Het Openbaar Ministerie gaat een voormalig medewerker van de politie in Amsterdam vervolgen die informatie over een verdachte, een Amsterdamse artiest, zou hebben gelekt.

De voormalige politiemedewerker zou aan een persoon hebben beschreven hoe een Amsterdamse artiest, die wordt verdacht van mishandeling, de nacht in een politiecel had doorgebracht. Een screenshot van dit Snapchat-gesprek is bij een juicekanaal terechtgekomen en gepubliceerd.

Nadat het Snapchat-gesprek met de buitenwereld werd gedeeld, stelde de afdeling Veiligheid, Integriteit en Klachten (VIK) van de politie een onderzoek in.

Hieruit bleek dat de politiemedewerker naast het mogelijk schenden van het ambtsgeheim zich ook aan andere strafbare feiten schuldig zou hebben gemaakt, namelijk een poging tot grooming en het tonen van seksuele beelden aan een minderjarige.

De politiemedewerker heeft inmiddels, na afronding van het onderzoek, strafontslag gekregen wegens ernstig plichtsverzuim.

Alles bij de bron; Beveiliging


 

Een kwetsbaarheid in de WordPress-plugin WPGateway wordt massaal gebruikt door criminelen. Inmiddels zijn meer dan 280.000 WordPress-websites aangevallen. De zero-day maakt het mogelijk  om eigen admin-gebruikers toe te voegen aan het veelgebruikte content management systeem (cms).

Er is nog altijd geen patch voor deze kwetsbaarheid (CVE-2022-3180) opgetuigd, zo meldt securityleverancier Wordfence. Die heeft dit gat ontdekt en inmiddels 280.000 aanvallen gedetecteerd en tegengehouden via zijn eigen beveiligingsproduct voor WordPress. 

Het advies luidt om de kwetsbare plugin in ieder geval tijdelijk te verwijderen. Het is mogelijk om te controleren of er sprake is van een aanval door te kijken of er een onbekende beheerder is toegevoegd aan de groep gebruikers. Het meest voorkomende teken van een hack (indicator of compromise, IOC) langs de WPGateway-plugin is de aanwezigheid van een beheerder met de gebruikersnaam 'rangex'.

Alles bij de bron; AGConnect


 

De desktopapplicatie van Microsoft Teams slaat tokens lokaal op in plaintext, dat melden beveiligingsonderzoekers van het bedrijf Vectra. Het gaat om authenticatie-tokens, waarmee ingelogd kan worden op een account van een slachtoffer.

Het beveiligingsbedrijf noemt het een gevaarlijk beveiligingsricisio, omdat met de verkregen tokens ook op een account ingelogd kan worden als dat is beveiligd met tweetrapsauthenticatie. Zeker als de tokens van een hooggeplaatste medewerker binnen een bedrijf worden gestolen.

Volgens Microsoft is het niet zo'n groot risico, omdat een aanvaller toegang zou moeten krijgen tot het netwerk van het slachtoffer, "De beschreven techniek komt bij ons niet in aanmerking voor een acute fiks, omdat een aanvaller eerst toegang tot het netwerk van het slachtoffer moet krijgen. We waarderen wel dat Vectra Protect dit heeft geïdentificeerd en op een verantwoordelijke wijze heeft gemeld. We zullen overwegen dit mee te nemen voor een toekomstige productrelease".

Tot Microsoft met een oplossing komt, adviseert Vectra om de browserversie van Microsoft Teams te gebruiken. Deze beschermt volgens het bedrijf beter tegen het lekken van de tokens.

Alles bij de bron; Tweakers


 

De politie heeft dinsdag 19 juli drie mannen aangehouden op verdenking van bankhelpdeskfraude. Door via een telefonische babbeltruc slachtoffers te overtuigen om het programma Anydesk te installeren hebben zij vermoedelijk geprobeerd tientallen mensen op te lichten. 

Anydesk is een programma waarmee je de inhoud van je beeldscherm kan delen met iemand anders en deze persoon dus ziet wat je doet. Ook kun je via Anydesk iemand anders je computer laten besturen. Een vergelijkbaar programma is bijvoorbeeld Teamviewer. Met deze programma’s zelf is niks mis en echte helpdesken gebruiken het bijvoorbeeld binnen een bedrijf met collega’s onderling. Maar helaas zien we ook dat criminelen deze remote desktop tools misbruiken.  

Het onderzoek doet vermoeden dat er sprake is van een professionele organisatie. Zo werd er waarschijnlijk gebruik gemaakt van verschillende geldezels om het gestolen geld wit te wassen en deed de woning waar de verdachten zich bevonden waarschijnlijk slechts dienst als uitvalsbasis voor het uitvoeren van digitale criminaliteit. Verwacht wordt dat er nog meer slachtoffers zijn en dat het schadebedrag veel groter is. 

Waar moet ik op letten?

Oplichters weten heel goed hoe ze u kunnen manipuleren. Wat opvalt, is dat ze altijd een vorm van druk uitoefenen. Ze kunnen heel intimiderend zijn. Zo proberen ze u bijvoorbeeld bang te maken voor de gevolgen als u niet nu direct geld overmaakt. Weet dat een erkende instantie zoals uw bank, politie of andere overheidsinstantie u nooit onder druk zal zetten om zo snel mogelijk te handelen. Ook vragen zij nooit om persoonlijke gegevens zoals pincode, betaalgegevens of BSN nummer. Geef ook nooit uw pinpas mee, ook niet doorgeknipt. Installeer geen software om op afstand mee te kijken of te helpen. Houd persoonlijke informatie altijd voor uzelf. Uw bank neemt zelf de nodige maatregelen als fraude wordt geconstateerd.

Wat moet ik doen?

Hang direct op. Ook bij twijfel. Bel de instantie terug via een nummer dat u zelf heeft opgezocht of ga naar een fysieke bankvestiging. Soms geven oplichters een telefoonnummer om terug te bellen, zodat u kunt controleren. Ook dit is vals. Zoek altijd zelf het juiste nummer op en wacht tot u iemand aan de lijn krijgt bij wie u kunt controleren of de gegeven informatie wel klopt.

Is er bij u iemand aan de deur of telefoon geweest die een programma op uw computer wilde installeren en heeft u nog niet met de politie gesproken? Dan komen we graag met u in contact. Ook als het de criminelen niet is gelukt. Bel 0900 8844. 

Alles bij de bron; Politie


 

Criminelen zijn erin geslaagd om de servers van een onbekend aantal webwinkels van een backdoor te voorzien nadat ze toegang wisten te krijgen tot het licentiesysteem van softwareleverancier Fishpig. Dat bedrijf levert extensies aan webwinkels die op e-commerceplatform Magento draaien.

Vorige maand lukte het aanvallers om toegang tot het licentiesysteem te krijgen en kwaadaardige PHP-code toe te voegen. Deze code werd door webwinkels die van betaalde extensies gebruikmaken geladen en uitgevoerd.

Op deze manier kon vervolgens de Rekoobe-backdoor op de servers van de webwinkel worden geïnstalleerd, meldt securitybedrijf Sansec. Dat waarschuwt dat het licentiesysteem van Fishpig vermoedelijk sinds 19 augustus is gecompromitteerd. Webwinkels die sindsdien de betaalde extensies hebben geïnstalleerd of bijgewerkt zijn waarschijnlijk besmet.

Fishpig adviseert webwinkels de extensies opnieuw te installeren en geeft tevens advies om de backdoor van het systeem te verwijderen. 

Alles bij de bron; Security


 

Privacy First laakt de houding van belangenorganisaties in de zorg. Volgens de stichting lobbyen zorgkoepels, verzekeraars en de Patiëntenfederatie voor een terugkeer van het elektronisch patiëntendossier (epd), dat in 2011 nog unaniem verworpen werd door de Eerste Kamer.

De stichting verwijt de belangenorganisaties dwars te liggen bij de invoering van de nieuwe wet voor zorgcommunicatie, de Wet Elektronische Gegevensuitwisseling in de Zorg (WEGIZ). ‘Hun houding schaadt zowel de privacy van patiënten als de zorgcommunicatie', aldus Privacy First.

Volgens Privacy First zijn sinds 2011 tevergeefs meerdere pogingen gedaan om nieuwe wetgeving te maken voor zo’n systeem. De nieuwe zorgcommunicatie-wet die er nu ligt, is de derde poging in elf jaar.

De stichting verwijt de zorgsector een hardnekkige tunnelvisie. Ook na het verwerpen van het epd in 2011 bleven partijen vasthouden aan het systeem dat daarvoor was bedacht, het Landelijk Schakelpunt (LSP). De wijze waarop het LSP is ingericht, leidt tot verschillende problemen die een effectieve en veilige uitwisseling van medische gegevens zouden belemmeren.

Inmiddels bestaan er nieuwe systemen die specifiek ontworpen zijn om behandelinformatie één-op-één te delen tussen zorgverleners, zoals bij een doorverwijzing van de huisarts naar een specialist. De nieuwe WEGIZ maakt het mogelijk om deze verschillende systemen naast elkaar te laten functioneren. 

Volgens Privacy First laten de grote belangenorganisaties deze wet links liggen. Ook het recent gelekte Integraal Zorgakkoord, waarin de lijnen van het toekomstig zorgbeleid worden uitgezet, spreekt uitsluitend over uitwisselingen zoals die volgens de inrichting van het LSP verlopen. ‘De recente ontwikkeling van het toestemmingsportaal Mitz wordt gepresenteerd als iets nieuws, maar verandert niets aan deze situatie, omdat op de achtergrond nog steeds gebruik wordt gemaakt van het LSP, met al zijn beperkingen en tekortkomingen', aldus de privacystichting.

Alles bij de bron; Computable


 

De CoronaMelder-app, die ons waarschuwde als we in de buurt waren geweest van een besmette persoon, blijft buiten werking. Dat meldt zorgminister Ernst Kuipers dinsdag in een brief aan de Tweede en Eerste Kamer.

Het aantal coronabesmettingen is nu relatief klein en er worden nog maar weinig mensen met corona opgenomen in ziekenhuizen en op de ic's. "Daarom is verdere verlenging van de wet niet noodzakelijk", schrijft de minister in zijn brief.

Alles bij de bron; NU


 

Twee voormalige medewerkers van de Belastingdienst hebben jarenlang gegevens uit systemen van de fiscus aan derden verkocht, zo stelt het Openbaar Ministerie, dat tegen de inmiddels voormalige medewerkers gevangenisstraffen van 24 en 18 maanden eiste. Het OM verdenkt beiden van schending van het ambtsgeheim en het plegen van computervredebreuk. De mannelijke verdachte wordt daarnaast van ambtelijke corruptie verdacht.

Het onderzoek naar de verdachten werd gestart op basis van ontsleutelde Encrochat-berichten. Daaruit bleek volgens het Openbaar Ministerie dat ze als Belastingdienstmedewerker in systemen van de fiscus grasduinden. Er werd gezocht naar kentekens en bijbehorende gegevens, zoals tenaamstellingen, naam, adres en automerk. De gegevens werden vervolgens verkocht aan derden. Dit zou hebben plaatsgevonden van maart 2017 tot en met maar 2021.

In totaal hebben de verdachten gegevens van 216 kentekens in systemen van de Belastingdienst opgevraagd. Per verstrekt kenteken zou de man een bedrag van tussen de 50 en 200 euro hebben ontvangen. 

Alles bij de bron; Security


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!

 

WeHebbenHetGeweten

SteunVrijbit

PTBanner  

PrivacyGuides

BvV

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

STT Logo

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen