De Amerikaanse datahandelaar National Public Data (NPD) heeft na een groot datalek waarbij de gegevens van zeker 1,3 miljoen mensen werden gestolen faillissement aangevraagd. Het bedrijf, dat met een golf aan claims te maken heeft, stelt NPD dat het niet de middelen heeft om kredietmonitoring voor 'honderden miljoenen' van mogelijk getroffen personen te betalen.
NPD voerde screenings van personen uit. Daarvoor werden gegevens uit openbare databronnen verzameld, waaronder strafbladen, adresgegevens en werknemersverleden. Vervolgens werd die informatie te koop aangeboden. De data die aanvallers bij het bedrijf wisten te stelen bestaat uit namen, adresgegevens, telefoonnummers, kopieën van identiteitsbewijzen, e-mailadressen en social-securitynummers.
De database met gegevens kon worden gestolen omdat de website een zip-bestand bevatte met daarin de back-end wachtwoorden om toegang tot de database te krijgen De gestolen data bevatte 2,9 miljard records. Zo'n 134 miljoen e-mailadressen uit de dataset zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Troy Hunt, oprichter van de zoekmachine, vermoedt dat de dataset ook 899 miljoen unieke socialsecurity-nummers bevat.
Alles bij de bron; Security
Een rechter in de Amerikaanse staat Texas heeft delen van een nieuwe wet tegengehouden die grote sociale netwerken zou verplichten om content te filteren voor minderjarigen. De wet, bekend als de Scope Act, zou op 1 september in werking treden.
De wet zou platforms hebben verplicht om minderjarigen te beschermen tegen ‘schadelijk materiaal’, waaronder content die onder meer zelfmoord of drugsgebruik zou promoten.
De rechter wees erop dat vage termen echter teveel ruimte lieten voor selectieve handhaving en oordeelde dat de vereisten voor het monitoren en filteren van content in de wet een bedreiging vormen voor de vrijheid van meningsuiting online. Sommige delen van de wet, zoals regels rond leeftijdsverificatie voor websites met volwassen inhoud, zijn niet geschrapt.
Vergelijkbare wetten in Californië, Arkansas, Ohio en Mississippi zijn eerder al deels of volledig tegengehouden. Op federaal niveau wordt nog gewerkt aan de Kids Online Safety Act, die soortgelijke zorgen over censuur oproept.
Alles bij de bron; Tweakers
Google heeft meerdere gebruikers een e-mail gestuurd waarin het zegt dat het wettelijk verplicht is om bepaalde vertrouwelijke informatie met de Amerikaanse autoriteiten te delen.
"Wanneer we een verzoek van een overheidsinstelling ontvangen dat juridisch geldig is en bindend en ons verplicht om documenten te verstrekken zonder vertrouwelijke klantgegevens te redigeren, kan Google documenten verstrekken die vertrouwelijke informatie bevatten overeenkomstig de voorwaarden van je overeenkomst(en) met Google."
Google laat verder weten dat het gebruikers zal informeren wanneer het verplicht is om juridische informatie te delen en dit ook van plan is te doen. Op Reddit laten meerdere gebruikers weten dat ze de e-mail hebben ontvangen, die als onderwerp heeft: "Notice of Disclosure in Response to Government Inquiries".
Alles bij de bron; Security
TracFone, een dochteronderneming van Verizon Wireless, schik drie datalekken die door kwetsbare API's plaatsvonden voor een bedrag van 16 miljoen dollar. Dat meldt de Amerikaanse telecomtoezichthouder FCC. Aanvallers wisten via onbeveiligde application programming interfaces (API's) persoonlijke gegevens van klanten te stelen.
"API-beveiliging is van het grootste belang en zou op de radar van alle telecomproviders moeten staan", zo stelt de toezichthouder. Doordat het bedrijf klantgegevens niet goed beschermde heeft TracFone de Amerikaanse Communications Act overtreden.
Naast een schikkingsbedrag moet TracFone ook een uitgebreid beveiligingsprogramma doorvoeren om API-kwetsbaarheden te verminderen. Het informatiebeveiligingsbeleid moet jaarlijks door onafhankelijke partijen worden gecontroleerd, moeten SIM-gerelateerde aanpassingen bij klanten beter worden beveiligd en moeten er privacy en security trainingen aan personeel en bepaalde derde partijen gegeven worden.
Alles bij de bron; Security
Het Amerikaanse ministerie van Justitie en de Federal Trade Commission (FTC) dagen TikTok en diens moederbedrijf ByteDance voor de rechter.
De aanklagers stellen onder meer dat TikTok kinderen bewust reguliere accounts laat aanmaken waarmee video's en berichten ook met volwassen gebruikers van het platform worden gedeeld.
TikTok en ByteDance zouden met hun werkwijze de Amerikaanse wet overtreden, die hen verplicht voor het gebruik of openbaar maken van persoonlijke informatie van kinderen jonger dan 13 jaar toestemming te vragen aan de ouders.
Alles bij de bron; Dutch-IT-Channel
Agenten van het Amerikaanse Customs and Border Protection (CBP) mogen telefoons, laptops en andere apparaten van Amerikaanse en internationale reizigers niet zonder gerechtelijk bevel doorzoeken, zo heeft een Amerikaanse rechtbank geoordeeld....
...Volgens de rechter is de doorzoeking van de telefoon in strijd met het vierde amendement van de Amerikaanse grondwet. Ook vormen de doorzoekingen een belasting voor de kernrechten van het eerste amendement, waaronder vrijheid van meningsuiting, vrijheid van godsdienst, vrijheid van vereniging en persvrijheid.
Grensagenten moeten voortaan eerst een gerechtelijk zoekbevel hebben, gebaseerd op een vermoeden van een misdrijf, voordat ze apparatuur mogen doorzoeken.
