De spionagesoftware Pegasus is in 2019 ingezet om telefoons van 1400 gebruikers, onder wie hooggeplaatste ambtenaren, via WhatsApp te infecteren, zegt WhatsApp-topman Will Cathcart in een interview met The Guardian. 

Cathcart ziet overeenkomsten tussen de bevindingen van The Washington Post en zijn mediapartners, en het eigen onderzoek van de berichtendienst naar de aanval via zijn app. Sinds de aanval heeft plaatsgevonden claimen WhatsApp en moederbedrijf Facebook dat Pegasus is gebruikt om de telefoons van de getroffenen te hacken. Dat gebeurde met een WhatsApp-belletje naar het doelwit, waarbij het gesprek niet eens hoefde worden opgenomen. Wie achter de aanval zit, is niet bekend.

NSO, het bedrijf achter de spyware, blijft ontkennen dat zijn software is ingezet in de WhatsApp-aanval.

"De berichtgeving van TWP komt overeen met wat we zagen bij de aanval van twee jaar geleden", zegt de WhatsApp-topman. Volgens hem dient dit deels als bewijs dat Pegasus wel degelijk is gebruikt om de 1400 slachtoffers te hacken.

WhatsApp ontdekte dat, naast hooggeplaatste ambtenaren, ook journalisten en mensenrechtenactivisten wereldwijd het doelwit waren bij de aanval van 2019. "Veel van de getroffen gebruikers in deze zaak hadden nooit gesurveilleerd mogen worden", zegt Cathcart.

...Een woordvoerder van NSO zegt tegen The Verge dat het onderzoek "vol met verkeerde aannames en niet-onderbouwde theorieën zit die twijfels oproepen over de betrouwbaarheid en belangen van de bronnen". Ook zegt het bedrijf het aantal telefoonnummers op de lijst "wordt overdreven" en dat het te hoog is voor het aantal personen dat door de software wordt gesurveilleerd.

WhatsApp-baas Cathcart twijfelt aan die bewering. In het Guardian-interview wijst hij naar de 1400 gebruikers als bewijs dat het aantal doelwitten "zeer hoog" was.

Alles bij de bron; NU

Vorige maand schreef ik op deze plek over een rechtszaak in Frankrijk tegen Amesys, een bedrijf dat handelt in spionagetechnologie. De zaak zou, zo hoopte ik, kunnen bijdragen aan het beteugelen van ‘giftige’ bedrijven die miljarden verdienen met verkoop van hacking-, tracing- en spionagesystemen. Notoir in deze sector is de Israëlische NSO Group. Met haar infiltratieproduct Pegasus kun je heimelijk toegang krijgen tot telefoons en computers, camera’s en microfoons op afstand aanzetten en zo de locatie, contacten, foto’s en gedrag van ‘verdachten’ in de gaten houden.

Deze week bleek via een groot collectief van onderzoeksjournalisten, het ‘Pegasus Project, dat zelfs het telefoonnummer van de Franse president Macron op de lijst van doelwitten staat en al langer was bekend hoe telefoons en computers van mensenrechtenverdedigers en kritische journalisten werden geïnfiltreerd.

Zo stapelen de voorbeelden zich op van misplaatst gebruik van infiltratietechnologie, verkocht onder het mom van terreur- en misdaadbestrijding. Dat zelfs de Franse president met deze technologie kan worden belaagd, onderstreept hoezeer de commerciële spionagesector ontspoord is...

...Qua transparantie over de producten die in Nederland gebruikt worden, is er nog een wereld te winnen. Zeker is dat hier commerciële hacksoftware wordt gebruikt, maar officieel komt die niet van leveranciers aan dubieuze regimes. Verzoeken om informatie hierover van de Volkskrant, op basis van de Wet openbaarheid van bestuur, bleven onbeantwoord.

Technologie kun je meestal breder inzetten dan aanvankelijk beoogd werd. De snelle verspreiding van spionagetechnologie is een gevaarlijke realiteit. Infiltratietechnologie, zelfs als die ooit met een legitiem oogmerk is ontwikkeld, verspreidt zich als onkruid over de wereld. De onthullingen van het Pegasus Project stimuleren hopelijk de politieke urgentie, in elk geval in democratische landen, om voorop te gaan lopen in de zorg voor ‘veiligheid, vertrouwen, en stabiliteit in cyberspace’.

Alles bij de bron; NRC

De NCTV brengt „geen personen in beeld”, zei justitieminister Grapperhaus in de Kamer. Een linkse activist ontdekte dat hij wél online werd gevolgd en in een terrorismeaanpak belandde...

