Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn 361 miljoen e-mailadressen van gekaapte accounts toegevoegd, die werden verhandeld via Telegram. Dat laat onderzoeker en HIBP-oprichter Troy Hunt weten. Een beveiligingsonderzoeker wist onlangs van allerlei Telegram-kanalen miljoenen gecompromitteerde inloggegevens te scrapen en deelde vervolgens de e-mailadressen met Hunt. Het ging bij elkaar om 122 gigabyte aan data.
Van de 361 miljoen unieke miljoen e-mailadressen waren er 151 miljoen niet eerder in HIBP gezien. De gecompromitteerde inloggegevens zijn van allerlei diensten, zoals Netflix, Disney Plus, Amazon, Hotmail, Gmail en Yahoo alsmede op landen gebaseerde 'combolists'. Volgens Hunt zijn de inloggegevens afkomstig van met malware besmette computers. De infostealer-malware op deze machine steelt alle ingevoerde inloggegevens en in de browser opgeslagen wachtwoorden.
Alles bij de bron; Security
Een Nederlandse advocaat beschikt over een zeer geheim plan van aanpak dat de recherche van de Nationale Politie heeft opgesteld voor de verwerking van door de politie gehackte chats van berichtendienst Sky ECC.
De advocaat toonde het stuk vrijdag tijdens een regiezitting voor het gerechtshof in Arnhem.
Daar speelt het hoger beroep tegen de verdachten in de zaak van de vergismoord op een klusjesman uit Nijmegen die op 6 juli 2020 op het Thorbeckeplein in Beuningen werd doodgeschoten. Inmiddels is vast komen te staan dat hij bij vergissing het doelwit werd.
Het bewijs tegen de makelaar of opdrachtgever van de liquidatie, D. bestaat vrijwel alleen uit chats die de politie leesbaar heeft gemaakt na een hack tussen 2019 en 2021 op servers van Sky ECC in het Franse Roubaix.
Tijdens het pleidooi toonde de advocaat aan het gerechtshof en aan de advocaat-generaal het “Inzetplan 13Werl” en citeerde hij eruit, maar hij weigerde het over te leggen.
‘Het Openbaar Ministerie heeft herhaaldelijk geen open kaart gespeeld als er vragen werden gesteld over de gang van zaken bij de hack van Sky ECC.
Ik heb het OM dringend aangeraden om vanaf nu transparant en eerlijk te gaan zijn. En op tafel te leggen hoe de hack werkelijk is gegaan. Als zij dat niet doet, zal ik op enig moment dat voor hen gaan doen. Want het ‘Inzetplan 13Werl’ is niet het enige waar ik over beschik.’
Onderzoek Werl is in 2019 begonnen en was gericht op de verdachte rechtspersonen Sky Secure Enterprise en Sky Global Holdings, de aanbieders van de encryptie-app Sky ECC.
Nog altijd weigert het Openbaar Ministerie volmondig te erkennen – in weerwil van veel aanwijzingen – dat Nederlandse techneuten de hoofdrol speelden bij zowel de hacks op EncroChat als Sky ECC.
Uit het plan blijkt nu dat Nederlandse specialisten dat programma Chat X hebben geschreven. Met die “interface”, een soort zoekmachine, kon de politie zoeken in de honderden miljoen chats van Encro en Sky.
In tegenstelling tot wat het Openbaar Ministerie telkens in vele rechtszaken heeft gezegd staat in plan van aanpak zonneklaar hoe van alle chats de locatiegegevens beschikbaar waren tijdens de hack. De recherche kon precies zien in welk land en in welke stad iedere Sky-gebruiker zijn berichten verstuurde. Chat X zet bij ieder bericht een vlaggetje van het land waarvandaan een bericht is verstuurd.
Het gerechtshof in Arnhem beraadt zich op dit moment op de vragen die de advocaat over de Sky-hack heeft gesteld.
Alles bij de bron; CrimeSite
De Nederlandse wetgeving voor automatische nummerplaatherkenning (automatic number plate recognition; anpr) is niet in strijd met de privacywetgeving.
Onder de Anpr-wet worden de kentekens en locaties van auto’s in Nederland vastgelegd door camera’s met beeldherkenning-software en vier weken in een centrale politiedatabank opgeslagen. De gegevens van die reisbewegingen van voertuigen zijn onder voorwaarden door de politie te gebruiken voor opsporing en vervolging.
De zaak draait voor Privacy First om de verzameling en opslag van ieders ‘historische’ anpr-data, ook wel ‘no hits’ genoemd.
