- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Door middel van een aangepast smart lock is het mogelijk om vingerafdrukken te stelen om zo toegang tot beter beveiligde systemen en accounts te krijgen. Ook het oprapen van een op het eerste gezicht onschuldig lijkend apparaatje maakt diefstal van biometrische data mogelijk, zo blijkt uit onderzoek.uitgevoerd door Steve Kerrison van de James Cook University uit Singapore (pdf).
In het verleden is er geregeld aandacht geweest voor het omzeilen van de vingerafdruksensor van bijvoorbeeld smartphones. Minder aandacht heeft het gebruik van dergelijke sensoren gekregen voor het stelen van vingerafdrukken. Steeds vaker beschikken goedkope IoT-apparaten, zoals smart locks, over vingerafdruksensoren.
Deze apparaten hebben minder krachtige processors, goedkopere sensoren en bieden niet dezelfde beveiliging als een smartphone. Een aanvaller zou via het minder beveiligde IoT-apparaat een vingerafdrukafbeelding kunnen stelen om daarmee toegang tot een ander apparaat of account te krijgen. Kerrison noemt dit de "droplock" aanval.
...Het lukte de onderzoeker om door middel van een debug-interface de firmware van een niet nader genoemd smart lock te overschrijven. Zo is het mogelijk om vingerafdrukken te scannen en via bluetooth naar een apparaat of aanvaller in de buurt te sturen.
Om dergelijke aanvallen te voorkomen adviseert de onderzoeker het uitschakelen van debug-interfaces en alleen toestaan van gesigneerde firmware-updates.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De Autoriteit Persoonsgegevens (AP) heeft de Nederlandse overheid geadviseerd te stoppen met het delen van persoonsgegevens met kerken. De gegevens van ongeveer vijf miljoen Nederlandse kerkleden worden nu automatisch met kerken gedeeld.
Volgens de AP dient het doorgeven van persoonsgegevens uit de Basisregistratie Personen (BRP) aan de kerken geen algemeen belang en is het niet noodzakelijk. Het is daarom in strijd met de Algemene Verordening Gegevensbescherming (AVG) en moet stoppen, zo stelt de toezichthouder.
De voorganger van de AP, het College bescherming persoonsgegevens, zei in 2013 al dat het delen van gegevens uit de BRP in strijd is met de privacywetgeving. De Raad van State kwam in 2013 tot dezelfde conclusie.
In 2016 stemde een meerderheid van de Tweede Kamer voor een motie om te stoppen met het doorgeven van persoonsgegevens aan kerken. Maar daarna is het delen van gegevens doorgegaan.
Als de overheid wil doorgaan met het doorgeven van wijzigingen in de BRP, dan moet zij daarvoor toestemming hebben van de persoon zelf, vindt de AP. Ook moet de overheid volgens de toezichthouder kunnen aantonen dat mensen zich niet gedwongen voelen toe te stemmen.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers hebben een variant van de beruchte Mirai-malware ontdekt die oudere D-Link-routers infecteert via twee bekende kwetsbaarheden waarvoor geen firmware-updates beschikbaar zijn. De betreffende routers worden namelijk niet meer door de fabrikant ondersteund.
De twee kwetsbaarheden, aangeduid als CVE-2022-26258 en CVE-2022-28958, zijn respectievelijk aanwezig in de DIR-820L en DIR-816L.
Beide kwetsbaarheden werden begin dit jaar geopenbaard. D-Link heeft echter geen firmware-updates uitgebracht. Aanvallers maken nu misbruik van de kwetsbaarheden om routers met de MooBot-malware te infecteren, zo meldt securitybedrijf Palo Alto Networks. Deze malware gebruikt besmette apparaten onder andere voor het uitvoeren van ddos-aanvallen. D-Link adviseert eigenaren van beide routers om die niet meer te gebruiken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De Autoriteit Persoonsgegevens (AP) richt zich bij het toezicht vooral op partijen die datalekken wel melden, waardoor organisaties die datalekken juist verzwijgen vrij spel lijken te hebben, zo stellen onderzoekers van Pro Factor die voor het Wetenschappelijk Onderzoek- en Documentatiecentrum onderzoek deden naar de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de meldplicht datalekken en de boetebevoegdheid van de AP.
De UAVG is de organisatiewet die regels stelt over de oprichting, inrichting, taken en bevoegdheden van de Autoriteit Persoonsgegevens....
...De onderzoekers merken op dat in de onderzochte gevallen de toezichthouder forse boetes oplegde in gevallen waarbij een datalek wel werd gemeld. "Risicogericht toezicht, dat de AP stelt na te streven, zou juist een focus op grote risico’s met zich meebrengen en die schuilen vermoedelijk juist in de categorie niet-melders."
Het kabinet komt eind dit jaar met een reactie op het rapport en de aanbevelingen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Interpol heeft een bende opgerold die slachtoffers met naaktvideo's en gestolen contactenlijsten afperste. Slachtoffers werden op onder andere datingsites en seksplatforms benaderd en kregen de vraag om een app voor "naked chats" te downloaden.
In werkelijkheid ging het om een malafide app waarmee de contactenlijst van de telefoon werd gestolen. Vervolgens dreigde de bende om naaktvideo's van slachtoffers onder vrienden en familie te verspreiden.
De afgelopen twee maanden zijn twaalf verdachten in deze zaak aangehouden. Interpol adviseert slachtoffers van afpersing om alle contact met de afpersers te verbreken, niet te betalen en aangifte bij de politie te doen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws
De Nederlandse luchtvaartmaatschappijen KLM, KLC, Transavia, Corendon en TUI onderzoeken de mogelijkheden voor het delen van zwarte lijsten van ordeverstorende passagiers.
KLM en Transavia verwachten nog dit jaar dergelijke zwarte lijsten te kunnen delen. Zij hebben daartoe geen vergunning nodig van de Autoriteit Persoonsgegevens, omdat er sprake is van een interne uitwisseling van persoonsgegevens binnen één concern. Dat schrijft minister Harbers (Infrastructuur en Waterstaat) aan de Tweede Kamer.
De genoemde luchtvaartmaatschappijen hebben aangegeven op basis van de ervaringen van KLM en Transavia concrete vervolgstappen te overwegen. Ook hebben de bedrijven oriënterende gesprekken gevoerd om te onderzoeken welke vervolgstappen noodzakelijk zijn om deze zwarte lijsten met de overige Nederlandse luchtvaartmaatschappijen te delen.
In die gesprekken zijn enkele obstakels vastgesteld die het delen van zwarte lijsten mogelijk kunnen belemmeren. Harbers: “Hierbij moet gedacht worden aan de verschillende criteria die worden gehanteerd door de luchtvaartmaatschappijen om passagiers op een zwarte lijst te plaatsen. Ook de duur van het reisverbod voor een passagier verschilt per luchtvaartmaatschappij, alsmede de wijze waarop persoonsgegevens veilig worden opgeslagen en veilig worden verstuurd.”
Deze zaken zullen volgens de minister geharmoniseerd moeten worden voordat overgegaan kan worden tot het delen van zwarte lijsten. Tevens is er dan wel een vergunning van de AP vereist.
Alles bij de bron; Beveiliging
- Gegevens
- Hoofdcategorie: Internet en Telecom
TikTok ontkent te zijn gehackt nadat een hackersgroep onthullende screenshots zou hebben gedeeld op een forum. Daarop zouden volgens de groep gegevens van gebruikers te zien zijn. Volgens het sociale medium is daar niets van waar.
Een woordvoerder van TikTok laat in een reactie aan The Verge weten dat het platform "geen bewijs heeft gevonden van een inbreuk op de beveiliging". Het bedrijf denkt niet dat gebruikers "veiligheidsmaatregelen moeten nemen".
Volgens Bleeping Computer zeggen de hackers de gegevens te hebben verkregen via een server die wordt gebruikt door TikTok. Ze beweren dat er meer dan 790 gigabyte aan gebruikersgegevens, platformstatistieken en broncodes op staat.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Instagram heeft maandag een boete van 405 miljoen euro gekregen van de Ierse privacytoezichthouder. Het sociale netwerk is onzorgvuldig omgesprongen met de data van kinderen. Hun gegevens werden door Instagram verwerkt en openbaar gemaakt, terwijl dat niet duidelijk genoeg was gemaakt voor de jonge gebruikers, aldus de privacytoezichthouder.
De onderzoeken van de Ierse Data Protection Commission volgden op bevindingen van de Amerikaanse datawetenschapper David Stier. Hij kwam er in 2019 achter dat kinderen ermee instemden dat hun gegevens publiek werden gemaakt als hun accounts werden omgezet van een persoonlijke naar een bedrijfsaccount.
Alles bij de bron; NU