...Op 28 november 2019 zit hem bijvoorbeeld een rechtszaak dwars. „Onderweg naar gerechtshof Leeuwarden. Bizarre zaak”, twittert hij. ....Alles direct geseponeerd. Video’s van politie worden ‘per abuis’ gewist.” Met zes rode, boze emoji’s sluit hij af.

op de zevende etage van het ministerie van Justitie en Veiligheid in Den Haag houden monitoringsspecialisten van anti-terrorismecoördinator NCTV zijn tweets in de gaten via een door hen gecreëerd nepaccount dat ‘Harry van Duinen’ heet. De tweet wordt een screenshot en wordt opgeslagen in het interne systeem. De NCTV stuurt hem ook door naar de politie. Zonder hij het weet,

Zelfs een retweet van leggen de monitoringsspecialisten vast, van een tweet van een journalist die agenten met ‘lange latten’ ziet rondlopen bij de Stopera in afwachting van een demonstratie. Van der Linde voegt toe: ‘Met lange lat…WTF’. Weer die rood-boze gezichten. Ook deze tweet belandt in de systemen van de NCTV en bij de politie.

Het volggedrag van de NCTV staat ter discussie. In april onthulde NRC dat de coördinator al jaren via nepaccounts burgers online in de gaten houdt: coronademonstranten, rechtse activisten, milieuactivisten, streng-islamitische predikers. En linkse activisten. Na vragen van NRC werden de nepaccounts van ‘Harry van Duinen’ op Facebook, Instagram en Twitter verwijderd....

...De NCTV heeft voor deze activiteiten niet meer bevoegdheden dan welke overheidsinstantie dan ook.

In een vijf uur durend Kamerdebat in juni was demissionair minister Ferd Grapperhaus (Justitie en Veiligheid, CDA) stellig. De NCTV „volgt geen personen”, zei hij, en „doet daar ook geen onderzoek naar”. De NCTV verwerft geen gegevens over personen, „dat doen we niet”. In open bronnen volgen de ambtenaren volgens hem het maatschappelijk debat, maar daarbij worden „echt […] geen personen in beeld gebracht, als doel”.

Toch wil de minister de NCTV nu snel meer ruimte geven om persoonsgegevens te verwerken. In zijn wetsvoorstel staat dat de coördinator online uitingen van burgers wil bekijken om „trends en fenomenen” over veiligheidsthema’s te beschrijven. 

SPOED NIEUWE WET

Demissionair minister Grapperhaus (Justitie en Veiligheid, CDA) wil de NCTV snel meer ruimte geven om burgers online te volgen en ook om persoonsgegevens te verwerken.
Daarvoor diende hij onlangs met spoed een wetsvoorstel in.

Amnesty International en Bits of Freedom spreken van een „controversieel” wetsvoorstel
waarmee „gehaast en onzorgvuldig” wordt omgegaan.

„Met deze wet installeren we een nieuwe geheime dienst die specifiek het maatschappelijk middenveld in de gaten houdt.”

De ervaring van de activist is een andere. Hij vroeg zijn dossiers op bij de NCTV, de politie en de gemeente Amsterdam en deelde die met NRC. Er blijkt uit dat de coördinator zijn online uitlatingen niet alleen gebruikte voor een algemene schets van het ‘maatschappelijk discours’. De NCTV verspreidde informatie over hem onder politiediensten, veiligheidsinstanties en gemeenten, waarna hij in een terrorismeaanpak belandde....

...De vertrouwelijke rapportages stuurt de NCTV officieel slechts ‘ter kennisgeving’ aan andere overheidspartijen, om hen te voorzien van achtergrondinformatie. Maar als zo’n bericht gaat over iemand in je gemeente moet je er iets mee, zegt een Amsterdamse veiligheidsambtenaar. „Als je gewaarschuwd bent, kun je geen risico’s nemen. Je gaat dingen doen om je in te dekken. Om te kunnen zeggen: ik heb iets met de informatie gedaan.”

Een gelegenheid daarvoor komt sneller dan verwacht: begin 2017 meldt Van der Linde zich bij de gemeente....  Op 21 juni 2017 besluit de gemeente hem in haar deradicaliseringsaanpak te plaatsen, net als op dat moment 58 anderen, veelal „gerelateerd aan het jihadisme”. In het plan van aanpak staat dat hij geholpen moet worden bij het „verwerken” van alle „doodsbedreigingen”, die „traumatisch” lijken te zijn geweest. „Doel daarna is werk vinden en leven opnieuw opbouwen”.

Wat het verband is met zijn vermeende radicalisering, wordt niet vermeld. Hij gaat het systeem in als ‘Dossier 606’.

