De Belgische overheid lekt gevoelige informatie via verlopen domeinnamen, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire in een blogposting.
De onderzoeker registreerde 107 verlopen domeinnamen die van Belgische gemeenten, politiezones, psychiatrische ziekenhuizen, justitie, sociale zekerheidsorganisaties en andere instellingen waren geweest.
Na de registratie ontving De Ceukelaire allerlei e-mails voor de betreffende domeinnamen, soms met gevoelige informatie. Voor de 107 geregistreerde domeinnamen bleken nog zeker 848 e-mailadressen actief. Ook bleek dat de nog gebruikte e-mailadressen bij allerlei clouddiensten waren geregistreerd. Via het uitvoeren van een wachtwoordreset kon de onderzoeker zo ook toegang tot cloudaccounts krijgen.
Via de 848 e-mailadressen wist hij toegang te krijgen tot 80 Dropbox-accounts, 142 Google Drive-accounts en 57 Microsoft-, OneDrive- en SharePoint-accounts, alsmede tientallen Smartschool- en Doccle-accounts. Na enige tijd waarschuwde hij het Belgische Centrum voor Cybersecurity, dat de vorige domeineigenaren over de risico's van verlopen domeinnamen informeerde.
In Nederland is het probleem van verlopen domeinnamen al jaren bekend. In 2017 bleek de politie op deze manier gevoelige e-mails te lekken en in 2019 lekte de jeugdzorg via verlopen domeinnamen dossiers van duizenden kinderen.
Alles bij de bron; Security
‘Trap er niet in’, waarschuwt de politie Amsterdam voor parkeerautomaten waar met een qr-code betaald kan worden.
‘Scan en betaal’, staat op de automaten maar waar je normaal je creditcard tegenaan houdt, is nu een sticker geplakt. Scannen leidt, niet verrassend, naar een nepsite.
De stickers zijn al op meerdere parkeerautomaten in de stad geplakt, aldus het bericht. De politie doet onderzoek naar wie de stickers heeft opgeplakt. Eerder werd deze oplichtingsvorm al in Brussel ontdekt.
Alles bij de bron; Cops-in-Cyberspace
Opnieuw is er tegen Ryanair een privacyklacht ingediend over de biometrische controle die de vliegmaatschappij verplicht voor klanten die via een online reisbureau een vlucht boeken.
Vorig jaar diende privacyorganisatie noyb al een klacht in bij de Ierse privacytoezichthouder, maar de status van dat onderzoek is onbekend.
De Europese koepelorganisatie voor 'travel tech platformen' genaamd EU Travel Tech, heeft nu privacyklachten bij de Belgische en Franse privacytoezichthouders ingediend.
Afgelopen december kondigde Ryanair aan dat klanten zonder bestaand account, waaronder die via online reisbureaus boeken, een biometrische verificatie moeten ondergaan, aldus EU Travel Tech.
Volgens EU Travel Tech schendt deze procedure individuele privacy en is het mogelijk in strijd met de AVG. "Het biometrische verificatieproces van Ryanair schendt de principes van rechtsgeldigheid, eerlijkheid en transparantie zoals vereist door de AVG, met name als het gaat om bijzondere persoonsgegevens zoals biometrische informatie."
EU Travel Tech voegt toe dat het toepassen van biometrische verificatie, met name zonder duidelijke, noodzakelijke en proportionele rechtvaardiging, het risico vergroot op datalekken, identiteitsdiefstal en ongerechtvaardigde surveillance. "Zodra biometrische data is gecompromitteerd, kan het niet worden ingetrokken of veranderd en vormt daarmee een permanent risico voor de privacy en security van individuen." EU Travel Tech wil dat de toezichthouders het gebruik van de biometrische verificatie door Ryanair per direct stopzetten.
Op de website van Ryanair wordt overigens nog een andere optie genoemd, waarbij reizigers een 'in-person verificatie' kunnen ondergaan, maar dan wel twee uur van tevoren aanwezig moeten zijn.
Alles bij de bron; Security
De internetconsultatie van de Cyberbeveiligingswet is van start gegaan. Via de consultatieronde is het mogelijk verbetersuggesties aan te dragen voor het wetsvoorstel, dat de Europese NIS2-richtlijn in Nederlandse wetgeving omzet.
De Cyberbeveiligingswet is de opvolger van de zogeheten Wet beveiliging netwerk- en informatiesystemen (Wbni). Ten opzichte van deze wet bevat het wetsvoorstel een aantal wijzigingen. Allereerst is het aantal sectoren en daarmee het aantal organisaties dat onder de wet valt vergroot. Ook omvat het wetsvoorstel regels omtrent een zorgplicht (cyberbeveiligingsmaatregelen), meldplicht (het melden van incidenten) en toezicht op naleving.
Reageren op het wetsvoorstel kan tussen 21 mei en 2 juli 2024 hier. Na de consultatieperiode worden alle reacties bekeken en wordt eventueel het wetsvoorstel aangepast. Het resultaat van de consultatie en de verwerking daarvan wordt in een verslag op hoofdlijnen vermeld op de website van de internetconsultatie.
Alles bij de bron; Dutch-IT-Channel
De Europese Unie gaat met meer landen overeenkomsten sluiten voor het uitwisselen van passagiersgegevens, zo heeft demissionair minister Yesilgöz van Justitie en Veiligheid laten weten. PNR-gegevens bestaan uit reserverings- en check-in-gegevens, zoals naam- en adresgegevens, telefoonnummers, e-mailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens.
