Otelier, een platform dat hotelketens wereldwijd gebruiken voor het beheren van reserveringen, transacties en facturatie, is getroffen door een aanval waarbij gegevens van honderdduizenden gasten zijn gestolen. Het gaat onder andere om gasten van bekende hotelketens zoals Marriott, Hilton en Hyatt.
De aanvaller heeft naar eigen zeggen bijna acht terabyte aan data uit de Amazon S3-buckets van Otelier buitgemaakt. Het bedrijf heeft de inbraak bevestigd, maar nog niet laten weten van hoeveel mensen de gegevens precies zijn gestolen.
Hunt ontving een dataset met de gestolen data. Het ging om 437.000 e-mailadressen, alsmede gedeeltelijke creditcardgegevens, telefoonnummers, adresgegevens, aankopen en reisplannen. Van die 437.000 buitgemaakte e-mailadressen was tachtig procent al via een datalek bij de zoekmachine Have I Been Pwned bekend.
Alles bij de bron; Security
Het verbieden van TikTok in de Verenigde Staten is in strijd met het grondwettelijk beschermde recht op de vrijheid van meningsuiting, zo stelt de Amerikaanse burgerrechtenbeweging EFF in een reactie op een beslissing van het Supreme Court. "Wij zijn teleurgesteld dat de rechtbank de inhoudelijke rechtvaardiging van de wet negeert, namelijk om de meningen die Amerikanen zien en met elkaar delen te controleren, en alleen op basis van onzekere privacyzorgen te oordelen."
Dat oordeelde gisteren dat de populaire app verboden mag worden, zoals de Amerikaanse regering via de Foreign Adversary Controlled Applications Act wil doen. De wet stelt dat moederbedrijf ByteDance TikTok moet verkopen, anders gaat de app aanstaande zondag op zwart in de VS.
Het Witte Huis heeft inmiddels aangegeven dat de volgende regering een beslissing over het implementeren van de wet moet nemen.
De burgerrechtenbeweging voegt toe dat vijanden van de VS eenvoudig op talloze andere manieren de gegevens van Amerikanen kunnen stelen, scrapen of kopen. "Het verbod of de gedwongen verkoop van één social media app doet nagenoeg niets om de dataprivacy van Amerikanen te beschermen. Alleen grondige privacywetgeving kan dat doel bereiken."
Alles bij de bron; Security
Alle masterstudenten en wetenschappers van gevoelige technologiestudies krijgen een verplichte screening. Het kabinet hoopt op deze manier te voorkomen dat kwetsbare informatie over de Nederlandse veiligheid door spionage en diefstal in handen komt van buitenlandse mogendheden.
In 2022 waarschuwden veiligheidsdiensten en de Nationaal Coördinator Terrorismebestrijding en Veiligheid voor spionage en diefstal van Nederlandse gevoelige technologie die op universiteiten en hogescholen wordt ontwikkeld.
Zogenoemde 'sensitieve technologie' houdt zich niet alleen met militaire techniek bezig, zoals het ontwikkelen van bijvoorbeeld wapens en nachtkijkers. Het gaat ook om het ontwikkelen van microchips en softwaresystemen voor de politie en veiligheidsorganisaties.
Iraanse studenten en onderzoekers bleken gevoelige informatie te lekken naar hun land en universiteiten moesten extra voorzorgsmaatregelen nemen. Een leerstoel in Groningen bleek deels gefinancierd te worden door China, met het verzoek dat de hoogleraar het imago van China niet mocht beschadigen.
Eigenlijk wilde het kabinet alleen 'derdelanders' een screeningsplicht opleggen. Maar dat blijkt juridisch niet mogelijk te zijn, omdat iemand uit zo'n land juridisch bezwaar kan maken op grond van discriminatie, staat in een brief aan de Tweede Kamer.
Over enkele maanden hoopt minister Bruins meer duidelijkheid te geven over welke studies die zich bezig houden met 'sensitieve' technologie onder de screening gaan vallen. Ook moet dan duidelijk worden wie die screening gaat uitvoeren en per wanneer.
Alles bij de bron; NOS [thnx-2-Niek]
MSI heeft vorig jaar de persoonlijke gegevens van 250.000 klanten gelekt. Het gaat om namen, telefoonnummers, e-mailadressen, adresgegevens en garantieclaims. De computerfabrikant besloot geen datalekmelding te versturen omdat er geen identiteitsnummers zoals social-securitynummers en rijbewijsnummers zijn buitgemaakt, zo liet het weten.
