Google heeft een boete van 60 miljoen Australische dollar (41,4 miljoen euro) gekregen van de Australische toezichthouder ACCC.

De zaak draaide om een instelling op Android-telefoons die te maken heeft met "het delen van locatiegegevens, locatiegeschiedenis en web- en appactiviteit". Gebruikers kregen de indruk dat Google geen gegevens over de locatiegeschiedenis kon verzamelen als de bijhorende functie was uitgeschakeld.

Maar Google kon die data wél bijhouden, zolang de functie voor web- en appactiviteit aan bleef staan. Die staat Standaard altijd aan. Gebruikers werden daarover niet duidelijk geïnformeerd.

Alles bij de bron; NU


 

Een voorstel van de Ierse privacytoezichthouder om het gebruik van standaardclausules door Meta voor het versturen van persoonlijke gegevens van gebruikers naar de Verenigde Staten te blokkeren lijkt op de lange baan te worden geschoven. De Ierse Data Protection Commissioner (DPC) meldt in een verklaring aan Politico dat andere Europese privacytoezichthouders bezwaren hebben ingediend...

...De vertraging is goed nieuws voor Meta, dat eerder dreigde Facebook en Instagram in de EU tijdelijk te moeten sluiten door het besluit van de DPC. Ondertussen blijven de VS en de EU in gesprek over een nieuwe vorm van Privacy Shield, om rechtszekerheid te bieden aan de trans-Atlantische gegevensoverdrachten. Ze kondigden in maart een voorlopig akkoord aan, maar sindsdien zijn er geen details bekend geworden.

Alles bij de bron; DutchIT


 

Er ligt een voorstel om de wet die het hergebruik van overheidsinformatie regelt aan te passen, maar dat maakt het nog steeds mogelijk dat persoonlijke gegevens worden gedeeld zonder dat je het weet of dat je er toestemming voor hebt gegeven. De AP wil dat dat wordt bijgesteld, omdat het risico op misbruik te groot is.

Volgens het wetsvoorstel moeten zoveel mogelijk overheidsdata beschikbaar worden gesteld, bijvoorbeeld voor onderzoek of commercieel gebruik. De informatie moet online kunnen worden doorzocht en gecombineerd kunnen worden met andere gegevens. Overheidsinstellingen moeten zelf inschatten welke informatie kan worden gedeeld.

De Autoriteit Persoonsgegevens erkent het belang van open overheidsgegevens en vindt dat geen bezwaar zolang het bijvoorbeeld om het aantal aangeplante bomen in een wijk gaat. "Maar waar het gaat om mensen en hun adres, hun telefoonnummer, hun eigendommen, is dat iets heel anders", zegt vicevoorzitter van de toezichthouder Monique Verdier.

Iedereen is de baas over zijn eigen persoonsgegevens, zegt ze. De afweging of die gegevens mogen worden gedeeld, moet niet worden overgelaten aan overheidsinstellingen. "Uiteindelijk behoor jij zelf te beslissen over jouw data. Tenzij de wetgever - en dus niet een overheidsorganisatie zelf - anders bepaalt."

Eerder wees de AP al op problemen met de openbare gegevens in het handelsregister en het kadaster. Het wordt daarom voor zzp'ers mogelijk om hun huisadres af te schermen in het handelsregister, maar standaard staat dat er nog steeds in.

Met het nieuwe voorstel maakt het kabinet het nog makkelijker om persoonsgegevens uit de registers te halen, zegt Verdier. "Door er een algoritme op los te laten en de persoonsgegevens te combineren met andere bronnen, kunnen bedrijven bijvoorbeeld profielen maken van mensen om deze te verkopen: datahandel. Ook kan het nog makkelijker worden om op te zoeken waar iemand woont, om diegene te bedreigen."

In de nieuwe wet moet worden geregeld wanneer persoonsgegevens mogen worden hergebruikt, zegt de toezichthouder. Dat moet dus uitzondering worden in plaats van regel.

Alles bij de bron; NOS


 

Aanvallers zijn erin geslaagd om bij een grootschalige aanval meer dan duizend Zimbra-mailservers van een backdoor te voorzien. De getroffen Zimbra-mailservers zijn onder andere van overheden, ministeries, legeronderdelen en multinationals.

Begin dit jaar kwam Zimbra met een beveiligingsupdate voor een path traversal-kwetsbaarheid (CVE-2022-27925). Via een malafide zip-bestand is het mogelijk om willekeurige bestanden op het systeem te overschrijven.

In eerste instantie werd gemeld dat het beveiligingslek alleen is te misbruiken wanneer aanvallers over de inloggegevens van de beheerder beschikken. Bij onderzoek naar gecompromitteerde servers bleek dat de kwetsbaarheid ook door een ongeauthenticeerde aanvaller is te misbruiken, wat de kans op misbruik vele malen groter maakt.

Verder onderzoek wees uit dat aanvallers op grote schaal misbruik maakten van het lek om webshells op kwetsbare servers te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren.

Zimbra kwam eind juli met een update voor het lek (CVE-2022-37042) dat het mogelijk maakt om de authenticatie te omzeilen. De Zimbra-software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.

