Locatiegegevens van gebruikers die zijn vergaard door ruim honderd Nederlandse apps, worden online te koop aangeboden, zo claimt BNR.
Het gaat om locatiegegevens die volgens BNR en internationale partnermedia van het platform door een malafide datahandelaar, Datastream Group, intussen als Datasys bekend, worden aangeboden. Een andere partij, Datarade uit Berlijn, zou het contact tussen de databroker en de journalisten hebben gefaciliteerd.
Onder meer locatiegegevens vergaard door Buienalarm en games van de Nederlandse ontwikkelaars My.games, GameHouse en Sparkling Society zouden via de datahandelaars te koop zijn aangeboden. Er zouden 'miljoenen Nederlanders' door deze praktijken getroffen zijn.
Het verschilt per appaanbieder welke locatiegegevens van gebruikers er worden opgeslagen. Soms gaat het om zeer exacte coördinaten, zo legt BNR uit, maar in andere gevallen om minder nauwkeurige locaties gebaseerd op IP-adressen. Het verzamelen van deze gegevens zonder nadrukkelijke toestemming van de gebruiker is volgens de Stichting Data Bescherming Nederland hoe dan ook illegaal.
Alles bij de bron; Tweakers
Een datalek bij telecomprovider Telefonica is veroorzaakt doordat medewerkers met malware besmet raakten, zo stelt securitybedrijf Hudson Rock.
Het bedrijf stelt dat er nieuwe informatie is verschenen waaruit blijkt dat het datalek veroorzaakt is door een combinatie van infostealer-malware en social engineering. Het securitybedrijf sprak naar eigen zeggen met de aanvaller die claimde dat meer dan vijftien Telefonica-medewerkers met infostealer-malware zijn geïnfecteerd. Dit soort malware steelt allerlei inloggegevens van besmette systemen.
De aanvaller zou als eerste via een Atlassian Jira-systeem zijn binnengekomen. Nadat de aanvaller toegang had gekregen werd social engineering gebruikt om verdere toegang te krijgen. Zo werden twee medewerkers met adminrechten misleid om te laten weten wat de juiste SSH-server was, waar vervolgens een bruteforce-aanval op werd uitgevoerd.
Volgens Hudson Rock zijn vorig jaar 531 Telefonica-medewerkers met infostealer-malware besmet geraakt. Telefonica heeft bevestigd dat er een inbraak op het interne ticketsysteem heeft plaatsgevonden, maar heeft nog geen verdere informatie over de oorzaak of omvang van de aanval gegeven. Telefonica heeft verschillende dochterondernemingen, waaronder Virgin Media O2, O2 Germany, Vivo en Telxius.
Alles bij de bron; Security
Datalekzoekmachine Have I Been Pwned heeft een dataset ontvangen met 167 miljoen unieke wachtwoorden die afkomstig zijn van computers besmet met infostealer-malware. Dit soort malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen.
De dataset bestaat uit honderden tekstbestanden die bij elkaar meer dan honderd gigabyte groot zijn. Het gaat om 167 miljoen unieke wachtwoorden en 71 miljoen e-mailadressen van gecompromitteerde accounts.
Van de 167 miljoen unieke wachtwoorden bleken er al 61 miljoen in de Pwned Passwords-lijst voor te komen. De overige 106 miljoen zijn nu aan de lijst toegevoegd.
Alles bij de bron; Security
Datahandelaar Gravy Analytics heeft van mogelijk miljoenen mensen de locatiegegevens gelekt. Het bedrijf verzamelt via smartphone-apps en advertentieveilingen op grote schaal locatiedata van mensen. Deze data wordt dan weer aan andere partijen doorverkocht.
Gravy Analytics claimt dat het elke dag meer dan 17 miljard signalen van de smartphones van mensen verzamelt en verwerkt. Het bedrijf zou volgens de FTC ook gevoelige informatie gebaseerd op de locatiegegevens, zoals medische of gezondheidsbeslissingen, politieke activiteiten en religieuze opvattingen, verkopen.
Unacast, het moederbedrijf van Gravy Analytics, heeft bij de Noorse privacytoezichthouder een datalekmelding gedaan en zegt dit ook bij de Britse privacytoezichthouder te zullen doen. In de melding staat dat Gravy Analytics op 4 januari ontdekte dat iemand toegang had gekregen tot de cloudopslag bij Amazon Web Services (AWS), zo meldt de Noorse televisieomroep NRK.
Op internet is iemand die claimt bij Gravy Analytics te hebben ingebroken en heeft een deel van de vermeende gestolen data openbaar gemaakt. Het zou om een dataset van zeventien terabyte gaan.
De Franse beveiligingsonderzoeker Baptiste Robert analyseerde de dataset en stelt dat die tientallen miljoenen locatiedatapunten bevat. Een deel van deze punten is gekoppeld aan het advertentie-ID van de telefoon en maakt het mogelijk om individuen heel nauwkeurig te volgen en te zien waar ze allemaal zijn geweest.
Uit de dataset zou blijken dat de locatiegegevens via honderden populaire apps zoals Candy Crush, FlightRadar, Grindr en Tinder zijn verzameld.
Alles bij de bron; Security
Minister Van Weel (JenV) reageert op het verskag van de Eerste Kamerfracties van GroenLinks-PvdA en D66 over het wetsvoorstel Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten.
