigiD.
Ten slotte wil het Parlement online platforms verplichten een knop op hun platform te zetten, die identiek is op alle apps, waarmee kinderen onveilige situaties kunnen melden aan een Europese waakhond.
Alleen wanneer opsporingsdiensten kunnen bewijzen dat mensen in een chatgroep zich schuldig maken aan kindermisbruik, mag een rechter een scan aanvragen die berichten en gebruikersgegevens van de groepsdeelnemers verzamelt. Dit mag uitsluitend op niet-versleutelde diensten zoals Telegram, dus niet op WhatsApp of Signal.
Tech-expert Bert Hubert vindt het een goede zaak dat het Parlement afziet van surveillance-software. Maar het tegenvoorstel heeft weer eigen valkuilen: ‘Leeftijdsverificatie staat altijd op gespannen voet met de online anonimiteit, bijvoorbeeld als je er je DigiD voor moet aanleveren.’
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Het kabinet vindt het cruciaal voor een goed functionerende digitale samenleving dat burgers en bedrijven digitaal autonoom kunnen zijn en zelf kunnen beschikken over hun digitale identiteit en de gegevens die op hen betrekking hebben.
Het verstevigen van de digitale autonomie van onze burgers en bedrijven met als doel dat ze hun zaken zelf, veilig en betrouwbaar, digitaal kunnen regelen, vraagt van de overheid maatregelen die belangrijke publieke waarden borgen, zoals vrijwillig gebruik, privacy, herstelvermogen en transparantie. Daarnaast staan gebruiksvriendelijkheid en inclusie van mensen met een beperking hoog op de agenda.
Om burgers en bedrijven zo goed mogelijk te ondersteunen in de regie op hun digitale leven, zet ik me in voor een veilige introductie van een betrouwbare en toegankelijke id-wallet binnen het voorgestelde Europese raamwerk.
Om ervoor te zorgen dat burgers en bedrijven in 2025 gebruik kunnen maken van een betrouwbare, veilige en hoogwaardige id-wallet werk ik aan een open source voorbeeld-wallet. De ontwikkeling daarvan gebeurt transparant. De onderliggende documentatie wordt online gepubliceerd en de broncode van de wallet wordt openbaar beschikbaar gesteld.
Ik streef ernaar om in het eerste kwartaal van 2024 een werkende, eerste versie van een Nederlandse open source voorbeeld-wallet op te leveren. Deze versie zal een deel van de uiteindelijk benodigde functionaliteiten kunnen ondersteunen, zoals het online personaliseren van de id-wallet, online identificatie en authenticatie en het kunnen laden en delen van gegevens. Andere functionaliteiten, bijvoorbeeld het offline gebruik van een id-wallet en het zetten van een elektronische handtekening met een id-wallet, zullen later kunnen worden ontwikkeld.
De betrouwbaarheid en veiligheid van deze eerste versie van de NL voorbeeld-wallet wil ik doorlichten in keten(integratie)-testen in het tweede kwartaal van 2024.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Internet en Telecom
Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.
Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory.
Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.
...Hackers zijn er in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.
Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.
Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.
....Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.
Alles bij de bron; TechZine