Alles bij de bron; Security
In maart meldde The New York Times dat autofabrikanten gegevens over het rijgedrag van automobilisten delen met verzekeringsmaatschappijen wat tot hogere premies leidt.
De senatoren Wyden en Markey deden onderzoek naar deze gang van zaken en stellen dat autofabrikanten data over het rijgedrag voor een grijpstuiver van de hand doen. Zo deelde Hyundai gegevens van 1,7 miljoen auto's voor een bedrag van 61 dollarcent per auto. Honda verkocht gegevens over 97.000 auto's voor een bedrag van 26 dollarcent per auto.
Verder stellen de senatoren dat autofabrikanten van 'dark patterns' gebruikmaken om automobilisten te manipuleren, zodat ze zich aanmelden voor programma's waarbij hun rijgedrag wordt gedeeld met datahandelaren om vervolgens te worden verkocht aan verzekeringsmaatschappijen. De senatoren stellen dat hun bevindingen waarschijnlijk het topje van de ijsberg zijn.
"De FTC moet autofabrikanten verantwoordelijk houden, die het rijgedrag van klanten zonder geïnformeerde toestemming met datahandelaren deelden, alsmede de datahandelaren, die data die op onrechtmatige wijze was verkregen doorverkochten. Gegeven het grote aantal getroffen mensen, en de schandalige manipulatie van mensen door middel van dark patterns, zou de de FTC ook de top van deze bedrijven aansprakelijk moeten houden voor hun flagrante schending van de privacy van hun klanten." zo vinden Wyden en Markey.
Alles bij de bron; Security
Een ex-medewerker van spraaktechnologiebedrijf Nuance is in de Verenigde Staten aangehouden op verdenking van het stelen van de gegevens van meer dan één miljoen patiënten.
Ziekenhuisketen Geisinger ontdekte eind november vorig jaar dat een voormalig medewerker van Nuance twee dagen na zijn ontslag toegang tot patiëntgegevens had verkregen. Het gaat mogelijk om de gegevens van meer dan één miljoen patiënten die daarbij zijn gestolen. Vanwege het politieonderzoek werd Nuance gevraagd om patiënten tot nu niet te informeren.
De mogelijk gestolen patiëntgegevens bestaan uit geboortedatum, adresgegevens, opname- , ontslag- of overplaatscode, medisch dossiernummer, geslacht, telefoonnummer en afkorting van de behandellocatie.
Geisinger telt tien ziekenhuizen en 134 zorglocaties en bedient 1,2 miljoen mensen.
Alles bij de bron; Security
Gezichtsherkenningsbedrijf Clearview AI heeft een privacyzaak in de Amerikaanse staat Illinois geschikt met aandelen voor de eisers. Het bedrijf is naar eigen zeggen financieel niet in staat om een bedrag in dollars te betalen.
Clearview beschikt over een systeem met dertig miljard afbeeldingen van gezichten. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt.
Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde. Volgens de Clearview-ceo hebben politiediensten het systeem één miljoen keer gebruikt.
Sejal Zota, een advocaat die mensen bijstaat in een rechtszaak tegen Clearview AI in de staat Californië, betreurt de uitspraak, zo laat hij tegenover persbureau AP weten. "Het legitimeert Clearview. Het lost de oorzaak van het probleem niet op. Clearview mag blijven doorgaan met het verzamelen en verkopen van mensen hun gezichten zonder hun toestemming, en die te gebruiken voor het trainen van AI-technologie."
Alles bij de bron; Security
Microsoft topman Brad Smith is door de Commissie op het matje geroepen vanwege een cyberaanval in 2023.
Chinese hackers wisten toen via Microsoft Exchange Online in te breken op e-mailaccounts van verschillende bedrijven, West-Europese overheden en de Amerikaanse overheid. In april stelde de VS in een rapport dat Microsoft die aanval had kunnen voorkomen.
In een schriftelijke getuigenis voorafgaand aan de hoorzitting liet Smith al weten dat Microsoft de verantwoordelijkheid voor de door de VS benoemde problemen 'zonder enige twijfel of aarzeling' aanvaardt. Tijdens de hoorzitting erkende Smith nogmaals dat het bedrijf bij dit incident tekort is geschoten.
Eerder deze week verscheen meer kritiek op het handelen van Microsoft op het gebied van security. ProPublica publiceerde donderdag een getuigenis van voormalig Microsoft-werknemer, die tot 2020 in het beveiligingsteam van het bedrijf werkte. Hij stelt dat Microsoft een bedenkelijke rol speelde bij de SolarWinds-aanval in 2020.
De voormalig werknemer ontdekte naar eigen zeggen in 2016 een potentieel ernstige kwetsbaarheid in Azure AD FS, waarmee ingelogd kan worden in de Azure cloud. Volgens hem konden aanvallers de kwetsbaarheid misbruiken om via een on-premises server in te breken in de cloudomgeving van klanten.
Microsoft was destijds echter bang dat het erkennen van die kwetsbaarheid de reputatie van de destijds vrij nieuwe cloudafdeling zou schaden, waarop het in de doofpot werd gestoken, aldus de voormalig medewerker. Jarenlang probeerde hij Microsoft zo ver te krijgen om de fout op te lossen, maar daar werd niets mee gedaan.
In augustus 2020 stapte hij over naar CrowdStrike, slechts enkele maanden voordat de SolarWinds-aanval plaatsvond.
Bij die aanval werd de fout die de man in 2016 al had gevonden misbruikt, aldus ProPublica. Smith moest zich in 2021 al verantwoorden voor de SolarWinds-aanval, maar hij zei toen dat er geen kwetsbaarheid in Microsoft-producten of -diensten misbruikt was voor die aanval.
Alles bij de bron; Tweakers