Nieuws uit de VS

Twitter is aangeklaagd wegens een hack waarbij de gegevens van meer dan 200 miljoen gebruikers zijn buitgemaakt. Volgens de man die de klacht vrijdag indiende bij de rechtbank in San Francisco, konden de hackers doordringen in de systemen van Twitter door een programmeerfout in de software die applicaties gebruiken om met elkaar te communiceren.

Hij heeft een zogeheten ‘class action’ rechtszaak aangespannen waarbij ook andere gedupeerden zich kunnen aansluiten. De klager eist een schadevergoeding van Twitter en een onafhankelijk onderzoek naar de veiligheid van de systemen van de berichtendienst. Hoeveel schadevergoeding hij wil, is niet bekend.

De hackers bemachtigden tussen 2021 en 2022 onder meer e-mailadressen, telefoonnummers en gebruikersnamen. Ook de gegevens van de klager zouden zijn gestolen.

Alles bij de bron; AD


Het Hooggerechtshof van de Verenigde Staten zette op maandag een streep door het beroep van NSO Group. In april 2022 werd in het kader van de WhatsApp-rechtszaak een petitie ingediend bij de hoogste Amerikaanse rechtbank. Het bedrijf stelde daarin dat het erkend moet worden als een agent van buitenlandse overheden. Daarmee zou het bedrijf recht hebben op immuniteit volgens een Amerikaanse wet die rechtszaken tegen buitenlandse landen beperkt. Dit verzoek is maandag echter afgekeurd door het Hooggerechtshof, waarmee WhatsApp zijn rechtszaak tegen NSO Group definitief kan doorzetten.

Meta-dochterbedrijf WhatsApp klaagde NSO Group in 2019 al aan. De Pegasus-spyware, waarvan NSO de maker is, zou ingezet zijn om de telefoons van 1400 WhatsApp-gebruikers te infecteren. Onder die gebruikers zouden minstens 100 journalisten of mensenrechtenactivisten vallen. Vorige jaar stelde WhatsApp-ceo Will Cathcart dat ook overheidsfunctionarissen bespioneerd zouden zijn met Pegasus.

Alles bij de bron; Tweakers


Wachtwoordmanager LastPass is in de Verenigde Staten aangeklaagd wegens de diefstal van gevoelige klantgegevens, waaronder versleutelde wachtwoorden, uit een cloudomgeving waar het bedrijf gebruik van maakte. Volgens de aanklacht heeft LastPass de digitale beveiliging genegeerd waardoor het datalek mogelijk was.

Het gaat om een "class action" rechtszaak waar andere LastPass-gebruikers zich bij kunnen aansluiten.

In augustus werd bekend dat de broncode en technische informatie uit de ontwikkelomgeving van LastPass bij een aanval was buitgemaakt. De aanvaller gebruikte deze informatie voor een aanval op een LastPass-medewerker, waarbij inloggegevens en keys werden verkregen waarmee kon worden ingelogd op een cloudomgeving waar LastPass back-ups van productiedata bewaart.

De back-upgegevens waren versleuteld, maar de aanvaller had ook de decryptiesleutels bemachtigd en kon de data zo ontsleutelen. Het gaat om namen, factuuradres, e-mailadres, telefoonnummers en ip-adressen van gebruikers. Daarnaast wist de aanvaller een back-up met kluisdata van klanten te stelen. LastPass biedt een wachtwoordmanager die gebruikers wachtwoorden in een "wachtwoordkluis" in de cloud laat opslaan. Zo kreeg de aanvaller versleutelde gebruikersnamen, wachtwoorden en notities in handen.

De klager in deze zaak stelt dat hij LastPass sinds 2016 gebruikt en regelmatig zijn wachtwoorden wijzigde. Na het datalek werden echter zijn bitcoins gestolen via de private keys die hij in de LastPass-wachtwoordmanager had opgeslagen. "Hoewel de exacte oorzaak(en) van het datalek onduidelijk blijft, is er geen twijfel dat de gedaagde de privégegevens van de klager niet adequaat heeft beschermd en niet de tools heeft gebruikt om dergelijke privégegevens te beschermen", aldus de aanklacht. De klager wil onder andere een vergoeding van de geleden schade.

Bron; Security


Een nieuwe wet rond leeftijdsbeperking maakt dat de Amerikaanse staat Louisiana voortaan vraagt om je digitaal rijbewijs te tonen voor je erotisch materiaal mag bekijken. De wet, 'HB 142' werd vorig jaar goedgekeurd en is sinds dit jaar van kracht. Die stelt dat websites waar meer dan 33,3 procent van de inhoud pornografisch is, leeftijdsverificatie moeten instellen. 

Wie vanuit de Amerikaanse staat naar onder meer Pornhub, Youporn of Redtube surft moet zich identificeren met behulp van de LA Wallet app, een app die bedoeld is om je rijbewijs digitaal bij te hebben. 