De gemeente weet dat de politie op dat moment juist níet vindt dat hij aan de eisen voor de deradicaliseringsaanpak voldoet. Een gespecialiseerd politieteam duidt hem die zomer als „niet-CTER-waardig”: geen potentiële extremist. Maar zodra burgemeester Van der Laan de handtekening zet waarmee hij in de aanpak belandt, wordt hij in de politiesystemen toch als zodanig bestempeld. Deze CTER-code vestigt de aandacht op de activist en maakt het overheden makkelijker hem in de gaten te houden.

...Begin september hoort hij naar eigen zeggen voor het eerst dat hij in de deradicaliseringsaanpak zit. „Hij lijkt het er niet mee eens te zijn”, staat in het verslag van de gemeente.

Was het onduidelijk waarom hij in de aanpak belandde, net zo vaag blijft waarom hij er weer uit wordt gehaald. Op 7 maart 2019 ontvangt hij een ‘uitstroombrief’ van de nieuwe burgemeester Femke Halsema. De gemeente en betrokken instanties, waaronder de NCTV, hebben getoetst „of er nog sprake is van concrete signalen en risico’s die wijzen op radicalisering”. Hij voldoet daar niet meer aan. „Dat is goed nieuws”, schrijft Halsema.

De gemeente Amsterdam wil vragen van NRC over het persoonsdossier van hem niet beantwoorden „in verband met de privacy van betrokkenen”.

Ook de NCTV gaat niet in op individuele casuïstiek. „De NCTV volgt geen personen zoals de politie of inlichtingendiensten dat doen.” Op een vraag naar het aantal tweets van burgers dat de NCTV doorstuurt naar de politie, komt een algemeen antwoord: „Waar relevant” en altijd ten behoeve van „duiding en analyse van fenomenen”.

Er is voor zover bekend dan nog maar één instantie die hem buiten zijn medeweten om blijft volgen. Dat is de NCTV. Tot aan de opheffing in april van dit jaar is het NCTV-nepaccount op Twitter hem blijven volgen.

...De rechtbank zal in het voorjaar van 2021, bekrachtigen dat niet duidelijk is waarom hij een extremist zou zijn. De code bij zijn naam moet uit alle overheidssystemen worden verwijderd.... 

Alles bij de bron; NRC

De politie heeft vorig jaar ruim 218.000 foto's uit haar database voor gezichtsherkenning verwijderd. Dat maakt de Landelijke Eenheid bekend met de publicatie van de jaarcijfers over 2020. Een woordvoerder kon niet zeggen hoeveel unieke personen daarmee uit de database zijn verdwenen.

Met gezichtsherkenning kan de politie beelden, afkomstig van bijvoorbeeld een beveiligingscamera, vergelijken met de 2,65 miljoen gezichtsfoto's in de database. Een match kan de politie helpen om achter de identiteit van een verdachte te komen.

Met de opschoning van de 218.000 foto's geeft de politie voor het eerst publiekelijk een indicatie van het aantal foto's dat onterecht in de gezichtendatabase heeft gestaan. De politie moet gezichtsfoto's namelijk verwijderen als een persoon niet langer verdachte is, bijvoorbeeld na vrijspraak.

Het gebruik van CATCH, zoals de dienst heet, is niet onomstreden. In maart onthulde NU.nl dat de gezichtsfoto's van mogelijk tienduizenden mensen onterecht in de database staan.

Dat ligt gevoelig, omdat gezichtsherkenning bijzonder ingrijpend is. Het is "alsof de politie een soort nummer op je voorhoofd brandmerkt", zei een deskundige hierover destijds.

Alles bij de bron; NU

De gemeente Purmerend gebruikt nepaccounts op social media om burgers online te monitoren, zo heeft de gemeente laten weten. 

Via Facebook, Twitter en andere social media proberen de gemeenten om zicht op mogelijke ongeregeldheden te krijgen en fraude te bestrijden. Hierbij wordt soms ook de wet overtreden. Zo werkt bijna één op de zes van de ondervraagde gemeenten met nepaccounts. Alleen politie en inlichtingendiensten mogen deze methode onder strikte voorwaarden inzetten.

"Er is een aantal ambtenaren dat uit hoofde van hun functie de bevoegdheid heeft om gebruik te maken van een fictieve accountnaam, te gebruiken voor online monitoring. Zij nemen geen deel aan besloten Facebookgroepen. Social media bestaan al langer en wij monitoren deze ook al langer", aldus de B&W van de gemeente op de vraag van raadslid Monait of Purmerend ook gebruikmaakt van nepaccounts.

Volgens de gemeente is het volgen van social media met een nepaccount niet in strijd met de wet. Verder slaat Purmerend bij de online monitoring geen data/persoonsgegevens geautomatiseerd op. De gemeente voegt toe dat het op verschillende plekken aandacht aan de privacyregels besteedt en over een Functionaris Gegevensbescherming beschikt (pdf).

Alles bij de bron; Security

Het Centraal Bureau voor de Statistiek gaat beter controleren wie toegang krijgt tot zijn data. Het gaat om data die het CBS ter beschikking stelt via een beveiligde portal.

Dat zijn 'administratieve data' van Nederlandse burgers en bedrijven. De gegevens zijn afkomstig uit overheidsdatabanken. Het CBS anonimiseert die gegevens en gebruikt ze voor eigen onderzoeken, maar stelt ze ook beschikbaar voor wetenschappelijk onderzoek. 

Het CBS liet onlangs een onafhankelijke commissie onderzoeken of die toegang voldeed aan regels rondom privacy en informatiebeveiliging, omdat er geanonimiseerde gegevens van Nederlanders in worden opgenomen.

Uit het eindrapport blijkt dat het beleid op dit moment voldoet. Wel deed de onderzoekscommissie verschillende aanbevelingen voor de toekomst. Die draaien vooral om wie toegang krijgt tot de gegevens.

Het CBS zegt dat voortaan alleen nog 'universiteiten, kennisinstellingen en organisaties uit landen die eenzelfde niveau van privacybescherming kennen als de AVG' toegang mogen krijgen tot CBS-data. "Organisaties uit landen die geen dergelijk niveau van privacybescherming hebben, mogen hun huidige machtiging uitdienen maar komen dus niet meer voor een nieuwe machtiging in aanmerking", schrijft de dienst.

Ook moeten wetenschappelijke instellingen 'voldoen aan wetenschappelijke normen' voordat ze toegang tot de data kunnen krijgen. Dat betekent vooral dat ze hun onderzoeksresultaten openbaar moeten maken. Die wijzigingen gaan per 1 augustus van dit jaar in.

Alles bij de bron; Tweakers

Toegangscontrole op basis van gezichtsherkenning, autonome bewakingsrobots en camera’s aan een luchtballon voor toezicht. Tijdens de Olympische Spelen, die vrijdag worden geopend in Tokio, wordt gebruik gemaakt van geavanceerde technologie om de veiligheid te waarborgen....

....Voor toegangscontrole tot stadions en andere wedstrijdlocaties wordt gebruik gemaakt van gezichtsherkenning. Het systeem van NEC Corporation herkent de gezichten van ruim driehonderdduizend geautoriseerde atleten en officials, vrijwilligers en journalisten. Het is de eerste keer dat technologie voor gezichtsherkenning op deze schaal wordt toegepast tijdens de Olympische Spelen. Met bewakingscamera’s die beschikken over videoanalytics kan efficiënt worden gecontroleerd of alle aanwezigen een gezichtsmasker dragen.

Op de internationale luchthaven Narita patrouilleert de autonome bewakingsrobot Secom Robot X2. Deze beschikt over een 360 graden camera en een thermische camera. De robot heeft eveneens een metaaldetector, die met een robotarm kan worden gebruikt voor het controleren van verdachte voorwerpen.

De politie van Tokio zet camera’s in die zijn bevestigd aan een ballon. Deze vliegt op een hoogte van honderd meter boven de baai van Tokio. De ballon is zes meter breed en de camera’s kunnen snel verdacht gedrag van mensen op de grond detecteren. De beelden worden verzonden naar het hoofdkantoor van de politie en worden onder meer gebruikt voor verkeerstoezicht in de stad.

Alles bij de bron; Beveiliging

De Autoriteit Persoonsgegevens heeft videoapp TikTok een boete van 750.000 euro opgelegd. De app schond volgens de toezichthouder de privacy van jonge kinderen. 

TikTok heeft kinderen volgens de toezichthouder niet op een begrijpelijke manier duidelijk gemaakt hoe hun persoonsgegevens worden verzameld, verwerkt en gebruikt, omdat de informatie van TikTok hierover bij installatie niet in het Nederlands, maar in het Engels wordt aangeboden. Dat gebeurde tussen 25 mei 2018 en 28 juli 2020.

De Engelse uitleg was volgens de AP in strijd met de Europese privacywet, waarin staat dat altijd duidelijk moet zijn wat er met je persoonsgegevens gebeurt. In de wet worden kinderen extra beschermd, omdat zij worden gezien als een extra kwetsbare groep die zich minder bewust is van de gevolgen van dit soort gegevensverwerking.

TikTok is het niet eens met de opgelegde boete. Het bedrijf zegt bezwaar aan te tekenen.

Alles bij de bron; NU