De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt.
Op dit moment zijn er zo'n duizend Tor-bridges, waarvan er zeshonderd het obfs4-obfuscatieprotocol ondersteunen om het netwerkverkeer aan te passen. "Helaas zijn deze aantallen al enige tijd onveranderd. Het is niet voldoende om veel bridges te hebben. Uiteindelijk kunnen ze allemaal op blocklists belanden. Daarom hebben we een continue stroom van nieuwe bridges nodig die nog nergens worden geblokkeerd", zegt Philipp Winter van het Tor Project.
Alles bij de bron; Security
De voormalige hoofdagent van de eenheid Den Haag zou tussen januari 2015 en juni 2017 ruim dertienhonderd keer data hebben opgezocht in het informatiesysteem van de politie. Hij bekeek onder andere informatie over personen en zocht kentekens op. De man printte de informatie vaak en nam die mee naar huis zegt het OM. De officier van justitie heeft een werkstraf van 240 uur tegen hem geëist vanwege computervredebreuk en schending van het ambtsgeheim. Ook wil de officier dat de man vijf jaar lang geen publiek ambt meer mag uitoefenen.
De Rijksrecherche startte in februari 2017 een strafrechtelijk onderzoek naar het gedrag van de man. Het 'grote aantal bevragingen' die hij deed in het systeem, viel op. Niet alleen haalde hij veel informatie uit het systeem, hij deed dat ook buiten werktijden. Dat gebeurde ruim vijfhonderd keer. De man bekeek ook informatie die helemaal niet relevant was voor zijn werk.
Alles bij de bron; Tweakers
D66 wil opheldering van minister Van Nieuwenhuizen over de anonieme OV-chipkaart die volgens treinreiziger Michiel Jonker helemaal niet anoniem is. Het saldo wordt namelijk niet op de kaart geladen, zoals aan treinreizigers werd gecommuniceerd, maar overgemaakt naar de back-office van het bedrijf Translink Systems (TLS), dat in opdracht van NS betalingen afhandelt.
Dat betoogde Jonker onlangs tijdens een rechtszaak die hij tegen de Autoriteit Persoonsgegevens had aangespannen. Kamerleden Verhoeven en Schonis willen nu van Van Nieuwenhuizen weten welke gegevens van de OV-chipkaart, zowel bij de anonieme als de persoonlijke OV-chipkaart, door NS worden opgeslagen. Ook moet de minister laten weten welke gegevens TLS over de anonieme OV-chipkaart logt en met welke reden.
Afsluitend moet Van Nieuwenhuizen duidelijk maken op welke manier de privacy van OV-chipkaartgebruikers wordt beschermd en of hierbij onderscheid kan worden gemaakt tussen de anonieme en de persoonlijke OV-chipkaart. De minister heeft drie weken de tijd om de vragen te beantwoorden.
Alles bij de bron; Security
Ruim 14.000 vpn-endpoints van Pulse Secure, waaronder meer dan 400 in Nederland, bevatten een ernstig beveiligingslek waardoor aanvallers gevoelige informatie kunnen stelen en toegang tot het vpn-netwerk kunnen krijgen. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld.
De Pulse Secure vpn-oplossing laat werknemers op afstand verbinding met een bedrijfsnetwerk maken. Via een kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt.
Sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats en wordt er ook op grote schaal naar kwetsbare endpoints gezocht, zo laat onderzoeker Troy Mursch weten. Mursch besloot zelf een scan op internet uit te voeren om te kijken hoeveel kwetsbare endpoints online zijn te vinden. De scan leverde 14.528 apparaten op, waarvan 420 in Nederland. De kwetsbare endpoints staan bij universiteiten, ziekenhuizen, energiebedrijven, banken, Fortune 500-bedrijven en overheden.