Alles bij de bron; Security


 

Amazon maakte vorige week bekend dat het de robotmaker iRobot wil overnemen. De overname moet nog wel worden goedgekeurd door de Amerikaanse handelscommissie FTC.

iRobot werd in 2002 bekend bij het grote publiek dankzij de huishoudrobot Roomba. Van het ronde stofzuigertje, dat zonder tussenkomst van mensen de vloer zuigt, waren twee jaar na de introductie een miljoen exemplaren verkocht. 

Nu de bedrijven de overname hebben aangekondigd, maken privacyorganisaties zich zorgen over de privacy van consumenten. Ze zien dit als een manier voor Amazon om steeds meer gegevens van hun klanten op te kunnen slaan.

De nieuwste robotstofzuigers maken namelijk gebruik van een technologie waarmee ze de indeling van kamers kunnen onthouden. De apparaten maken als het ware een kaart van de woning. Dit zorgt er bijvoorbeeld voor dat het apparaat niet herhaaldelijk tegen meubels aanrijdt. Die technologie zorgt ervoor dat de huizen van gebruikers tot in detail in kaart worden gebracht.

Juist dat baart de experts zorgen. Amazon krijgt straks waarschijnlijk gedetailleerde informatie over de huizen van zijn consumenten in handen, waardoor het bijvoorbeeld gepersonaliseerde reclames kan aanbieden.

Een stofzuiger die de indeling van een huis in kaart brengt, is op zich niet zo'n probleem. Het zorgt er vooral voor dat het apparaat efficiënter te werk kan gaan. Maar wanneer de kaartgegevens in de cloud worden opgeslagen, verliezen consumenten daar de controle over.

Op dit moment zijn de kaarten die worden gemaakt door Roomba-robotstofzuigers alleen toegankelijk via iRobot. Maar nu Amazon de robotmaker wil overnemen, is het onduidelijk wie er straks toegang heeft tot de gegevens en hoe de techreus de gegevens gaat gebruiken.

Welke toekomstplannen Amazon, dat zelf ook robots maakt, met iRobot heeft, is ook nog niet bekendgemaakt. Het is dus afwachten wat er precies met het merk en de data zal gebeuren.

Alles bij de bron; NU


 

In Microsoft Exchange Server zitten drie kritieke kwetsbaarheden waardoor een aanvaller de mailboxes van alle gebruikers op de server kan overnemen.

Vervolgens is het mogelijk om e-mails vanuit de mailboxes te versturen of te lezen en bijlagen te downloaden. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De drie beveiligingslekken (CVE-2022-21980, CVE-2022- 24516 en CVE-2022-24477) vallen in de categorie "Elevation of Privilege" (EoP).

Via dergelijke kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.0 en Microsoft verwacht dat aanvallers er zeer waarschijnlijk misbruik van zullen maken bij aanvallen op organisaties.

Alles bij de bron; Security


 

Aanvallers zijn er via een phishingaanval in geslaagd om gebruikersnamen en wachtwoorden van medewerkers van Cloudflare te stelen en probeerden hiermee vervolgens op systemen van het internetbedrijf in te loggen. 

Net als bij de aanval op Twilio eerder werd er bij de aanval op Cloudflare gebruikgemaakt van sms-berichten. De berichten linkten naar een phishingsite. Drie medewerkers van Cloudflare vulden daar hun inloggegevens in. Met de verkregen gegevens werd geprobeerd om op systemen va Cloudflare in te loggen.

Aangezien de aanvallers niet over de vereiste fysieke beveiligingssleutel beschikten kregen ze geen toegang, aldus Cloudflare.

De phishingwebsite in kwestie was niet alleen opgezet om inloggegevens van personeel te stelen, maar probeerde ook de remote administration software AnyDesk geïnstalleerd te krijgen. Daarmee hadden de aanvallers systemen van de betreffende medewerkers op afstand kunnen overnemen, maar dat is niet het geval geweest, zo laat Cloudflare verder weten.

Alles bij de bron; Security


 

Een voormalige Twitter-medewerker is dinsdag schuldig bevonden aan spionage voor de Saoedische overheid. Hij wordt ook verdacht van internetfraude, witwassen en het vervalsen van gegevens.

De man werkte als manager bij Twitter en hielp prominente figuren in het Midden-Oosten en Noord-Afrika bij het promoten van hun accounts. Hij maakte gebruik van zijn positie om toegang te krijgen tot de e-mailadressen, telefoonnummers en geboortedata van gebruikers die zich kritisch uitlieten over de Saoedische regering.

Abouammo gaf de informatie tussen november 2014 en mei 2015 door aan Saoedische functionarissen. In ruil daarvoor zou hij verschillende keren beloningen hebben gekregen. Abouammo beweert dat hij gewoon zijn werk deed en dat Twitter persoonsgegevens beter moet beveiligen.

Alles bij de bron; NU


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!

 

WeHebbenHetGeweten

SteunVrijbit

PTBanner  

PrivacyGuides

BvV

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

STT Logo

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen