- Gegevens
- Hoofdcategorie: Internet en Telecom
IPhones hebben jarenlang de unieke MAC-adressen van gebruikers gelekt waardoor die waren te volgen, ondanks een privacyfeature van Apple die dit juist moest voorkomen. Deze week kwam Apple met een beveiligingsupdate om het probleem te verhelpen.
Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen.
Drie jaar geleden kwam Apple met een feature genaamd 'private Wi-Fi addresses', die moest voorkomen dat iPhones hun unieke MAC-adres met wifi-netwerken delen.
Met de lancering van iOS 14, iPadOS 14 en watchOS 7 besloot Apple private Wi-Fi addresses te introduceren dat ervoor moet zorgen dat het toestel voor elk wifi-netwerk een ander MAC-adres gebruikt. Met iOS 15, iPadOS 15 en watchOS 8 werd er vervolgens automatisch voor elk wifi-netwerk waar meer dan zes weken geen verbinding mee was gemaakt een ander MAC-adres gegenereerd.
De privacyfeature bleek echter zinloos. "Wanneer een iPhone verbinding met een netwerk maakt, verstuurt het multicast requests om AirPlay-apparaten in het netwerk te vinden. In deze requests verstuurt iOS het echt Wi-Fi MAC-adres", aldus beveiligingsonderzoeker Tommy Mysk die het probleem (CVE-2023-42846) eind juli aan Apple rapporteerde.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Een meerderheid in de Tweede Kamer heeft ingestemd met een motie die de regering verzoekt om niet akkoord te gaan met enig Europees voorstel dat client-side scanning bevat. Volgens de motie van Wybren van Haga van Groep van Haga hoort client-side scanning thuis in een dystopische surveillancestaat zoals Noord-Korea of China, maar zeker niet in Nederland.
Daarnaast stelt de motie dat wetenschappers, juristen en privacydeskundigen vrijwel unaniem vernietigend zijn over dit voorstel en het de verwachting is dat het geen stand zal houden bij de rechter. "Verzoekt de regering niet akkoord te gaan met enig voorstel dat een detectiebevel op basis van client-side scanning bevat", aldus Van Haga.
Vorige week nam de Tweede Kamer al een andere motie tegen client-side scanning aan. Die motie van D66-Kamerlid Dekker-Abdulaziz verzocht de regering een eerder aangenomen motie van D66-Kamerlid Van Ginneken over het tegengaan van client-side scanning alsnog uit te voeren.
Eind juni liet minister Yesilgöz van Justitie en Veiligheid weten dat ze de motie van Van Ginneken, die door een meerderheid in de Tweede Kamer was aangenomen en oproept tot het tegengaan van client-side scanning, waarbij alle chatberichten van burgers worden gecontroleerd, niet zal uitvoeren. Volgens de minister is de inbreuk op grondrechten die hierbij plaatsvindt proportioneel en gerechtvaardigd
Alles bij de bron; Security.
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Na eerdere kritiek van privacy-experts verzet nu ook het Europees Parlement zich tegen een omstreden anti-kinderpornowet.
Het presenteerde donderdag een alternatief, dat online kindermisbruik moet aanpakken zonder daarbij Europeanen op hun telefoons en computers te hoeven surveilleren.
‘Het internet is nu onveilig voor kinderen. Het is alsof we ze zonder begeleiding achterlaten in het centrum van een drukke stad’, zegt Europarlementariër Paul Tang (PvdA).
Daarom presenteerde het Europees Parlement vandaag een tegenvoorstel dat kinderen moet beschermen zonder massaal de end-to-end-versleuteling van chatverkeer te omzeilen.
In het tegenvoorstel van het Europees Parlement moeten social media-accounts van kinderen op bijvoorbeeld Instagram en YouTube Kids standaard op ‘privé’ staan. Hierdoor kunnen onbekenden niet zomaar kinderen benaderen of screenshots van hun profiel maken.
Ook verplicht het online platforms en techbedrijven om preventieve maatregelen te treffen om online kindermisbruik te voorkomen. Het gaat daarbij onder meer om een online verplichting voor techbedrijven om de leeftijd van gebruikers te verifiëren, bijvoorbeeld met hun DigiD.
Ten slotte wil het Parlement online platforms verplichten een knop op hun platform te zetten, die identiek is op alle apps, waarmee kinderen onveilige situaties kunnen melden aan een Europese waakhond.
Alleen wanneer opsporingsdiensten kunnen bewijzen dat mensen in een chatgroep zich schuldig maken aan kindermisbruik, mag een rechter een scan aanvragen die berichten en gebruikersgegevens van de groepsdeelnemers verzamelt. Dit mag uitsluitend op niet-versleutelde diensten zoals Telegram, dus niet op WhatsApp of Signal.
Tech-expert Bert Hubert vindt het een goede zaak dat het Parlement afziet van surveillance-software. Maar het tegenvoorstel heeft weer eigen valkuilen: ‘Leeftijdsverificatie staat altijd op gespannen voet met de online anonimiteit, bijvoorbeeld als je er je DigiD voor moet aanleveren.’
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Het kabinet vindt het cruciaal voor een goed functionerende digitale samenleving dat burgers en bedrijven digitaal autonoom kunnen zijn en zelf kunnen beschikken over hun digitale identiteit en de gegevens die op hen betrekking hebben.
Het verstevigen van de digitale autonomie van onze burgers en bedrijven met als doel dat ze hun zaken zelf, veilig en betrouwbaar, digitaal kunnen regelen, vraagt van de overheid maatregelen die belangrijke publieke waarden borgen, zoals vrijwillig gebruik, privacy, herstelvermogen en transparantie. Daarnaast staan gebruiksvriendelijkheid en inclusie van mensen met een beperking hoog op de agenda.