Aan de lokale nieuwszender Fox 8 legt Sara Kelley, project manager bij Envoc, dat de app maakte, uit dat LA Wallet je geboortedatum of persoonlijke identificatie niet doorgeeft aan de sites in kwestie. Ze signaleert alleen of je als gebruiker oud genoeg bent.

Dat suggereert dat je nog steeds anoniem bent wanneer je porno wil bekijken, maar de realiteit is dat het bedrijf achter LA Wallet uiteraard wel weet wanneer je als gebruiker toegang vraagt tot een site als Pornhub.

De anonimiteit van het systeem staat of valt dus met hoe goed een bedrijf als Envoc is beveiligd en in welke mate het data deelt met partners of overheden. Wat je specifiek bekijkt wordt in principe niet bijgehouden. Er zijn ook opties om in te loggen zonder de LA Wallet, als je bijvoorbeeld geen inwoner bent, maar die vereisen meer persoonlijke informatie.

Alles bij de bron; DataNews


Twee verdachten zijn in de VS aangeklaagd voor het streamen van swatting-incidenten via gekaapte Ring-deurbellen.

De twee hadden toegang verkregen tot Yahoo-accounts en via die accounts konden ze zien wie een Ring-deurbel had geïnstalleerd. Bij Ring-gebruikers die hetzelfde wachtwoord gebruikten als bij Yahoo, werd vervolgens met een gespooft telefoonnummer de politie naar de woning gestuurd.

Deze swatting leidde in het verleden al meerdere keren tot dodelijke schietpartijen; de FBI waarschuwde er in 2020 al voor.

De twee verdachten hadden ook toegang tot de Ring-deurbellen zelf. Agenten die aan de deur kwamen, duidelijk in beeld dus, werden uitgescholden – de beelden werden live gestreamd op sociale media. De twee verdachten kunnen maximaal vijf jaar celstraf krijgen.

Bron; Cops-in-Cyberspace


Toen Biden Trump opvolgde kondigde hij aan kritisch te zullen kijken naar een ander element uit Trumps ‘extreme vetting’-beleid. Namelijk de bepaling dat bijna 15 miljoen inreizende buitenlanders hun sociale media handles moeten vermelden op hun visumaanvraag. Alles van de afgelopen vijf jaar, van twintig platformen – waaronder Facebook, Twitter en YouTube.

Deze lente werd duidelijk dat de regering-Biden zich, laten we zeggen, heeft bedacht. Het voorstel dat nu op tafel ligt breidt het sociale-mediasleepnet zelfs uit met nog eens 15 miljoen reizigers, dit keer voor mensen die op een ESTA vliegen.

Dat is een versimpelde reisvergunning, gebruikt door vrijwel alle Europeanen die naar de VS reizen. Vooralsnog is het optioneel om de VS je Twitter- of Instagram-account mee te delen, maar dat wordt verplicht als het aan Biden ligt. Met liegen riskeer je „serieuze consequenties”.

Twee advocaten aan het Knight First Amendment Institute te New York, gespecialiseerd in recht en vrijheid van meningsuiting, Anna Diakun en Carrie DeCell vinden de gestage uitbreiding van de surveillance-staat onder Biden zeer zorgwekkend.

Diakun vreest een negatief effect op vrijheid van meningsuiting: dat mensen (bijvoorbeeld activisten) online zelf-censuur toepassen uit angst niet toegelaten te worden tot het land. Waar ze misschien wel asiel willen aanvragen. En wat als landen als Iran of Rusland cyber-aanvallen op de VS uitvoeren om hen deze data te ontfutselen?

Het instituut diende deze zomer een officieel verzoek in om inzage te krijgen in Bidens voorstel. Want waarom breidt hij de surveillance juist uit, in plaats van in te perken, zoals hij had gesuggereerd? Wat is de rechtvaardiging? Op welke effectiviteit beroept de regering zich bij deze uitbreiding van het schenden van de privacy van miljoenen mensen? Het voorkomen van aanslagen? De enige verantwoording die nu in het voorstel staat: het beleid ‘zal het doorlichtingsproces verbeteren en helpen de identiteit van reizigers te bevestigen’. Kennelijk is een paspoort daarvoor niet genoeg.

In augustus plofte het antwoord op het verzoek van de advocaten op de mat: aanvraag afgewezen. De wegen van het Amerikaanse veiligheidsbeleid – Democratisch of Republikeins – zijn ondoorgrondelijk. Met opzet, zo blijkt maar weer.

Frederik Zuiderveen Borgesius, hoogleraar ICT & Recht (Radboud) sluit zich aan bij de Amerikaanse advocaten: als de VS dit doorvoeren is de kans groot dat andere landen volgen. „Het normaliseert griezelige surveillance.” Is er iets dat Nederland of de EU kan ondernemen tegen privacyschendingen bij inreizende Europeanen? „Dat geef ik weinig kans van slagen, je hebt toch elkaars nationale recht en beleid te accepteren.”