.... De leden van de fracties van GroenLinks-PvdA en D66 zijn evenwel van mening dat er parallellen zijn tussen de CTER-registraties waarnaar de Ombudsman onderzoek heeft gedaan en de handelingen in de onderhavige wet. Het gaat in beide gevallen om respectievelijk vroegsignalering en registratie van burgers die mogelijk een dreiging (gaan) vormen (CTER-registraties) en casusoverleggen waarin de aanpak van radicaliserende of geradicaliseerde personen worden besproken (onderhavige wetsvoorstel).
Wat beide trajecten gemeen hebben is dat het gaat om het verwerken en delen van zeer gevoelige informatie. Bovendien hebben burgers vaak geen weet van deze signaleringen, registratie en overleggen terwijl het feit dat zij onderwerp daarvan zijn, grote impact kan hebben op hun leven, zoals ook de Ombudsman constateert en deze leden van burgers hebben vernomen.
Eén van de conclusies van de Nationale Ombudsman in het onderzoek naar CTER-registraties is dat structureel en onafhankelijk toezicht op het CTER-proces te mager is georganiseerd. De Ombudsman concludeert: “Het proces ontbeert een structurele blik van buiten. Burgers moeten erop kunnen vertrouwen dat de overheid goed omgaat met hun gegevens, belangen en rechten. Onafhankelijk en structureel toezicht is daarvoor een belangrijke voorwaarde. Dat is des te belangrijker als burgers geen weet hebben van de verwerking van hun gegevens, zoals bij de CTER-registraties, en deze verwerking bovendien grote gevolgen kan hebben voor hun leven en dat van hun familie”. Ten aanzien van de rechtsbescherming concludeert de Ombudsman dat deze niet effectief is voor de burger....
Alles bij de bron; RijksOverheid
Uitgeverij Scholastic publiceert lesmateriaal en schoolboeken, alsmede populaire kinderboeken zoals Harry Potter en The Hunger Game en heeft de persoonlijke gegevens van 4,2 miljoen mensen gelekt. Het gaat om e-mailadressen, namen, telefoonnummers en adresgegevens,.
Vorige week meldde de Daily Dot dat een aanvaller miljoenen gegevens bij Scholastic had buitgemaakt. De aanvaller verklaarde dat een medewerker van Scholastic besmet was geraakt met malware en zo inloggegevens konden worden gestolen die toegang tot de server gaven. Daarbij zou Scholastic volgens de aanvaller geen gebruik van multifactorauthenticatie hebben gemaakt.
De gestolen e-mailadressen zijn inmiddels met Have I Been Pwned gedeeld. Van de ruim 4,2 miljoen gestolen e-mailadressen was zeventig procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
De TU/e heeft zondag 12 januari het netwerk offline gehaald, vanwege een cyberaanval. Daardoor zijn of worden netwerkgebonden systemen van de TU/e voorlopig voor gebruikers onbereikbaar en zijn er geen onderwijsactiviteiten mogelijk....
...Onze ICT-experts hebben wel nog toegang tot de systemen. Ze onderzoeken momenteel de aard en omvang van de cyberaanval en proberen het netwerk zo snel mogelijk weer operationeel te krijgen...
Over de precieze aard kunnen we gezien het onderzoek nog niet veel zeggen, maar het had alle kenmerken van een cyberaanval gezien de verdachte activiteiten op onze servers. In de loop van de nacht is het netwerk daarom offline gehaald. Er is nog geen teken dat data zijn gestolen, dat onderzoeken we nog.
We roepen verder iedereen op om extra alert te zijn op phishing e-mails die mogelijk misbruik maken van de situatie bij de TU/e, en niet op links te klikken van onbekende afzenders of die vragen om in te loggen op een omgeving. De TU/e zal dit soort e-mails niet versturen.
Alles bij de bron; Dutch-IT-Channel
Een van de meest gestelde vragen bij de Spaanse stands op de Vakantiebeurs ging over de nieuwe registratiewet voor toeristen. Veel mensen maken zich zorgen over de hoeveelheid gegevens die sinds kort verplicht door hotels en reisgezelschappen moeten worden uitgevraagd. Deze bezorgdheid is voor sommigen zelfs reden om hun vakantieplannen naar Spanje te heroverwegen.
Op 1 december 2024 ging de nieuwe Spaanse registratiewet voor reizigers van kracht. Hotels, reisbureaus, verhuurmaatschappijen en campings moeten voortaan uitgebreide persoonlijke gegevens van toeristen registreren.
Volgens de wet moeten de volgende gegevens van toeristen geregistreerd worden:
Persoonlijke gegevens: naam, achternaam, geslacht, geboortedatum, nationaliteit, woonadres, telefoonnummer, e-mailadres, enz.
Documentgegevens: identificatienummer, type document (DNI, paspoort, TIE), documentnummer.
Reis- en transactiegegevens: incheckdatum, uitcheckdatum, gegevens van de accommodatie, betaalmethode [zoals IBAN of creditcardnummers] en meer.
Toeristen zetten vraagtekens bij de noodzaak van de registratiewet en sommigen overwegen om Spanje te mijden. Of de Spaanse overheid de wet zal herzien, is nog onzeker, maar de wet blijft voorlopig van kracht. De Spaanse reisverenigingen UNAV en Acave hebben al aangegeven de wet aan te vechten als deze niet wordt aangepast. Zij overwegen zelfs om naar de Europese Unie te stappen.
Alles bij de bron; InSpanje
Pagina 15 van 678