Volgens Privacy First is het opslaan van voertuiggegevens zonder een link met een misdrijf ‘volstrekt disproportioneel en ineffectief’. Bovendien ontbreekt volgens hen het toezicht en is het systeem eenvoudig te misbruiken. De belangenorganisatie eist in de rechtszaak tegen de Staat dat de wet buiten werking wordt gesteld omdat deze in strijd zou zijn met Europees privacyrecht.
De rechter oordeelt in zijn uitspraak dat de Anpr-wet voldoet aan de Europese rechten van de mens en uitzonderingen op de privacyregels. Hij stelt dat, hoewel het systematisch verzamelen, opslaan en gebruiken van kentekengegevens een inmenging vormt in de persoonlijke levenssfeer, deze gerechtvaardigd is en voldoet aan voorwaarden en wettelijke grondslagen.
‘Het alternatief van het opvragen van camerabeelden van derden, zoals beelden van surveillancecamera’s van bedrijven en deurbelcamera’s van burgers, of het bewaren van gegevens voor slechts zeven dagen, zoals Privacyfirst onder meer oppert, zijn volgens de rechtbank ‘onvoldoende en minder efficiënt’.
Privacy First schrijft dat het ‘met grote teleurstelling’ heeft kennisgenomen van het vonnis in de zaak over kentekenregistratie en overweegt in hoger beroep te gaan.
Alles bij de bron; Computable
Deze week debatteerde de vaste commissie voor Justitie en Veiligheid over 'voetbal en veiligheid', waarbij ook de inzet van gezichtsherkenningscamera's werd besproken.
VVD-Kamerlid Michon-Derkzen noemde het gebruik van gezichtsherkenning bij NEC om zo toegang tot het stadion te krijgen. "Bij NEC is er nu toegang tot biometrie. Werkt dat? Kunnen we het uitrollen over heel Nederland? Bij Groningen, Zwolle en Eindhoven is er een ID-check bij de toegang. Dat lijkt mij een goed idee. Werkt dat? Wat is ervoor nodig om het landelijk uit te rollen?"
Minister Yesilgoz reageerde dat het ministerie van Volksgezondheid, Welzijn en Sport de landsadvocaat om advies heeft gevraagd over de inzet van slimme technologieën in voetbalstadions. "Helaas - laat ik dat er persoonlijk aan toevoegen - mag het niet vanwege de AVG. Ik vind dat heel eerlijk gezegd een gemiste kans. Ik denk dat we daar een hele grote slag hadden kunnen slaan, maar dat gaat dus niet. We kunnen wel gebruikmaken van slimme camera's, maar die mogen dan niet gebruikmaken van gezichtsherkenning."
De landsadvocaat kwam eerder tot de conclusie dat biometrische gegevens bijzondere persoonsgegevens zijn, en dat de verwerking hiervan verboden is, tenzij er sprake is van een 'doorbrekingsgrond'. "Vooralsnog zien wij niet een dergelijke doorbrekingsgrond. Om deze reden concluderen wij dat de inzet van deze slimme technologie – de zgn. gezichtsherkenningstechnologie – in de identificatiefase niet toelaatbaar is.
Ook de inzet van andere slimme technologie die werkt met biometrische gegevens, zoals stemherkenningstechnologie, achten wij niet toelaatbaar vanwege het ontbreken van een doorbrekingsgrondslag."
Alles bij de bron; Security
Het moederbedrijf van Ticketmaster bevestigt dat het een datalek gaat onderzoeken. Live Nation Entertainment heeft bij de Amerikaanse beurstoezichthouder SEC gemeld dat het "ongeautoriseerde activiteiten" heeft aangetroffen in een database met voornamelijk gegevens van Ticketmaster.
Een hackersgroep met de naam ShinyHunters meldde donderdag de persoonlijke gegevens van 560 miljoen klanten van Ticketmaster in handen te hebben. Het zou gaan om persoonlijke gegevens, concertkaartjes en creditcardgegevens.
De groep deelde op het darkweb bewijs voor het buitmaken van die data en zeggen de gegevens te verkopen voor omgerekend 463.000 euro als een "eenmalige aanbieding".
Er is nog veel onduidelijk over de cyberaanval, bijvoorbeeld of er ook persoonlijke gegevens van Nederlandse klanten in handen zijn van cybercriminelen. Vrijdag meldde een Nederlandse woordvoerder namens Ticketmaster daarover nog geen informatie te hebben. Ook de Autoriteit Persoonsgegevens (AP), waar organisaties en bedrijven datalekken moeten melden, kon nog niets zeggen.
Alles bij de bron; NU
Van massaal internetgegevens opslaan en het verplicht ontsleutelen van privéberichten: twee experts zien de privacy meer en meer uitgehold.
Het recht op privacy op zich wordt nooit in vraag gesteld. Maar in de praktijk wordt het verder en verder aangetast, op vraag van de overheid. Zo zette het Europees Hof van Justitie onlangs de deur open voor de massale opslag van internetgegevens om illegale downloaders te betrappen.
Magistraten vragen al jaren dat operatoren al uw internetgegevens bijhouden, zodat ze die indien nodig kunnen opvragen. Omdat het Europees Hof dergelijke massasurveillance al sinds 2014 verbiedt, bleven magistraten uit alle lidstaten het bestoken met detailvragen, in de hoop dat het ooit van mening verandert. Die slijtageslag begint dus stilaan te lonen.
Een andere privacyoorlog draait rond encryptie. Dat kennen we allemaal: bedrijven als WhatsApp, Telegram en Signal gebruiken end-to-endversleuteling (E2EE) als bescherming tegen hacking of het onderscheppen van berichten. Iedereen blij? Niet echt. De overheid, die weliswaar tegen hacken is, ziet hacking voor zichzelf wel zitten....
....het verplicht ontsleutelen van E2EE-gegevens schendt ook het recht op privacy. Dat blijkt uit een uitspraak van het Europees Hof voor de Rechten van de Mens, waar een Russische gebruiker aanvocht dat de berichtendienst Telegram zijn geëncrypteerde communicatie moest ontsleutelen.
Het Hof in Straatsburg noemde de eis dat bedrijven de ontcijfering van communicatiegegevens vergemakkelijken in het Podchasov-arrest ook disproportioneel. Net als de experts wees het op het gevaar dat ook criminelen de sleutel in handen kunnen krijgen....
....Op het vlak van encryptie neemt het Podchasov-arrest afstand van dat waarborgenverhaal. Het ontsleutelen van gegevens is in beginsel in strijd met het recht op privacy, hoe robuust de waarborgen ook zijn. Bovendien blijft het feit dat je encryptie onmogelijk kan verzwakken zonder dat dat alle veiligheidsinfrastructuur onveilig maakt. Of je daar nu waarborgen aan koppelt of niet.
Alles bij de bron; deTijd
Staatssecretaris Van Rij (Fiscaliteit en Belastingdienst) en staatssecretaris De Vries (Toeslagen en Douane) geven antwoord op vragen over het advies van de landsadvocaat over geautomatiseerde selectietechnieken.
De vragen zijn gesteld door de vaste commissie voor Financiën in een verslag van een schriftelijk overleg (VSO) Verwerking en Bescherming Persoonsgegevens met de staatssecretarissen.
....Staatssecretaris Van Rij (Fiscaliteit en Belastingdienst) en staatssecretaris De Vries (Toeslagen en Douane) geven antwoord op vragen over het advies van de landsadvocaat over geautomatiseerde selectietechnieken. De vragen zijn gesteld door de vaste commissie voor Financiën in een verslag van een schriftelijk overleg (VSO) Verwerking en Bescherming Persoonsgegevens met de staatssecretarissen.....
....De conclusies van de landsadvocaat zijn echter nog met onzekerheid omgeven. Derhalve is de Autoriteit Persoonsgegevens (AP) gevraagd om onder andere duiding te geven aan het profileringsbegrip
Alles bij de bron; RijksOverheid
Bij een Amerikaanse internetprovider zijn in oktober vorig jaar 600.000 routers defect geraakt door malafide firmware-updates, zeggen onderzoekers van cybersecuritybedrijf Lumen. De aanval vond plaats in de periode van 25 tot en met 27 oktober.
De onderzoekers van Lumen zeggen dat de aanvallers opzettelijk een grootschalige storing wilden veroorzaken, maar het precieze motief en wie achter de aanval zit, zijn niet bekend.
Na het installeren van de malafide firmware-update stopten de routers met werken. Alle getroffen routers moesten vervangen worden.
Een andere bijzonderheid is dat de aanval beperkt bleef tot het asn van de provider. Normaliter hebben hackers het gemunt op een type router, terwijl in dit geval de aanval werd uitgevoerd bij drie verschillende types van verschillende fabrikanten. De onderzoekers zijn erin geslaagd om een gedeelte van de malware te achterhalen, maar het is nog altijd niet duidelijk hoe het de hackers is gelukt om de update op zoveel apparaten te installeren.
Alles bij de bron; Tweakers