- Gegevens
- Hoofdcategorie: Internet en Telecom
Passwordstate, een wachtwoordmanager voor bedrijven, is getroffen door een supply chain attack. De aanvallers zaten ongeveer 28 uur lang in de leveringsketen van de software, maar hoeveel van de meer dan 29.000 klanten getroffen zijn, is niet bekend.
De aanvallers braken in bij de systemen van ontwikkelaar ClickStudios en plaatsten daar een software-update voor de self-hosted-wachtwoordmanager. Die vervalste update bevatte een aangepaste versie van 'Moserware.SecretSplitter.dll', met een 'Loader' aan boord die contact zocht met een server die in handen was van de aanvallers. Daar zou de malware de payload ophalen, maar het is onbekend wat daarin zou zitten; CSIS heeft die niet kunnen bemachtigen omdat de server al offline is.
ClickStudios heeft een onbekend aantal klanten per e-mail op de hoogte gebracht en treedt naar buiten met een publiekelijk bericht. In dat bericht stelt het dat de malware onder andere gebruikersnamen, wachtwoorden en een lijst van draaiende processen naar de server van de aanvallers zou sturen.
Het Australische bedrijf komt met een hotfix om het geïnfecteerde bestand te vervangen. Ook raadt het aan om alle wachtwoorden te vervangen bij aan het internet blootgestelde systemen, interne infrastructuur en alle wachtwoorden die in Passwordstate opgeslagen staan.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Door de coronacrisis laten wij als consument onze persoonlijke gegevens op veel meer plekken achter dan vroeger. Het kopen van sokken bij de Hema, potgrond bij de Intratuin of een broek bij de Zara kon de afgelopen weken niet zonder eerst je mailadres en telefoonnummer te delen. ‘Veilig winkelen is ook anoniem winkelen, dat kan niet meer.’
Een van de gevolgen van de coronamaatregelen is dat persoonsgegevens op grote schaal worden gedeeld. In de zomer gingen de formulieren over het terras. Na een coronatest weet de GGD alles van je. Na het online shoppen blijven jouw gegevens jaren in het bestand van bedrijven. En sinds het winkelen op afspraak is het niet mogelijk om een winkel binnen te stappen zonder te laten weten wie je bent, en wat je telefoonnummer is. Hoe veilig zijn die gegevens bij zoveel partijen?
Bedrijven en instanties zijn zich er onvoldoende bewust van dat het risico’s en een verantwoordelijkheid met zich meebrengt als ze op grote schaal gegevens verzamelen, zegt hoogleraar recht en de informatiemaatschappij Gerrit-Jan Zwenne.
De ‘datahonger’, zoals hij het noemt, is de Arnhemse privacyactivist Michiel Jonker een doorn in het oog. Hij meent dat het laatste jaar corona als excuus wordt gebruikt om zoveel mogelijk data te verzamelen. Toen Jonker na de eerste coronagolf zijn stamkroeg in Arnhem binnenliep zag hij dat iedereen z’n naam en gegevens op een lijst zette, en hoorde hij dat deze lijst ook met de GGD zou kunnen worden gedeeld. ,,Ik heb toen besloten niet meer te gaan, om het risico te beperken dat door een besmetting van een ander mijn eigen bewegingsvrijheid wordt beperkt. Elke activist brengt bepaalde offers.’’
Een woordvoerder van de branchevereniging voor de detailhandel Inretail, wijst erop dat degene die dat wil nog steeds anoniem kan winkelen. ,,Je hoeft je voor aanvang van het bezoek niet te legitimeren, maar hebt wel een afspraakbevestiging nodig. Die kan je ook krijgen door een pseudoniem op te geven in combinatie met een mailadres waar je naam niet in staat. Veel jongeren hebben bijvoorbeeld meerdere mailadressen voor verschillende doeleinden.’’
Privacyactivist Jonker ziet dat tijdens de coronacrisis meer mensen zich bewust zijn geworden van het belang van privacy. Maar ook hij weet dat de overgrote meerderheid zonder erover na te denken zijn telefoonnummer ergens invult, of een persoonlijke bonuskaart langs de scanner haalt in de supermarkt. Dit blijkt ook uit cijfers van AP: dit jaar kwam slechts één klacht binnen over het afgeven van persoonsgegevens bij winkelen op afspraak.
Alles bij de bron; AD
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers hebben een fout in Apples AirDrop ontdekt waardoor het e-mailadres en het telefoonnummer van een gebruiker kan lekken naar iedereen in de buurt. Mits ze een apparaat hebben dat wifi-signalen kan opvangen, natuurlijk.
AirDrop lekt gegevens naar nabijgelegen apparaten op het moment dat een gebruiker bestanden deelt, schrijft de Technische Universiteit Darmstadt. Je kan met AirDrop bestanden delen met apparaten die vlakbij zijn.
Om zeker te zijn dat je niet zomaar bestanden naar een vreemde stuurt, checkt de app welke apparaten in de buurt toebehoren aan iemand van je contactlijst. Voor deze vergelijking vraagt AirDrop e-mailadressen en telefoonnummers op van apparaten in de buurt en kijkt of de zender en ontvanger bij elkaar in de contactlijst staan. De data die voor die vergelijking nodig is, is volgens de TU Darmstadt niet goed versleuteld. Een kwaadwillende zou zo deze informatie kunnen onderscheppen.
Het lek is al sinds mei 2019 bekend.
Alles bij de bron; RTL
- Gegevens
- Hoofdcategorie: Internet en Telecom
Nederlandse parlementariërs hebben woensdag, net als hun Britse en Baltische collega’s, via Zoom een gesprek gevoerd met een deepfake-imitatie van de stafchef van de Russische oppositieleider Aleksej Navalny. Dat is vrijdagavond bevestigd door de griffie van de Tweede Kamer.
Tech-trendwatcher Jarno Duursma stelde tegen deze krant dat wat er nu met de nep-Volkov is gebeurd, een zorgwekkende nieuwe stap is. ‘We wisten allemaal dat dit ooit zou gebeuren, en nu blijken we er al middenin te zitten. Dit is zeer overtuigend gedaan.’
Rihards Kols, voorzitter van de buitenlandcommissie van het Letse parlement had in maart een kort videogesprek met Volkov. Pas weken later beseft de politicus dat hij het slachtoffer is geworden van bedrog. Dat besef komt als hij van Oekraïense collega’s hoort van een video-ontmoeting met een nep-Volkov. Anders dan bij Kols was zijn gedrag in dit gesprek zeer vreemd en ‘openlijk provocerend’. Ook politici uit Estland, Litouwen en het Verenigd Koninkrijk zijn op deze manier benaderd.
Verraderlijk genoeg trad de nep-Volkov zowel in Nederland als in andere Europese landen op tijdens een live-videogesprek. Tech-expert Duursma: ‘We zitten in een wereld van videovergaderen. Ook de politiek. Je kan er niet meer van uitgaan dat degene die in een vergadering zit ook degene is voor wie hij zich uitgeeft.’ Het is werk van experts, stelt Duursma. ‘Hier moet lang aan gewerkt zijn. Misschien wel door statelijke actoren.’
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Nieuws uit NL
D66 heeft kamervragen gesteld over de samenwerking met het omstreden databedrijf Palantir bij Fieldlabs. Kamerlid Van Ginneken wil onder andere van de minister weten tot welke data Palantir toegang had in de samenwerking met Fieldlab Zuid6.
In een brief aan de demissionair minister van Justitie en Veiligheid Ferd Grapperhaus vraagt Van Ginneken opheldering over met wie Palantir een contract heeft getekend voor de opdracht. De D66-er wil daarnaast weten of er een Data Protection Impact Analyse is uitgevoerd en tot welke informatie het bedrijf toegang heeft.
Ook wil Van Ginneken weten of de minister op de hoogte was van de reputatie van Palantir voordat het contract werd gesloten. Zo wordt de software van het bedrijf ingezet in de Verenigde Staten door de immigratiedienst om ongedocumenteerden op te sporen. Ook heeft Palantir banden met Cambridge Analytica.
De kamervragen van D66 zijn een reactie op een blog en een video die Palantir in februari publiceerde. In de video zegt het bedrijf gebruik te hebben gemaakt van "publiek toegankelijke bronnen, zoals demografische en economische informatie, gegevens over toerisme en verkeer en covid-19 data van het RIVM". Volgens het bedrijf worden de datasets gebruikt om realtime informatie op te vragen over bijvoorbeeld een uitbraak van het virus.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De ministerraad is vandaag akkoord gegaan met het wetsvoorstel dat digitale gegevensuitwisseling in de zorg verplicht. Zorgverleners zullen straks medische gegevens verplicht elektronisch moeten uitwisselen.
Het is de bedoeling dat zorgverleners, ook al werken ze met verschillende systemen, gegevens over en weer kunnen uitwisselen. "De systemen die huisartsen en ziekenhuizen gebruiken moeten beter met elkaar gaan communiceren - vergelijkbaar met een wereldstekker die verbinding mogelijk maakt met andersoortige stopcontacten", zo laat het ministerie van Volksgezondheid weten.
Er zal worden begonnen met vier gegevensuitwisselingen, namelijk de Basisgegevensset Zorg, Beelduitwisseling, Digitaal Receptenverkeer en Verpleegkundige Overdracht. Tijdens deze processen worden gegevens uitgewisseld zoals informatie over allergieën of bloeddruk, MRI- of hartscans en medicatiegegevens.
Het wetsvoorstel gaat nu naar de Tweede Kamer.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Wie een uitkering aanvraagt, krijgt vaak zonder het te weten te maken met het Inlichtingenbureau. Een stichting die in opdracht van de overheid een burger tot op het bot doorlicht. Het koppelt onopgemerkt allerlei data van instanties. Deskundigen zijn verbaasd: hoever denkt de overheid te mogen doordringen in het leven van een individu? Is dit niet te veel 1984 in 2021?
Wie een uitkering van de overheid aanneemt, heeft nauwelijks nog privacy. Dat zegt rechtsgeleerde en voorzitter van het Platform Bescherming Burgerrechten Tijmen Wisman. ‘Door steun te accepteren, lever je jezelf eigenlijk compleet over aan de overheid.’ Daardoor mag de overheid een bijstandsgerechtigde volledig binnenstebuiten keren, zegt advocaat Stijn Engelen uit Venlo. Hij staat geregeld mensen met een uitkering bij. ‘Ze weten echt alles van je.’
Zo’n allesweter is het Inlichtingenbureau: een stichting die van allerlei overheidsinstanties, gemeenten en sommige nutsbedrijven informatie verzamelt over burgers, deze naast elkaar legt en nog wat stoeit met die data. De aandacht gaat daarbij vooral uit naar eventuele onregelmatigheden. Als het Inlichtingenbureau vervolgens ‘een situatie’ constateert die ‘mogelijk van invloed is op het recht of de hoogte van de bijstand’ – een ‘samenloop’ heet dat in het jargon – dan gaat er een signaal naar de betreffende gemeente. Die kan dan een onderzoek beginnen.
Het Inlichtingenbureau werd twintig jaar geleden ingesteld door de overheid en voert sindsdien vrijwel onopgemerkt en geruisloos zijn werk uit. Maar mede onder druk van de toeslagenaffaire, waarbij de jacht op fraudeurs tot vele, onterechte verdenkingen leidde, is er nu ook weer aandacht voor de Participatiewet, die de bijstand regelt. Daardoor is de vraag actueel hoever de overheid mag doordringen in het leven van een individu. En wat het Inlichtingenbureau precies doet en mag...
...Het komt erop neer dat het bureau de data van organisaties zoals het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB), de Belastingdienst, de Dienst Uitvoering Onderwijs (DUO), de Rijksdienst voor het Wegverkeer (RDW) en gemeenten aan elkaar koppelt. Het kijkt bijvoorbeeld of iemand met een bijstandsuitkering niet een te dure auto op zijn naam heeft staan. Of dat iemand met een uitkering samenwoont met iemand die genoeg verdient. Of dat er nog ergens vermogen aanwezig is, of dat iemand ergens anders geld vandaan krijgt.
Door de voortschrijdende technische mogelijkheden is het daarbij steeds makkelijker om uitkeringsgerechtigden in de gaten te houden. Het Inlichtingenbureau speelt hierin een grote rol.
Het bureau is in 2001 door het ministerie van Sociale Zaken – met toenmalig staatssecretaris Mark Rutte als verantwoordelijke – ingesteld en heeft als stichting een wat merkwaardige status heeft. ‘Het is ingesteld door het ministerie, valt eigenlijk onder de gemeenten, maar is juridisch gezien zelfstandig.’
Dat betekent in de praktijk dat informatie van het Inlichtingenbureau niet onder de Wet openbaarheid bestuur valt en onduidelijk is wie verantwoordelijk is voor de data die het Inlichtingenbureau verwerkt.
Alles bij de bron; Volkskrant [uitgebreid, lang verhaal]
- Gegevens
- Hoofdcategorie: Internet en Telecom
Twitter heeft per ongeluk een e-mail naar gebruikers verstuurd waarin hen werd gevraagd om hun Twitteraccount te bevestigen. Veel gebruikers dachten dat het om een phishingaanval of scam ging, mede omdat de e-mail onverwachts kwam.
Via het officiële Twitter Support-account laat de microbloggingdienst weten dat het om een fout ging en het bericht niet verstuurd had moeten worden. Twittergebruikers die de e-mail hebben ontvangen hoeven hun account niet te bevestigen en kunnen het bericht negeren.
Alles bij de bron; Security