- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers melden grootschalig misbruik van een kritieke kwetsbaarheid in NetScaler ADC en NetScaler Gateway waardoor aanvallers toegang tot systemen kunnen krijgen. Volgens securitybedrijf Mandiant zijn onder andere overheidsinstanties en techbedrijven getroffen. Onder de aanvallers bevinden zich ook verschillende ransomwaregroepen.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.
Via de kwetsbaarheid (CVE-2023-4966) kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen.
Citrix ontdekte de kwetsbaarheid zelf en kwam hiervoor op 10 oktober met een beveiligingsupdate, maar sinds een week is er sprake van grootschalig misbruik, zegt beveiligingsonderzoeker Kevin Beaumont. Vorige week besloot Citrix organisaties op te roepen om de update meteen te installeren.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Divers Nieuws
Vanaf 1 november t/m 15 januari kan iedereen die het eens is met de stelling dat online cookie gebruik in Nederland verboden moet worden intekenen op de petitie ‘Bescherm Nederlandse burgers tegen online tracking’.
Deze petitie is een initiatief van stichting The Private Collective en werd mede ondertekend door Bits of Freedom, Burgerrechtenvereniging Vrijbit, De Datavakbond, De Waag, Freedom Internet, Free Press Unlimited, Internet Society Nederland, Platform Burgerrechten.
Het online tracken van internetgebruikers zou wettelijk verboden moeten worden, aldus verschillende organisaties op het vlak van internet en privacy, omdat er alleen zo een einde kan komen aan de ’surveillance, polarisatie en manipulatie van de online omgeving ‘.
De petitie zal worden aangeboden aan de leden van de Tweede Kamer. Waarmee de ondertekenaars gezamenlijk de politieke partijen in Nederland oproepen om zich in te zetten voor een wettelijk verbod op tracking technologie en het nieuw te vormen kabinet ertoe te bewegen om zich ook in te zetten voor een EU-breed verbod op online tracking.
Alles bij de bron; Burgerrechtenvereniging Vrijbit
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De European Data Protection Board, een samenwerkingsverband van verschillende Europese privacytoezichthouders, hebben na een spoedprocedure besloten dat Meta onrechtmatig persoonsgegevens van gebruikers verwerkt. Meta doet dat terwijl hier geen juridische basis voor is, zo schrijft de Autoriteit Persoonsgegevens.
Het samenwerkingsverband suggereert dat Meta op basis van posts, woonplaats, leeftijd en interactie met berichten een gebruikersprofiel aanmaakt dat interessant is voor adverteerders, waarmee het bedrijf geld verdient. Meta zou daarentegen niet kunnen rechtvaardigen dat er op deze manier gebruikersgegevens verwerkt moeten worden. "Meta houdt bij wat je op Facebook en Instagram zet, aanklikt of leuk vindt en gebruikt die informatie voor het aanbieden van persoonsgerichte advertenties", aldus de EPDB. "Het onterecht verwerken van de persoonlijke informatie van miljoenen mensen op Facebook is een verdienmodel voor Meta. Door hier een eind aan te maken, is de privacy van mensen beter beschermd."
Het spoedproces dat aan het verbod op gepersonaliseerde advertenties voorafging, werd in werking gezet door Noorwegen. Eerder besloot de Noorse privacytoezichthouder Datatilsynet al om Meta vanaf begin augustus drie maanden lang 88.000 euro boete per dag te geven voor het overtreden van de AVG.
Het samenwerkingsverband draagt de privacytoezichthouder van Ierland, het land waar Meta in Europa is gevestigd, op om binnen twee weken maatregelen tegen het socialemediabedrijf te nemen. De Ierse Data Protection Commission zou tot dusver niet 'voortvarend genoeg' hebben opgetreden tegen Meta.
Alles bijde bron; Tweakers
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Frankfurt Airport rolt de komende maanden een systeem uit voor gezichtsherkenning van alle passagiers.
Het systeem heet Smart Path en is de afgelopen jaren in het gebruik bij Star Alliance succesvol gebleken. Frankfurt wil het daarom ook beschikbaar maken voor passagiers die met andere maatschappijen vliegen.
In de praktijk werkt het als bij een mobiele telefoon: de unieke trekken van elk gezicht worden bij een registratie, in de app of op de luchthaven bij een ‘kiosk’, eerst vastgelegd. De passagier zal dan bij aankomst of vertrek voor non-Schengenvluchten voortaan door de camera van Smart Path worden herkend en hoeft geen paspoort meer te laten zien. De oude manier met handmatige checks blijft ook bestaan, voor passagiers die daar de voorkeur aan geven.
Ter vergelijking: Schiphol heeft ook een systeem van gezichtsherkenning bij de zelfservicecontrole van biometrische paspoorten, maar hierbij moeten de passagiers nog steeds hun pas ‘laten zien’ aan het apparaat.
Alles bij de bron; Luchtvaartnieuws
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
De doorontwikkeling van immersieve technologieën, zoals virtual en augmented reality, vergroot het risico op beïnvloeding en manipulatie van burgers.
Huidige wetten en beleidsvoering kunnen de maatschappelijke dreiging van grootschalige dataverzameling door Big Tech niet inperken.
Dit concludeert het Rathenau Instituut, dat oproept tot debat.
Immersieve technologie vervaagt de grens tussen de fysieke en virtuele wereld en verzamelt veel gegevens over gebruikers, waaronder pupilreflexen, irisscans, neurodata en stemgegevens. Deze grootschalige verzameling van lichaams- en gedragsgegevens brengt risico's met zich mee voor privacy, democratie en veiligheid, waarschuwt de Haagse denktank.
Het Rathenau Instituut concludeert dat de huidige wetgeving en beleid ontoereikend zijn voor de verantwoorde doorontwikkeling van immersieve technologie. De organisatie roept op tot een maatschappelijk debat over welke persoonlijke data wel of niet mogen worden verzameld, onder welke voorwaarden en voor welke specifieke toepassingen. Het debat moet rekening houden met de bescherming van burgers, de verantwoordelijkheid van ontwikkelaars en de rol van toezichthouders.
De denktank ziet vooral in de gezondheidszorg, training en onderwijs, entertainment, infrastructuur, industrie, kantoor en kunst veel nieuwe toepassingen van immersieve technologie. Naast ar en vr wordt ook de metaverse tot een immersieve technologie gerekend.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
IPhones hebben jarenlang de unieke MAC-adressen van gebruikers gelekt waardoor die waren te volgen, ondanks een privacyfeature van Apple die dit juist moest voorkomen. Deze week kwam Apple met een beveiligingsupdate om het probleem te verhelpen.
Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen.
Drie jaar geleden kwam Apple met een feature genaamd 'private Wi-Fi addresses', die moest voorkomen dat iPhones hun unieke MAC-adres met wifi-netwerken delen.
Met de lancering van iOS 14, iPadOS 14 en watchOS 7 besloot Apple private Wi-Fi addresses te introduceren dat ervoor moet zorgen dat het toestel voor elk wifi-netwerk een ander MAC-adres gebruikt. Met iOS 15, iPadOS 15 en watchOS 8 werd er vervolgens automatisch voor elk wifi-netwerk waar meer dan zes weken geen verbinding mee was gemaakt een ander MAC-adres gegenereerd.
De privacyfeature bleek echter zinloos. "Wanneer een iPhone verbinding met een netwerk maakt, verstuurt het multicast requests om AirPlay-apparaten in het netwerk te vinden. In deze requests verstuurt iOS het echt Wi-Fi MAC-adres", aldus beveiligingsonderzoeker Tommy Mysk die het probleem (CVE-2023-42846) eind juli aan Apple rapporteerde.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Een meerderheid in de Tweede Kamer heeft ingestemd met een motie die de regering verzoekt om niet akkoord te gaan met enig Europees voorstel dat client-side scanning bevat. Volgens de motie van Wybren van Haga van Groep van Haga hoort client-side scanning thuis in een dystopische surveillancestaat zoals Noord-Korea of China, maar zeker niet in Nederland.
Daarnaast stelt de motie dat wetenschappers, juristen en privacydeskundigen vrijwel unaniem vernietigend zijn over dit voorstel en het de verwachting is dat het geen stand zal houden bij de rechter. "Verzoekt de regering niet akkoord te gaan met enig voorstel dat een detectiebevel op basis van client-side scanning bevat", aldus Van Haga.
Vorige week nam de Tweede Kamer al een andere motie tegen client-side scanning aan. Die motie van D66-Kamerlid Dekker-Abdulaziz verzocht de regering een eerder aangenomen motie van D66-Kamerlid Van Ginneken over het tegengaan van client-side scanning alsnog uit te voeren.
Eind juni liet minister Yesilgöz van Justitie en Veiligheid weten dat ze de motie van Van Ginneken, die door een meerderheid in de Tweede Kamer was aangenomen en oproept tot het tegengaan van client-side scanning, waarbij alle chatberichten van burgers worden gecontroleerd, niet zal uitvoeren. Volgens de minister is de inbreuk op grondrechten die hierbij plaatsvindt proportioneel en gerechtvaardigd
Alles bij de bron; Security.
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Na eerdere kritiek van privacy-experts verzet nu ook het Europees Parlement zich tegen een omstreden anti-kinderpornowet.
Het presenteerde donderdag een alternatief, dat online kindermisbruik moet aanpakken zonder daarbij Europeanen op hun telefoons en computers te hoeven surveilleren.
‘Het internet is nu onveilig voor kinderen. Het is alsof we ze zonder begeleiding achterlaten in het centrum van een drukke stad’, zegt Europarlementariër Paul Tang (PvdA).
Daarom presenteerde het Europees Parlement vandaag een tegenvoorstel dat kinderen moet beschermen zonder massaal de end-to-end-versleuteling van chatverkeer te omzeilen.
In het tegenvoorstel van het Europees Parlement moeten social media-accounts van kinderen op bijvoorbeeld Instagram en YouTube Kids standaard op ‘privé’ staan. Hierdoor kunnen onbekenden niet zomaar kinderen benaderen of screenshots van hun profiel maken.
Ook verplicht het online platforms en techbedrijven om preventieve maatregelen te treffen om online kindermisbruik te voorkomen. Het gaat daarbij onder meer om een online verplichting voor techbedrijven om de leeftijd van gebruikers te verifiëren, bijvoorbeeld met hun DigiD.
Ten slotte wil het Parlement online platforms verplichten een knop op hun platform te zetten, die identiek is op alle apps, waarmee kinderen onveilige situaties kunnen melden aan een Europese waakhond.
Alleen wanneer opsporingsdiensten kunnen bewijzen dat mensen in een chatgroep zich schuldig maken aan kindermisbruik, mag een rechter een scan aanvragen die berichten en gebruikersgegevens van de groepsdeelnemers verzamelt. Dit mag uitsluitend op niet-versleutelde diensten zoals Telegram, dus niet op WhatsApp of Signal.
Tech-expert Bert Hubert vindt het een goede zaak dat het Parlement afziet van surveillance-software. Maar het tegenvoorstel heeft weer eigen valkuilen: ‘Leeftijdsverificatie staat altijd op gespannen voet met de online anonimiteit, bijvoorbeeld als je er je DigiD voor moet aanleveren.’
Alles bij de bron; Volkskrant