45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Hackers konden rijdende auto stoppen door lek in Bosch-dongel

Beveiligingslekken in een dongel van fabrikant Bosch maakten het mogelijk voor hackers om op afstand de motor van een rijdende auto uit te schakelen. De problemen waren aanwezig in de Bosch Drivelog Connector OBD-II dongel. Het apparaat wordt voor het beheer van de auto gebruikt en monitort de "gezondheid" van het voertuig en waarschuwt als er iets mis is.

Gebruikers kunnen via een smartphone-app weer met de dongel communiceren. Dit gebeurt via bluetooth en maakt het mogelijk om informatie over het voertuig op te vragen. Onderzoekers van Argus Cyber Security ontdekten een informatielek in het authenticatieproces tussen de dongel en smartphone-app, alsmede kwetsbaarheden in het berichtenfilter van de dongel. De onderzoekers ontdekten dat een aanvaller met de dongel kon pairen, zodat de dongel het dongelcertificaat verstuurde. Aangezien de aanvaller niet over de pincode van de gebruiker beschikt, zou die in een offline-omgeving via bruteforce kunnen worden achterhaald.

Met deze pincode en het certificaat kon de aanvaller vervolgens verbinding met de dongel maken. Het berichtenfilter van de dongel bevatte echter ook kwetsbaarheden en lieten een aanvaller kwaadaardige opdrachten naar de CAN-bus sturen. Op deze manier was het mogelijk om de motor van een rijdende auto uit te schakelen. Het beveiligingsbedrijf waarschuwde Bosch dat de problemen verhielp.

Alles bij de bron; Security


 

NL overheid vraagt Microsoft 481 keer om gebruikersgegevens

De autoriteiten hebben Microsoft in de tweede helft van vorig jaar 481 keer om gebruikersgegevens gevraagd, een stijging ten opzichte van de eerste van 2016. De 481 dataverzoeken hadden op 663 accounts/gebruikers betrekking, zo blijkt uit Microsofts nieuwste transparantierapport.

In ruim 78 procent van de verzoeken werden er gegevens overhandigd. Microsoft weigerde 7 procent van de verzoeken en in de resterende gevallen werden er geen gegevens gevonden. Het gaat dan om registratie- en transactiegegevens, zoals ip-adressen, locatiegegevens, namen en e-mailadressen.

Verder deden de Nederlandse autoriteiten 14 verzoeken om content van diensten zoals Bing, OneDrive, Bing Ads en MSN te verwijderen. In 8 gevallen werd er door Microsoft aan deze verzoeken gehoor gegeven. 

Alles bij de bron; Security


 

Luchtalarm in Dallas ging toch niet af door computerhack

Dit weekend verscheen het bericht dat een hacker 156 luchtalarmen in de Amerikaanse stad Dallas anderhalf uur had laten afgaan, maar na verder onderzoek blijkt er geen sprake van een computerhack te zijn. Volgens functionarissen ging het alarm af nadat er een radio- of telefoonsignaal was uitgezonden.

"Het is een radiosysteem, geen computerprobleem", aldus Dallas City Manager T.C. Broadnax. Volgens Broadnax zijn "encryptie" en andere beveiligingsmaatregelen aan het systeem toegevoegd om herhaling te voorkomen. Het alarmsysteem werd 10 jaar geleden aangeschaft en beschikte niet over encryptie.

Volgens Dallas News heeft een soortgelijk incident zich in 2012 ook al eens voorgedaan, toen een ongeautoriseerd signaal zeven alarmen in Lemont liet afgaan. Ook daar werd besloten om het gebruikte signaal te versleutelen. 

Alles bij de bron; Security


 

Privacy First; pleidooi wethouder Depla voor meer privacy-regels overbodig

Meer regels zijn niet nodig en overheid heeft boter op zijn hoofd. Zo reageert de stichting Privacy First op de oproep van Eindhovens wethouder Staf Depla aan het kabinet om tot afspraken te komen over gebruik van informatie die in de publieke ruimte wordt verzameld door camera’s en sensoren....

...Zegsman Martijn van der Veen van Privacy First stelt: ,,De wethouder lijkt te vergeten dat het altijd al de taak van de overheid was burgers te beschermen. Dus vooraf, in plaats van reparatie achteraf. De overheid zit, anders dan Staf Depla denkt, nu al aan het roer. Er is voldoende regelgeving. Een gemeente geeft vergunningen af en sluit overeenkomsten met aanbieders. Wanneer bedrijven met gegevens uit de publieke ruimte aan de haal gaan komt dat doordat de gemeente dat toelaat en niet goed voor haar burgers zorgt. Beter zou zijn wanneer de gemeente naleving van bestaande privacy-wetgeving opneemt in haar handhavingsbeleid.” 

De gemeente Eindhoven heeft er zelf voor gekozen wifi in de binnenstad toe te staan, stelt Van der Veen. ,,De overheid heeft boter op zijn hoofd. Wie nu piept is blijkbaar het gezegde bezint eer ge begint vergeten. Met de vinger wijzen naar bedrijven is dan ook flauw en gemakzuchtig.”

Alles bij de bron; ED


 

Indiër kan niet meer om grootste biomedische databank ter wereld heen

Wil de Indiase overheid efficiënter diensten verlenen, of 1,3 miljard burgers nauwlettender in de gaten houden? Deze vraag domineert de kranten en nieuwssites in het Aziatische land sinds de regering van premier Narendra Modi eind maart inschrijving in de biometrische databank Aadhaar verplicht heeft gesteld voor talloze diensten.

Een registratie in het Aadhaar-systeem kent de Indiër een uniek, twaalfcijferig nummer toe. Zo’n nummer is gekoppeld aan iemands naam, geboortedatum, adres, vingerafdrukken en irisscans. Met ruim 1 miljard ingeschreven burgers en inwoners is Aadhaar nu al het grootste biometrische identificatiesysteem ter wereld. In 2010 werd het gelanceerd als een vrijwillig systeem, vooral bedoeld om sociale voorzieningen efficiënter te verstrekken. Het bleek een populair identiteitsbewijs voor veel mensen die geen paspoort, rijbewijs of geboorteakte hebben.

Door de recente wetswijzigingen kan vrijwel niemand nog om inschrijving heen. Een Aadhaar-registratie is verplicht gekoppeld aan talloze voorzieningen en diensten en daar komen er binnenkort meer bij. Wie zijn inkomsten wil opgeven aan de belastingdienst, een mobiel telefoonnummer of een rijbewijs wil aanvragen, een werknemerspensioen wil laten uitkeren, of een hoger onderwijsdiploma wil behalen, moet beschikken over een Aadhaar-registratienummer.

Critici zien in de verplichting een teken dat het doel van Aadhaar is verschoven van dienstverlening naar surveillance. Gopal Krishna, van de actiegroep Citizen’s Forum for Civil Liberties die de verplichting via de rechtbank aanvecht, noemt het een ‘zware vertrouwensbreuk’ dat de wetten die betrekking hebben op Aadhaar zijn aangepast, nadat ruim een miljard mensen zich al hadden ingeschreven.

Krishna maakt zich zorgen over inbreuk op de privacy en mogelijk misbruik door hackers en de overheid zelf. Hij vergelijkt de Unique Identification Authority of India (UIDAI), de instelling die de databank beheert, met een inlichtingendienst. 'Niet alleen statische informatie wordt geregistreerd, maar ook dynamische informatie zoals financiële transacties worden bijgehouden. En wat biometrische data betreft zal het niet bij vingerafdrukken en irisscans blijven. De wet voorziet ook in andere vormen, dus dat kan in de toekomst bijvoorbeeld DNA betekenen.'

Nandan Nilekani, mede-oprichter van ICT-bedrijf Infosys die tot 2014 aan het hoofd van de UIDAI stond, erkent dat er nog veel fouten worden gemaakt. Hierdoor lopen mensen voorzieningen mis of kunnen ze geen pensioen opnemen van hun bankrekening. Dit kan ook al door een verkeerd gespelde naam worden veroorzaakt. Dagelijks kloppen 200.000 mensen aan bij de UIDAI om hun aan Aadhaar gekoppelde gegevens te laten corrigeren.

De koppeling van Aadhaar aan de belastingaangifte moet ontduiking tegengaan, terwijl de telecomsector hoopt een oplossing aangereikt te hebben gekregen voor de vele SIM-kaarten die nog met valse papieren worden gekocht. Alle bestaande mobiele nummers, meer dan één miljard, koppelen aan Aadhaar gaat de sector naar schatting wel Rpe 10 mrd (€ 147 mln) kosten.