Alles bij de bron; Security
Webhostingbedrijf Hostinger heeft zaterdag de wachtwoorden van alle gebruikers gereset na een "recent veiligheidsincident", schrijft het bedrijf in een zondag verschenen blogpost. Het gaat om een hack waarbij zo'n veertien miljoen gebruikers gedupeerd zijn, aldus Hostinger. Het van oorsprong Litouwse bedrijf is ook in Nederland actief en biedt hier onder meer webhosting en cloudhosting aan.
De inbrekers hadden via een api toegang tot de persoonsgegevens en gehashte wachtwoorden. Gebruikersnamen, e-mailadressen, naamgegevens, ip-adressen en gehashte wachtwoorden van de getroffen klanten waren zichtbaar, meldt Hostinger. Een ongeautoriseerde partij kreeg toegang tot een server van het bedrijf waar een autorisatietoken op stond voor een api die toegang gaf tot de database met de klantgegevens.
Het gat in de beveiliging is inmiddels gedicht en de webhoster zegt in contact te zijn met autoriteiten voor verdere afhandeling.
In totaal heeft Hostinger wereldwijd 29 miljoen klanten. Het bedrijf uit Litouwen is in 2004 opgericht en is ook eigenaar van 000Webhost, Niagahoster en Weblink. Hostinger is ook in Nederland actief, met een Nederlandse website.
Alles bij de bronnen; NU & Tweakers
Door een fout van een werknemer zijn 450 e-mailadressen van autismecentrum Parnassia uitgelekt de adressen stonden in het aan- in plaats van het bcc-veld. Het gaat om een e-mail waarin ontvangers worden opgeroepen een afspraak te maken op een nieuwe locatie van het zorgcentrum.
Het zorgcentrum specialiseert zich in patiënten met psychiatrische klachten en autisme. Het is daarom extra pijnlijk dat de e-mailadressen zijn uitgelekt. Daaruit kan waarschijnlijk makkelijk worden opgemaakt wie er mogelijk psychiatrische problemen heeft.
Parnassia zegt dat het datalek is doorgegeven aan de Autoriteit Persoonsgegevens. Ook zegt een woordvoerder dat het excuses heeft gemaakt aan betrokken.
Alles bij de bron; Tweakers
Volgens de Financial Times werkt de Europese Commissie nu aan wetten die de burgers meer rechten zouden geven over de gegevens die verzameld werden via die technologie. De maatregelen zullen van kracht zijn in zakelijke, maar ook in politie-context.
De GDPR stelt dat het verboden is om gevoelige biometrische data te verzamelen. De verandering die nu in Brussel besproken wordt, zou echter veel verregaander zijn. De EU zou nu mikken op een ‘wereldstandaard voor AI-regulering’.
De EU heeft al eerder in 2016 het gebruik van gezichtsherkenningstechnologie beperkt.
Alles bij de bron; SmartBiz
De Pukkelpop-vlaggenhetze kreeg nog een vervelend staartje voor een jonge festivalgangster. Nadat ze op Instagram een filmpje had verspreid waarin te zien was hoe een vlag met de Vlaamse leeuw verbrand werd, kwamen de beelden ook bij Vlaams Belang-voorzitter terecht.
Deze plaatste dinsdag enkele "Instagram stories" (audiovisuele kortverhalen die 24 uur beschikbaar blijven op de socialenetwerksite) online. Die werden meteen opgepikt op Twitter. In die verhalen viseerde de voorzitter van de uiterst rechtse partij een jonge vrouw, en hij vermeldde daarbij haar gebruikersnaam op Instagram. Het duurde niet lang of de vrouw ontving massaal (doods)bedreigingen en verwensingen.
"Ongezien" en "Trumpiaanse toestanden", noemt jurist Matthias Dobbelaere-Welvaert die actie. Alsook een "flagrante schending van de privacywet". Een politicus - overigens van gelijk welke strekking - die zijn pijlen richt op een kritische burger. Het doet denken aan donkere dagen. Burgers mogen (en moeten zelfs) te allen tijde kritiek kunnen uiten op politieke ideeën. Politici zijn verkozenen die werken voor het volk, en behoren die taak met eerbied en respect te vervullen.
Alles bij de bron; VRT