Om burgers en bedrijven zo goed mogelijk te ondersteunen in de regie op hun digitale leven, zet ik me in voor een veilige introductie van een betrouwbare en toegankelijke id-wallet binnen het voorgestelde Europese raamwerk.
Om ervoor te zorgen dat burgers en bedrijven in 2025 gebruik kunnen maken van een betrouwbare, veilige en hoogwaardige id-wallet werk ik aan een open source voorbeeld-wallet. De ontwikkeling daarvan gebeurt transparant. De onderliggende documentatie wordt online gepubliceerd en de broncode van de wallet wordt openbaar beschikbaar gesteld.
Ik streef ernaar om in het eerste kwartaal van 2024 een werkende, eerste versie van een Nederlandse open source voorbeeld-wallet op te leveren. Deze versie zal een deel van de uiteindelijk benodigde functionaliteiten kunnen ondersteunen, zoals het online personaliseren van de id-wallet, online identificatie en authenticatie en het kunnen laden en delen van gegevens. Andere functionaliteiten, bijvoorbeeld het offline gebruik van een id-wallet en het zetten van een elektronische handtekening met een id-wallet, zullen later kunnen worden ontwikkeld.
De betrouwbaarheid en veiligheid van deze eerste versie van de NL voorbeeld-wallet wil ik doorlichten in keten(integratie)-testen in het tweede kwartaal van 2024.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Internet en Telecom
Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.
Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory.
Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.
...Hackers zijn er in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.
Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.
Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.
....Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.
Alles bij de bron; TechZine
- Gegevens
- Hoofdcategorie: Internet en Telecom
De AIVD en MIVD krijgen, met een verruiming van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv), meer bevoegdheden in de cyberstrijd tegen hackers uit bijvoorbeeld China en Rusland.
De Tweede Kamer is akkoord, de Eerste Kamer zal dit naar verwachting ook doen – ondanks bezwaren van experts dat de privacy van Nederlanders geschaad gaat worden.
Het wordt voor de diensten straks mogelijk om internetverkeer dat via kabels gaat ‘te verkennen’. Bij die ‘verkenningsoperaties’ wordt echter ook het internetverkeer van Nederlanders opgevangen – en geanalyseerd.
Volgens privacyorganisaties wordt zo toch een sleepnetmethode geïntroduceerd, terwijl Nederland zich daar in 2017 in een referendum nog tegen uitsprak.
Ook BiZa-minister Hugo de Jonge reageerde laconiek op alle kritiek. ‘We zijn niet geïnteresseerd in het Netflix-gedrag van uw buurman’.
Alles bij de bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Minister Bruins Slot (BZ) reageert op het advies van de Raad van State over het voorstel van rijkswet tot goedkeuring van het op 28 januari 1981 in Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en goedkeuring van het op 10 oktober 2018 in Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens.......
......De Wiv 2017 voorziet in een uitgewerkt gegevensverwerkingsregime voor de inlichtingen- en veiligheidsdiensten. Het regime is geënt op de jurisprudentie van het EHRM en sluit nauw aan op de algemene beginselen van het gegevensbeschermingsrecht. Een expliciete verwijzing in de wet naar Conventie 108+ is niet noodzakelijk. Wel dient duidelijk te zijn op welke wijze de Wiv 2017 overeenstemt met dan wel afwijkt van Conventie 108+. In de toelichting bij het voorstel voor deze goedkeuringswet wordt hierop ingegaan. Met het oog daarop merkt de Afdeling het volgende op.
Conventie 108+ staat beperkingen toe op de rechten die het verdrag aan betrokkenen toekent. De toelichting stelt enerzijds dat vanwege geheimhouding onder de Wiv 2017 de rechten van betrokkenen mogen worden beperkt en anderzijds dat de Wiv 2017 voorziet in rechten voor betrokkenen. De toelichting specificeert daarbij niet van welke uitzonderingsmogelijkheid uit de Conventie 108+ nu wel en geen gebruik wordt gemaakt en wat hiervan de motivering is.
De Afdeling adviseert de toelichting op dit punt aan te vullen. Het advies van de Afdeling is op dit punt overgenomen......
......Daarnaast kent Conventie 108+ aan toezichthouders de taak toe te worden geconsulteerd over nieuwe regelgeving.31 Hierop is geen uitzondering toegestaan. In de Wiv 2017 is dit nu nog niet opgenomen als wettelijke taak voor de CTIVD en de andere toezichthouder, de Toetsingscommissie Inzet Bevoegdheden (TIB). De adviestaak van de AP is wel wettelijk vastgelegd.32 De toelichting gaat niet in op de vraag waarom deze bevoegdheid niet ook voor de genoemde toezichthouders in de wet wordt geregeld.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan en de Wiv 2017 zo nodig aan te passen.
Gelet op het advies van de Afdeling is paragraaf 4 van de memorie van toelichting uitgebreid met een alinea, met daarin een nadere beschouwing over de verplichting uit artikel 15 (nieuw), derde lid, Conventie 108+ om toezichthouders te consulteren over nieuwe wet- en regelgeving die ziet op de verwerking van persoonsgegevens.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Minister Kuipers (VWS) informeert de Tweede Kamer over het rapport over waar DNA-technologie het beste in Nederland kan worden gebruikt en onder welke voorwaarden.
De brief gaat ook over zorg en preventie, de werkzaamheid en veiligheid van medicijnen, genoomdata en Europese ontwikkelingen op het gebied van onderzoek.
Alles bij de bron; RijksOverheid