Alles bij de bron; FD [gratis registratie noodzakelijk]


 

Beveiliging Suwinet-systeem voor privédata bij alle gemeenten op orde

De beveiliging van Suwinet is al jarenlang een hoofdpijndossier voor gemeenten, en de Autoriteit Persoonsgegevens kaartte al meermaals problemen aan. Zo bleken Ierse ambtenaren toegang te hebben tot persoonsgegevens van Nederlanders en konden ambtenaren ongemerkt grasduinen in de gegevens van bekende Nederlanders....

...vorig jaar hielden voor het eerst alle Nederlandse gemeenten zich aan alle geldende normen. Dat concludeert de Inspectie SZW in een rapport dat dinsdag door demissionair staatssecretaris Jetta Klijnsma (Sociale Zaken en Werkgelegenheid) naar de Tweede Kamer is gestuurd.

Alles bij de bron; NU


 

Wifi houdt bezoeker Eindhovense binnenstad in de gaten

Handig, effe op het gratis wifi in de binnenstad om iets op te zoeken. Maar het netwerk is ook een Big Brother die smartphone-gebruikers in de gaten te houdt. Vooropgesteld: de grootste inbreuk op de privacy van elke internet- of gsm-gebruiker vindt gewoon thuis plaats, mét toestemming. Bijvoorbeeld als we akkoord gaan met het weggeven van persoonsgegevens bij het downloaden van weer zo'n interessante app.

Maar ook buiten op straat wordt de handel en wandel van een gemiddelde inwoner of bezoeker van een stad als Eindhoven of Helmond steeds meer in de gaten gehouden: door bewakingscamera's, parkeerautomaten waar je je kenteken in moet vullen of door lantaarnpalen die aangaan als er volk in de buurt is. Waar komt al deze informatie terecht? Wethouder Depla van Eindhoven pleit voor nieuwe regels.

...dit fenomeen blijft nog altijd groeien. Nieuw is dat gebruikers van een mobieltje digitaal in de smiezen worden gehouden, via tientallen wifi-netwerken van gemeente, winkelcentra of individuele zaken. Wifi is niet alleen handig om gratis te internetten in de stad, het kan ook ingezet worden voor wifi-tracking: zelfs zonder dat je inlogt, registreert het netwerk wie er in zijn omgeving komt. Zo kan worden vastgesteld wie er waar precies hoe lang heeft gewinkeld. De gegevens van de eigenaar van de gsm kunnen vervolgens gebruikt worden, bijvoorbeeld om advertenties te versturen.

Stadsmarketingorganisatie Eindhoven247 koopt nu nog telefoongegevens van Vodafone. Maar Eindhoven247 wil ook van wifi-tracking gebruik gaan maken. Ponjee hoopt over enkele maanden de 41 wifihotspots en de wifi-zenders van de 25 Citybeacons in de binnenstad in te kunnen zetten om data over het winkelend publiek te vergaren. 

De Citybeacons in de stad krijgen wellicht ook een taak bij het meten van de luchtverontreiniging en bij camerabewaking, vertelt Ponjee. Op Stratumseind staat de eerste geavanceerde camera, vier andere exemplaren worden er ook mee uitgerust. Als de test slaagt, kunnen alle stadsbakens ermee uitgerust worden. Dan weten we weer wat meer over de bezoekers van de binnenstad.

Alles bij de bron; EindhovensDagblad


 

Hackers veranderen bankgegevens verkopers op Amazon

Hackers hebben van een onbekend aantal verkopers op Amazon de bankgegevens gewijzigd waardoor tienduizenden dollar gestolen zijn, het gaat om derde partijen die de webwinkel van Amazon gebruiken om hun eigen producten aan te bieden.

De aanvallers konden via hergebruikte wachtwoorden, die op andere websites zijn buitgemaakt, op de accounts van de verkopers inloggen. Vervolgens werden bankgegevens aangepast. Ook werden de accounts van verkopers gehackt die al langere tijd niet meer op Amazon actief zijn. Deze accounts werden vervolgens gebruikt om niet bestaande producten aan te bieden, waarbij het geld van gedupeerde klanten naar de aanvallers ging. De totale omvang van de schade is onbekend. Op Amazon zijn meer dan 2 miljoen verkopers actief, die voor meer dan de helft van de verkopen verantwoordelijk zijn.

Alles bij de bron; Security