Alles bij de bron; NRC


Het Nationaal Cyber Security Centrum (NCSC) acht de kans dat de Amerikaanse overheid persoonsgegevens van Europeanen kunnen inzien op basis van de CLOUD-Act, in de praktijk heel klein. Dat betekent dat het in principe niet uitmaakt of bedrijven hun gegevens opslaan bij Europese of Amerikaanse leveranciers. Of dat ook geldt voor landen met hun eigen extraterritoriale wetgeving, is niet onderzocht.

Het NCSC vroeg aan een advocatenbureau om te onderzoeken hoe groot het risico is dat informatie in Europa kan worden opgevraagd door de Amerikaanse overheid op basis van de CLOUD-Act.

De CLOUD-Act is een acroniem dat staat voor Clarifying Lawful Overseas Use of Data Act. Daarin beschrijft de Amerikaanse overheid de spelregels voor de opslag, het transport en de verwerking van informatie. Tevens legt de wet afspraken vast over gegevensbescherming en informatiebeveiliging. De CLOUD-Act maakt het voor Amerikaanse inlichtingendiensten mogelijk om, via een bevelschrift of dagvaarding, van techbedrijven te eisen dat ze gegevens van gebruikers overhandigen. Het maakt daarbij niet uit of deze data in de VS of daarbuiten zijn opgeslagen.

Alles bij de bron; VPN-gids


 

Google-moeder Alphabet heeft een Amerikaanse zaak over ongeoorloofd gebruik van locatiegegevens van gebruikers geschikt voor in totaal 391,5 miljoen dollar.

Google betaalde de boete aan veertig Amerikaanse staten en schond volgens de procureurs-generaal van de staten jarenlang de wetten 'door consumenten te misleiden over zijn locatiebepalingspraktijken'.

Het bijhouden van locatiedata ligt in de VS extra gevoelig nadat het Amerikaanse Hooggerechtshof in juni het landelijke recht op abortus ongedaan heeft gemaakt. Autoriteiten zouden de gegevens kunnen gebruiken om bijvoorbeeld vrouwen te volgen die daarom kiezen een abortus te laten doen in een andere staat.

Vanwege die zorgen beloofde Google deze zomer gegevens van mensen die op gevoelige locaties waren geweest, waaronder abortusklinieken, automatisch te verwijderen.

Alles bij de bron; RTL-Nieuws


 

De Amerikaanse toezichthouder FTC heeft boekenbedrijf Chegg op de vingers getikt wegens een datalek waarbij de persoonlijke gegevens van veertig miljoen klanten op straat kwamen te liggen. Het ging onder andere om namen, e-mailadressen, met het zwakke MD5-algoritme gehashte wachtwoorden en voor sommige gebruikers ook informatie met betrekking tot onderwijsbeurzen, zoals geboortedata, informatie over het inkomen van de ouders, seksuele geaardheid en handicaps.

Chegg kreeg vanaf eind 2017 met meerdere datalekken te maken waardoor aanvallers toegang tot persoonlijke informatie kregen. Drie van de datalekken werden veroorzaakt door phishingaanvallen.

Het grootste datalek deed zich voor toen een voormalige contractor inloggegevens van Chegg gebruikte voor het downloaden van een database met de gegevens van veertig miljoen klanten. Een deel van de klantgegevens verscheen later op internet. Zo was het aanvallers gelukt om 25 miljoen wachtwoordhashes te kraken en het bijbehorende wachtwoord te achterhalen.

De FTC stelt dat Chegg geen gepaste beveiligingsmaatregelen heeft genomen om klantgegevens te beschermen. De Amerikaanse toezichthouder is van plan om Chegg geen boete op te leggen, maar gaat wel eisen aan het bedrijf stellen.

Alles bij de bron; Security


 

Een Brit is in de Verenigde Staten aangeklaagd voor het beheer van een online marktplaats waarop gestolen inloggegevens en persoonlijke informatie, verboden drugs, botnets, creditcardgegevens, exploits en "hackingtools" werden aangeboden. 

Volgens de aanklacht werden op The Real Deal onder andere inloggegevens voor systemen van de Amerikaanse overheid aangeboden. Het ging dan om systemen van de U.S. Postal Service, de National Oceanic and Atmospheric Administration, de Centers for Disease Control and Prevention, de National Aeronautics and Space Administration (NASA) en Amerikaanse marine.

Verder beweert de openbaar aanklager dat de Brit handelde in gestolen social-securitynummers en dat hij meer dan vijftien gestolen inloggegevens voor Twitter en LinkedIn in bezit had. 

Alles bij de bron; Security


 

Schrijf je in op onze wekelijkse nieuwsbrief!