Een aantal maanden geleden werd bekend dat een server van MSI met garantieclaims van klanten voor iedereen op internet zonder enige authenticatie toegankelijk was. De claims gingen terug tot 2017 en waren eenvoudig via Google te vinden.
De 250.000 gelekte e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De gelekte e-mailadressen zijn toegevoegd aan Have I Been Pwned. 84 procent was al via een ander datalek bekend.
Alles bij de bron; Security
Deze week besprak de gemeenteraad van Ede een voorstel van het college om de regels rondom de Basisregistratie Personen (BRP) te wijzigen.
Dit klinkt misschien als een technisch onderwerp, maar het raakt iedereen. Wat wil het college precies? Hoe is het nu geregeld? En vooral: wat zijn de zorgen? De Edese Vos legt het uit.
Het college stelt voor om de verordening voor de BRP te actualiseren. Dit betekent onder andere:
Meer flexibiliteit in het delen van gegevens met zogenoemde derden, zoals woningcorporaties of bewindvoerders.
De verantwoordelijkheid om te bepalen welke gegevens worden gedeeld, wordt grotendeels bij het college gelegd in plaats van expliciet in de verordening vastgelegd.
Volgens het college is dit nodig om efficiënter te kunnen werken en om beter aan te sluiten bij landelijke richtlijnen.
De BRP bevat gegevens van alle inwoners, zoals adres, burgerlijke staat en nationaliteit. Deze informatie wordt gebruikt door de gemeente, maar ook gedeeld met andere partijen. Dit is wel strikt gereguleerd.
Wat zijn de zorgen?
1. Democratische controle: Door het college de bevoegdheid te geven om zelf te bepalen welke derden toegang krijgen tot de BRP, wordt de rol van de gemeenteraad beperkt. Dit kan leiden tot minder toezicht op hoe en met wie gegevens worden gedeeld.
2. Transparantie voor inwoners: Veel inwoners weten niet met wie hun gegevens worden gedeeld. Hoewel er jaarlijks een zelfevaluatie wordt uitgevoerd, zijn de resultaten niet publiekelijk beschikbaar op een toegankelijke manier.
3. Privacyrisico’s: Hoewel de regels voor geheimhouding streng zijn, blijft er een risico dat gegevens onbedoeld in verkeerde handen vallen, vooral als de lijst van ‘derden’ wordt uitgebreid zonder dat dit duidelijk wordt gecommuniceerd.
Om de zorgen te verminderen, zou de gemeenteraad de volgende verbeteringen kunnen voorstellen:
1. Meer transparantie richting inwoners
Publiceer jaarlijks een overzicht van wie toegang heeft gekregen tot de BRP-gegevens en waarom.
Geef inwoners proactief informatie over hun recht op geheimhouding en inzage.
2. Versterking van de rol van de gemeenteraad
Zorg dat de raad periodiek wordt geïnformeerd over verstrekkingen en actiepunten uit de zelfevaluatie.
Overweeg een hybride model waarin het college binnen duidelijke kaders van de raad kan opereren.
3. Striktere definities
Concretiseer wat ‘gewichtig maatschappelijk belang’ betekent om interpretatieverschillen en willekeur te voorkomen.
Wil je weten hoe jouw gegevens worden gebruikt? Of geheimhouding aanvragen? Dat kan eenvoudig via de website van de gemeente of aan de balie.
Alles bij de bron; Edese Vos
noyb dient klachten in tegen TikTok, AliExpress, SHEIN, Temu, WeChat en Xiaomi vanwege illegale dataoverdracht naar China. Vier van de partijen geven openlijk aan Europese gebruikersgegevens naar China te sturen, terwijl twee bedrijven stellen gegevens overdragen naar niet-gespecificeerde "derde landen," vermoedelijk ook China.
In principe is dataoverdracht buiten de EU verboden, tenzij bedrijven voldoen aan strikte voorwaarden zoals het gebruik van Standaard Contractuele Clausules (SCC's). Hierbij moeten bedrijven aantonen dat gegevens veilig zijn in het land van bestemming en dat SCC’s niet conflicteren met nationale wetten.
In het geval van China is dit niet mogelijk vanwege het ontbreken van duidelijke wettelijke grenzen voor toegang door de autoriteiten, stelt nyob. Volgens de privacyorganisatie is het daarom duidelijk dat dataoverdracht naar China onrechtmatig is en onmiddellijk moet stoppen.
noyb dient zes klachten in in vijf Europese landen en verzoekt de autoriteiten onmiddellijk de dataoverdracht naar China te stoppen. Ook roept noyb op tot boetes.