..."De overeenkomst die nu met Canada is gesloten past in de reeks aan PNR-overeenkomsten die de EU met derde landen heeft gesloten en gaat sluiten. Een toenemend aantal landen verzamelt immers PNR-gegevens van luchtvaartmaatschappijen", aldus minister Yesilgöz.
De bewindsvrouw merkt op dat de Europese Commissie al gemachtigd is om met Mexico en Japan PNR-overeenkomsten te starten. Daarnaast heeft Brussel vorig jaar september al aangeraden om ook de onderhandelingen met Noorwegen, IJsland en Zwitserland te openen.
Er zijn al afspraken over PNR-gegevens gemaakt met de Verenigde Staten, Australië en het Verenigd Koninkrijk. De minister stelt dat het gebruik van PNR-gegevens een 'cruciaal instrument' is in de strijd tegen terrorisme en ernstige criminaliteit.
Alles bij de bron; Security
De zakelijke communicatietool Slack is onder vuur komen te liggen over het gebruik van gebruikersgegevens voor het trainen van AI- en machine learning (ML)-modellen.
De ophef ontstond naar aanleiding van het privacybeleid. Daarin staat dat Slack voor het ontwikkelen AI/ML-modellen klantgegevens gebruikt, zoals berichten, inhoud en bestanden, alsmede andere informatie, zoals gebruiksinformatie.
Organisaties die niet willen dat hun klantdata wordt gebruikt voor AI-training, moeten hiervoor de klantenservice benaderen voor een opt-out, aldus het beleid. Dit zorgde voor honderden reacties op Hacker News.
Een Slack-engineer liet vervolgens weten dat de bewoording van het beleid moest worden aangepast, omdat het generatieve AI-model niet met klantdata wordt getraind. Daarbij werd ook gewezen naar een blogposting van Slack. "Ik geloof het pas als het in het privacybeleid staat", aldus critici. "Een blogposting is niet juridisch bindend. De algemene voorwaarden wel."
Het privacybeleid is inmiddels ook iets aangepast. Daarin is de passage over het ontwikkelen van AI/ML-modellen gewijzigd. Er staat nu dat klantgegevens worden gebruikt voor het ontwikkelen van niet-generatieve AI/ML-modellen. Organisaties die dit niet willen moeten dit nog steeds via een opt-out kenbaar maken.
Alles bij de bron; Security
Deze week vond in de Tweede Kamer een debat plaats over de inzet van algoritmes en data-ethiek. Daarin werd ook gesproken over het gebruik van gezichtsherkenning.
GroenLinks-PvdA-Kamerlid Kathmann diende over het onderwerp twee moties in. De eerste motie roept het kabinet op om het gebruik van gezichtsherkenningssoftware bij publieke en private organisaties in kaart te brengen, en toepassingen waarbij het gebruik niet expliciet is toegestaan door wetgeving maar wel gewenst is zo snel als mogelijk van een grondslag te voorzien en anders te stoppen.
De tweede motie ging over het gebruik van gezichtsherkenning door de politie. Begin dit jaar werd bekend dat de minister de politie toestemming heeft gegeven voor het experimenteren met gezichtsherkenningssoftware, ook al ontbreekt specifieke wetgeving. Een interne beoordelingscommissie van de politie beoordeelt aanvragen die gaan over de inzet van gezichtsherkenning. Een werkwijze waar de Autoriteit Persoonsgegevens bezorgd over is.
Kathmann hekelt het ontbreken van een formele juridische grondslag en wil dat de regering een juridische grondslag ontwikkelt. Daarnaast moet de inzet van gezichtsherkenning bij de politie altijd zijn voorzien van een juridische grondslag, uitbreidingen zonder grondslag niet worden toegestaan en nieuwe toepassingen verplicht worden opgenomen in het Algoritmeregister van de overheid.
Alles bij de bron; Security
Europa heeft geen politieke wil om spyware aan te pakken, zo stelt Sophie In't Veld, Europarlementariër voor Volt.
In't Veld nam deze week deel aan een paneldiscussie van het Center for Democracy & Technology over spyware. Volgens de Nederlandse politica weigert de EU collectief om maatregelen te nemen, waardoor alle landen medeplichtig zijn.
Vorig jaar juni presenteerde In 't Veld een onderzoeksrapport van een speciale door het Europees Parlement ingestelde commissie, die onderzoek had gedaan naar het gebruik van spyware door Europese overheden. Onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje zou spyware tegen onder andere oppositie en journalisten zijn ingezet.
Tegelijkertijd nam het Europees Parlement een resolutie aan om het gebruik van spyware zoals Pegasus door landen tegen te gaan.
Eind vorig jaar bleek dat er nog altijd geen wetten waren aangenomen om dergelijk misbruik aan te pakken. Het Europarlement nam daarop een nieuwe resolutie aan die het gebrek aan handelen bekritiseerde. "Het rapport van het Europees Parlement geeft ze een complete toolkit om het probleem aan te pakken, maar de politieke wil is er gewoon niet. Ze vinden hun nieuwe speeltje veel te leuk en willen het niet opgeven", stelt In't Veld.
Ze voegt toe dat de EU voor de bühne zich aansluit bij initiatieven tegen spyware, maar als het erop aankomt niets doet, de technologie zelf blijft gebruiken en het ook exporteert naar andere landen.
Alles bij de bron; Security