Het hergebruik van persoonsgegevens in openbare registers wordt verboden. Wordt hiervan afgeweken, dan moet dat wettelijk worden vastgelegd. Dat staat in een aangepast conceptvoorstel van een wetswijziging over datagebruik door de overheid.

Het kabinet komt daarmee tegemoet aan de Autoriteit Persoonsgegevens (AP), die vorige week forse kritiek uitte op eerdere plannen.

Het doel van de wijziging van de Wet hergebruik van overheidsinformatie is dat overheidsorganisaties meer en vaker open data beschikbaar stellen. Bijvoorbeeld voor hergebruik en onderzoek. Het gaat dan over informatie die al openbaar is en waar niet extra voorzichtig mee omgegaan hoeft te worden.

Volgens AP werd in het oorspronkelijke concept te veel ruimte gelaten aan overheidsinstellingen om zelf af te wegen of persoonsgegevens zijn te delen. Dat zou datahandel in de hand werken doordat bedrijven profielen van burgers op konden stellen met behulp van telefoonnummers, adresgegevens en informatie over eigendommen van burgers uit overheidsdata.

Volgens Binnenlandse Zaken is in het aangepaste conceptvoorstel nu voldoende vastgelegd dat iedere burger de baas is en blijft over zijn eigen persoonsgegevens. '...Daarom verbiedt het kabinet in het gewijzigde wetsvoorstel het hergebruik van persoonsgegevens door overheden uitdrukkelijk’, staat in de toelichting.

In 2019 heeft de EU de Open data-richtlijn aangenomen. Alle landen van de EU moeten deze opnemen in hun nationale wetgeving. In Nederland wordt daarom de Wet hergebruik van overheidsinformatie (Who) aangepast.

Alles bij de bron; Computable


 

Criminelen hebben toegang gehad tot de telefoonnummers van 1900 Signal-gebruikers. Van een deel van deze gebruikers is ook de sms-verificatiecode ingezien. Bij zeker één gebruiker is het account daardoor overgenomen.

Aanvallers kregen op 4 augustus toegang tot Twilio's klantenserviceconsole. Twilio verzorgt telefoonnummerverificatiediensten aan Signal, waardoor de aanvallers ook toegang hadden tot Signal-gegevens. De criminelen konden de gegevens van ongeveer 1900 gebruikers inzien. Daarbij konden ze alleen telefoonnummers van gebruikers zien en van een deel ook de sms-verificatiecode.

De criminelen zochten bij hun aanval naar de telefoonnummers van drie specifieke gebruikers. Van een van deze gebruikers is het account daadwerkelijk geregistreerd naar een nieuw apparaat.

Het account van deze gebruiker is dus overgenomen, maar Signal benadrukt dat bij deze gebruiker en bij andere gebruikers gesprekken, profielinformatie en contactlijsten niet zijn ingezien. Daarvoor is de Signal PIN vereist, een pincode die niet was gestolen bij deze aanval. De criminelen konden wel berichten sturen en ontvangen met dat Signal-account.

Alles bij de bron; Tweakers


 

Een kwetsbaarheid in de Titan M-beveiligingschip van Google Pixel-telefoons maakt het mogelijk voor aanvallers om encryptiesleutels en andere gevoelige data van het apparaat te stelen. 

Google introduceerde de Titan M-chip in 2018 in Pixel-telefoons. De chip is ontwikkeld om gevoelige data te beschermen en bevindt zich op een aparte system-on-a-chip (SoC) in de telefoon. Het draait ook zijn eigen firmware en communiceert zelf met de applicatieprocessor. De chip wordt voor verschillende doeleinden gebruikt, waaronder het bootproces. Zo verifieert de chip de passcode die gebruikers op een vergrendeld scherm invoeren en regelt het decryptieproces daarna. Third-party apps kunnen de chip gebruiken om private keys te genereren en op te slaan die voor transacties binnen de betreffende apps worden gebruikt.