Alles bij de bron; Dutch-IT-Channel
De configuratiebestanden, IP-adressen en vpn-inloggegevens van ruim 15.000 FortiGate-apparaten zijn op het darkweb gelekt. De data werd gelekt door de Belsen Group, een nieuwe hackersgroep en wordt gratis weggegeven.
Het gaat om gebruikersnamen, wachtwoorden – waarvan een deel in plaintext beschikbaar is – digitale certificaten voor apparaatbeheer en alle firewallregels. De gestolen data komt van apparaten uit 145 verschillende landen. Het merendeel, van 1603 configuraties, komt uit Mexico. Verder zijn gegevens van 679 Amerikaanse FortiGate-apparaten gestolen en 208 uit Duitsland. Of en hoeveel Nederlandse en Belgische apparaten getroffen zijn, is onbekend.
Heise en beveiligingsonderzoeker Kevin Beaumont analyseerden de data en stellen dat gegevens in oktober 2022 zijn verzameld. Waarschijnlijk gebeurde dat door misbruik van de kwetsbaarheid CVE-2022-40684, die destijds werd ontdekt en door FortiGate-maker Fortinet werd gedicht. Het lek zat in de FortiOS-firmware van 7.0.0 tot en met 7.0.6 en van 7.2.0 tot en met 7.2.2.
Beaumont benadrukt dat het datalek wel om actie vraagt. "Zelfs als je de patch in 2022 hebt geïnstalleerd, bestaat de mogelijkheid dat je systeem toch gecompromitteerd is, aangezien de configuraties jaren geleden zijn gelekt en nu pas zijn vrijgegeven. Het is waarschijnlijk verstandig om uit te zoeken wanneer je deze kwetsbaarheid precies hebt gepatcht.
Fortinet waarschuwde deze week ook voor een actief misbruikte zeroday in zijn FortiGate-firewalls. Deze lijkt echter niet gerelateerd aan het datalek van de Belsen Group, maar een losstaand probleem te zijn.
Alles bij de bron; Tweakers
Een baas die je e-mail leest, een werkgever die precies weet wanneer je naar het toilet gaat en camera’s die over je schouder meekijken. Dat is geen big brother, maar realiteit. Uit onderzoek blijkt dat bedrijven hun werknemers steeds vaker in de gaten houden.
Uit onderzoek van vakbond CNV, dat onder ruim 2100 leden werd gehouden, blijkt dat één op de vijf medewerkers in de gaten wordt gehouden op de werkvloer. “Het is wel een beetje big brother, hè?” zegt vakbondsvoorzitter Piet Fortuin. “Camera’s die over je schouder meekijken, systemen in je computer, een black box in je auto. Er wordt steeds meer controle gehouden over wat werknemers doen.”
Vooral bij distributie- en callcentermedewerkers is het vaak raak. Tot op de seconde wordt geregistreerd waar ze mee bezig zijn. “Pakketbezorgers zijn ook een goed voorbeeld. Die moeten continu rapporteren waar ze zijn, wat ze hebben afgeleverd en hoe ver ze op de route zijn,” zegt Fortuin.
Wil je als bedrijf je werknemers volgen? Dan heb je zwaarwegende motivatie nodig, zegt Vincent Böhre, jurist en directeur van stichting Privacy First. “Bijvoorbeeld als je vermoedt dat er strafbare feiten worden gepleegd. Denk aan fraude en diefstal. Alleen als je een concrete verdenking hebt, mag je bepaalde werknemers monitoren. Zeker niet allemaal tegelijk.”
Achterhalen of je baas je volgt, is lastig. Het meeste gebeurt in de computer. “Op afstand kunnen werkgevers toetsaanslagen monitoren, zien hoe mensen scrollen, wat ze allemaal bekijken,” zegt Böhre. “Maar als werknemer heb je dat niet zomaar door.”
Wie toch het vermoeden heeft dat hij of zij wordt gemonitord, kan naar de ondernemingsraad (OR) stappen. De OR moet altijd op de hoogte zijn van een dergelijke monitoring. Vaak genoeg vergeten bedrijven die toestemming te vragen. Dat is in strijd met de wet. Andere opties zijn de vakbond en Autoriteit Persoonsgegevens.
Böhre: “En als je echt denkt dat je onrechtmatig wordt gevolgd, neem dan contact op met rechtsbijstand.”
Alles bij de bron; Parool
Pagina 14 van 678
