De data werd gestolen bij een aanval op een regionale afdeling van de NHS eerder deze maand, die specifiek de Schotse regio Dumfries en Galloway bedient. De lokale NHS waarschuwde op 15 maart dat cybercriminelen een 'significante hoeveelheid data' van patiënten en werknemers in handen kunnen hebben.
Nu zegt de criminele groepering INC Ransom dus dat het 3TB aan data heeft gestolen.
De ransomwarebende heeft al een klein pakket met data gedeeld, om te bewijzen dat ze de waarheid spreken. In dat pakket zit vertrouwelijke informatie over een klein aantal patiënten. INC Ransom zegt daarbij dat als de NHS geen losgeld betaalt, de rest van de 3TB aan data binnenkort gelekt wordt.
Alles bij de bron; Tweakers
Facebook heeft in het geheim Snapchat-gebruikers afgeluisterd die de vpn-tool Onavo van Facebook gebruikten. Dat blijkt uit documenten die als onderdeel van een rechtszaak tegen Meta openbaar zijn geworden. Facebook wilde via 'Project Ghostbusters' het gedrag van Snapchat-gebruikers analyseren, om zo een competitief voordeel te krijgen.
Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst.
In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Vervolgens werden de gegevens gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek, zo werd vorig jaar duidelijk, toen Meta in Australië een boete van 20 miljoen dollar kreeg voor het misleiden van gebruikers van de Onavo Protect vpn-app.
Volgens de nu openbaar geworden documenten kon Facebook via de vpn-app uitgebreid analyseren hoe gebruikers Snapchat gebruikten. Het programma zou later ook zijn uitgebreid naar Amazon en YouTube.
Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren.
Alles bij de bron; Security
Al sinds 2016 weten we dat de politie gebruik maakt van gezichtsherkenning in de vorm van CATCH. Nu is de politie met nieuwe toepassingen van deze ingrijpende surveillancetechnologie aan het experimenteren. Een uitbreiding van de CATCH-database met beelden van verdachten die niet eerder geïdentificeerd konden worden en FaceF1nder, waarmee de politie kan zoeken in welke beelden een bepaald gezicht nog meer voorkomt.
Bestaande gegevensbeschermingswetgeving, die ook voor de politie geldt, vereist dat voor dingen die een hoog risico met zich meebrengen voor het recht op privacy en gegevensbescherming, de politie de Functionaris Gegevensbescherming erbij moet betrekken en een inventarisatie en beoordeling moet maken van de impact op die rechten. Het gaat hier om een zogenaamde gegevens-beschermings-effect-beoordeling.
Uit de documenten die wij hebben opgevraagd met een beroep op de Wet open overheid blijkt nu dat de politie dit voor nieuwe toepassingen niet heeft gedaan.
Dat de politie het niet zo nauw neemt met de wet bij de inzet van gezichtsherkenning is onderhand wel duidelijk. Zo is er nooit een democratisch debat aan de inzet van CATCH vooraf gegaan, en is er dus nooit een specifieke wettelijke grondslag gekomen voor de inzet van gezichtsherkenning door de politie. De politie probeert dat gat nu te vullen met een door haarzelf opgesteld "Inzetkader gezichtsherkenning".
Niet voor niets is de Autoriteit Persoonsgegevens hier kritisch. De voorzitter noemt deze gang van zaken bij NOS de omgekeerde volgorde. Er zou eerst wetgeving moeten komen, en pas dan kan de politie aan de slag met het opstellen van een protocol. Die wetgeving is er op dit moment nog niet.
Wanneer de politie op eigen houtje aan de slag gaat en de toetsing intern belegd, is het extra belangrijk dat de interne waarborgen voor de bescherming van mensenrechten en onze vrije samenleving op orde zijn. En wat blijkt nu? Het lijkt er op dat de Functionaris Gegevensbescherming niet actief op de hoogte is gesteld, maar zelf na geruchten moest aangeven dat zij geïnformeerd wil worden.
Alles bij de bron; Bits-of-Freedom
De Duitse overheid heeft een waarschuwing gegeven voor 17.000 Microsoft Exchange-servers in het land die één of meerdere kritieke kwetsbaarheden bevatten en daardoor risico lopen om te worden aangevallen. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, roept beheerders en organisaties dan ook op om in actie te komen.
Volgens het BSI blijkt uit onderzoek dat Duitsland 45.000 Exchange-servers telt die via Outlook Web Access (OWA) toegankelijk zijn. Daarvan is 37 procent kwetsbaar, aldus het BSI.
Voor 48 procent van de Exchange-servers bij onze Oosterburen kon het BSI niet duidelijk vaststellen of ze nog kwetsbaar zijn. Vanwege de situatie heeft de overheidsinstantie dreigingsniveau 'oranje' afgegeven. Exchange-beheerders worden dan ook opgeroepen om geregeld te controleren of hun servers nog wel up-to-date zijn. Tevens wordt aangeraden om webdiensten van Exchange-servers, zoals Outlook Web Access, niet direct vanaf het internet toegankelijk te maken maar achter een vpn te plaatsen.
Alles bij de bron; Security
Een Oostenrijkse gynaecoloog heeft een AVG-boete van 10.000 euro gekregen omdat hij medische gegevens van een patiënte in een reactie op een negatieve review van haar plaatste. De vrouw had in september 2022 onder haar eigen naam een negatieve recensie over de gynaecoloog geplaatst. Een dag later kwam de gynaecoloog met een reactie, waarin hij onder andere stelde dat de vrouw een vaginale infectie had.
De vrouw stapte naar de Oostenrijkse privacytoezichthouder DSB. Die stelde dat de AVG op verschillende punten was overtreden. Zo was er sprake van onrechtmatige verwerking van bijzondere persoonsgegevens door de diagnose van de vrouw in een reactie op haar review te publiceren. Daarnaast was er geen link tussen het verzamelen van de gegevens en verwerking hiervan. Ook schond de gynaecoloog de AVG-principes van doelbinding en dataminimalisatie.
Aangezien de gynaecoloog geen inzicht in zijn finaciele situatie wilde geven, keek de Oostenrijkse privacytoezichthouder naar het geschatte inkomen van de man en kwam zo uit op een boete van 10.000 euro. De gynaecoloog heeft hier bezwaar tegen gemaakt en de reactie met de medische informatie werd pas november vorig jaar van de website verwijderd.
Alles bij de bron; Security
Het Duitse ministerie voor Digitalisering en Transport heeft een wetsvoorstel geïntroduceerd dat end-to-end encryptie voor chatdiensten, cloudaanbieders en e-mailproviders in de toekomst verplicht. Het 'recht op encryptie' voorstel is een aanvulling op de Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) en geldt voor communicatiediensten zoals WhatsApp en Signal, maar ook voor e-maildiensten en cloudproviders waar gebruikers data kunnen opslaan (pdf).
Gebruikers moeten straks 'waar het technisch mogelijk is' end-to-end encryptie kunnen gebruiken. "Hoewel end-to-end encryptie nu de industriestandaard is, maken individuele chatdiensten geen gebruik van end-to-end encryptie of gebruiken het alleen voor bepaalde functies, wat niet door technische beperkingen is te rechtvaardigen." Het gaat dan bijvoorbeeld om Telegram dat geen end-to-end encryptie voor groepschats biedt.
Advocaat Dennis-Kenji Kipker van de Universiteit van Bremen merkt op dat het voorstel vooral gaat over technische maatregelen die gebruikers zelf moeten uitvoeren. Versleutelde e-maildienst Tuta is blij met het wetsvoorstel.
Netzpolitik.org meldt dat nog onduidelijk is of het wetsvoorstel daadwerkelijk een wet wordt en denkt dat de Duitse minister van Binnenlandse Zaken roet in het eten kan gooien. Zij pleitte eerder nog voor een verbod van Telegram.
Alles bij de bron; Security
De Chinese overheid is verantwoordelijk voor het stelen van de privégegevens van miljoenen Britse kiezers, zo stelt de Britse overheid vandaag. Vorig jaar augustus werd bekend dat aanvallers een jaar lang toegang hadden tot systemen van de Electoral Commission. Daarbij hadden ze ook toegang tot kopieën van de kiesregisters, die de kiescommissie voor onderzoeksdoeleinden in bezit heeft.
De kiesregisters die op het moment van de aanval aanwezig waren bevatten de gegevens van iedereen die tussen 2014 en 2022 als kiezer in het Verenigd Koninkrijk was geregistreerd. Het gaat om namen en adresgegevens, alsmede namen van overzeese kiezers. Het Britse National Cyber Security Centre (NCSC) stelt dat de systemen door een Chinese spionagegroep aangeduid als APT31 zijn gecompromitteerd.
Er wordt geen informatie gegeven waaruit blijkt dat het om een vanuit China opererende groep gaat.
Alles bij de bron; Security
Verschillende commissies in het Europees Parlement hebben gestemd voor een Europees verbod op anonieme commerciële contante betalingen vanaf 3.000 euro. Daarnaast worden ook zakelijke transacties vanaf 10.000 euro verboden, alsmede anonieme cryptotransacties naar gehoste wallets.
Volgens de commissies zijn de maatregelen nodig om witwassen en financiering van terrorisme tegen te gaan (pdf).
"Deze EU-oorlog tegen contant geld zal vervelende gevolgen hebben!", waarschuwt Patrick Breyer, Europarlementariër voor de Piratenpartij. "Samenlevingen over de hele wereld hebben duizenden jaren geleefd met privacybeschermend contant geld. Met de sluipende afschaffing van cash bestaat er een risico van negatieve rentetarieven en het risico dat banken op elk moment de geldvoorziening kunnen afsluiten. De afhankelijkheid van banken neemt in een alarmerend tempo toe. Deze financiële ontzegging van rechten moet worden gestopt."
De Europarlementariër wijst naar onderzoek waaruit blijkt dat nog steeds zeer veel mensen contante betalingen van meer dan tienduizend euro doen, bijvoorbeeld als ze een auto aanschaffen.
Daarnaast zou het verbod op grote cashbetalingen een minimaal effect op het verminderen van misdaad hebben. Breyer vreest dan ook een aantasting van de financiële vrijheid van Europese burgers. Het voorstel moet nog door het Europees Parlement en de Raad worden aangenomen.
Alles bij de bron; Security