In mei van dit jaar bracht Google een beveiligingsupdate uit die een kwetsbaarheid in de Titan M-firmware veroorzaakte. Daardoor is het mogelijk voor een aanvaller om code op de beveiligingschip uit te voeren en gevoelige data te stelen, zoals encryptiesleutels. Met de gestolen sleutels is het vervolgens mogelijk om versleutelde data te ontsleutelen.

Google kwam in juni met een update voor het kritieke beveiligingslek (CVE-2022-20233), nadat het in mei ook al een kritieke kwetsbaarheid (CVE-2022-20117) in de Titan M-chip had verholpen.

Alles bij de bron; Security


Ethisch hacker Thijs Alkemade heeft een groot lek gevonden in een functionaliteit van het Apple-besturingsysteem MacOS. Via die kwetsbaarheid konden kwaadwillenden met één applicatie toegang krijgen tot de rechten van andere applicaties en deze misbruiken.

Het gaat om een zogenoemde ‘process injection vulnerability’ waarmee alle op MacOS AppKit-gebaseerde applicaties kwetsbaar waren en toegang boden tot andere applicaties en het systeem zelf.

De kwetsbaarheid zat in een tien jaar oude toepassing de ‘saved state’-functie. Daarmee biedt het systeem bij het afsluiten aan om openstaande vensters opnieuw te openen zodra het systeem weer opstart. 

Alkemade roept softwareleveranciers op om bij updates niet alleen te focussen op nieuwe functionaliteiten, maar ook te letten op kwetsbaarheden in oude toepassingen. Hij vindt het begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. ‘Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken.’

Alles bij de bron; Computable


 

Een Australische man die wordt verdacht van betrokkenheid bij een grootschalige sms-phishingaanval is onder andere aangeklaagd voor het niet verstrekken van zijn encryptie-wachtwoord dat toegang tot zijn versleutelde computer geeft. Iets waarop een maximale gevangenisstraf van tien staat jaar. Dat laat de Australische politie weten.

Volgens de Australische politie werden de sms-berichten via een simbox verstuurd die vanuit de woning van de dertigjarige man en andere locaties werd bediend. Een simbox is een apparaat dat honderden simkaarten kan bevatten en honderdduizenden sms-berichten per dag kan versturen.

Bij een doorzoeking van de woning van de 30-jarige man werd 20.000 dollar in beslag genomen, alsmede opslagapparaten met meer dan vijfhonderd frauduleuze identiteitsdocumenten met namen van meerdere slachtoffers.

De Australische politie laat in de aankondiging van de aanhouding weten dat er ook meerdere telefoons en een versleutelde desktopcomputer in beslag zijn genomen. De man is voor zeven misdrijven aangeklaagd, waaronder het niet geven van zijn wachtwoord om toegang tot het versleutelde systeem te krijgen. De Australische autoriteiten kunnen een verdachte bevelen om zijn encryptiesleutels of wachtwoord af te staan. Op het niet verstrekken van de inloggegevens staat een maximale gevangenisstraf van tien jaar.

Alles bij de bron; Security


 

De Britse zorg is flink gemankeerd door een cyberaanval waardoor naar verwachting nog meer dan 3 weken sprake zal zijn van uitval. Het gaat onder meer om het uitschrijven van noodrecepten, het uitsturen van ambulances en toegang tot patiëntendossiers bij de National Health Service (NHS). Aanleiding is een ransomware-aanval op een softwareleverancier van de NHS.

Het getroffen bedrijf is Advanced. Het bedrijf meldt op zijn site dat het op 4 augustus een verstoring van zijn systemen had en dat dat het gevolg was van een cyberaanval met ransomware...

...In zijn FAQ over de aanval legt Advanced nog uit waarom het zo lang gaat duren om de normale dienstverlening te herstellen. Geraakte systemen worden door het bedrijf opnieuw opgebouwd en hersteld in een gescheiden en veilige omgeving, "Om alle klanten te helpen vertrouwen te hebben in het opnieuw verbinden met onze producten zodra de service is hersteld, hebben we een gedefinieerd proces geïmplementeerd waardoor alle omgevingen systematisch worden gecontroleerd voordat ze veilig weer online worden gebracht." 

Dat proces omvat de implementatie van aanvullende blokkeerregels, het verder beperken van privileged accounts voor hogere stafmedewerkers, het scannen van alle geraakte systemen en het zeker stellen dat die volledig zijn gepatched, het resetten van inloggegevens (credentials), het uitrollen van aanvullende software-agents voor endpoint detection & response en het uitvoeren van 24/7 monitoring.

Alles bij de bron; AGConnect


 

Chinese internetconcerns zoals Tencent en ByteDance (TikTok) hebben voor het eerst details van de algoritmen achter hun diensten met de Chinese autoriteiten gedeeld. Officieel is het doel om gegevensmisbruik in te dammen, maar het kan uiteindelijk leiden tot het compromitteren van goed bewaakte bedrijfsgeheimen.

De Chinese internettoezichthouder CAC publiceerde vrijdag een lijst met 30 algoritmen die internetbedrijven - waaronder ook Alibaba Group en Meituan - gebruiken om gegevens over gebruikers te verzamelen, persoonlijke aanbevelingen op maat te maken en content te presenteren. Hoewel de openbare lijst de eigenlijke code niet onthult, was niet duidelijk in hoeverre internetbedrijven hun onderliggende software mogelijk privé aan Chinese instanties hebben onthuld.

De algoritmen die bepalen welke TikTok-video's, WeChat-berichten en Instagram-foto's gebruikers zien, worden beschouwd als cruciaal om de aandacht van gebruikers te trekken en groei te stimuleren. 

China heeft in maart regelgeving aangenomen die internetbedrijven verplicht om dergelijke tools openbaar te maken. Dit zou een poging zijn om klachten over gegevensmisbruik op te pakken en regelgevers te helpen om internetbedrijven strakker in de gaten te houden.

Volgens de regelgeving moeten bedrijven ook niet-openbare informatie indienen bij de CAC, waaronder een zelfbeoordeling van de veiligheid van de algoritmen, de gegevens die ze verzamelen, of dat gevoelige biometrische of identiteitsinformatie omvat, en welke gegevensbronnen worden gebruikt om te trainen algoritmen. De CAC - die de richtlijnen samen met het ministerie van Industrie en Informatietechnologie, het ministerie van Openbare Veiligheid en de staatsadministratie voor marktregulering uitvaardigde - zei dat het de lijst zal blijven bijwerken.

"De informatie die door de bedrijven aan de CAC wordt verstrekt, is veel gedetailleerder dan wat zeker is gepubliceerd, en omvat enkele zakengeheimen, die niet aan het publiek kunnen worden vrijgegeven", zei Zhai.

Alles bij de bron; DutchIT-Channel


 

Het datalek bij Twitter dat vorig maand aan het licht kwam en onlangs door het bedrijf werd bevestigd is veel groter dan in eerste instantie gemeld.

Een aanvaller wist niet de gegevens van 5,4 miljoen accounts te stelen zoals eerst werd gemeld, maar van 6,7 miljoen accounts. Het gaat namelijk ook om gegevens van geschorste accounts. Het lek bevat profieltekst, e-mailadressen, geografische locaties, namen, telefoonnummers, profielfoto's en gebruikersnamen.

De gestolen profielinformatie is zowel van actieve als geschorste accounts, waarbij de 1,4 miljoen e-mailadressen van geschorste accounts op een aparte lijst werden aangeboden. De in totaal 6,7 miljoen unieke e-mailadressen van de getroffen Twitter-accounts zijn nu aan Have I Been Pwned toegevoegd.

Alles bij de bron; Security


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!

 

WeHebbenHetGeweten

SteunVrijbit

PTBanner  

PrivacyGuides

BvV

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

STT Logo

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen