Data vormen de ruggengraat van het businessmodel van heel wat onlineplatformen.
“Kleding is maar een wortel die Zalando voorhoudt, om data te verzamelen.” Bol.com noemt data “het nieuwe goud”. De Zweedse kledinggigant H&M wil niet langer alleen een modebedrijf zijn, maar ook een databedrijf. De Chinese nieuwkomer Temu verleidt massaal TikTok’ers door producten aan te bieden waar ze niet voor hoeven te betalen, behalve met hun data. Die worden gebruikt om het gedrag van consumenten beter te begrijpen en te achterhalen waarin ze geïnteresseerd zijn.
“Privacy is dood. Mark Zuckerberg heeft met zijn Facebook de wereld overgenomen. Google houdt al onze zoekopdrachten nauwgezet bij.” Zo begint privacyactivist Matthias Dobbelaere- Welvaert zijn boek Ik weet wie je bent en wat je doet.
Verderop maakt hij de vergelijking met de winkelstraat, waar camera’s hangen die de privacy schenden, en met de vroegere kruidenier in een dorp, die ook de geheimen van zijn klanten kende aan de hand van de hoeveelheid snoepgoed of alcohol in hun winkelmandje. Het grote verschil? “De kruidenier verkocht je data niet aan de eerste de beste die er wat euro’s voor overhad. Dat gebeurt digitaal wel. Het is voor marketeers en bedrijven héél interessant exact te weten waar hun mogelijke klanten zitten.”
De privacy-expert raadt af op Google op zoek te gaan naar nieuwe producten en wijst ook platformen als Amazon, Zalando, Coolblue en bol.com met de vinger.
“Amazon is niet groot geworden omdat het leuke boeken heeft, maar omdat zijn datagedreven aanpak de standaard is geworden op het internet. Koop je regelmatig iets op Amazon, dan weet het platform meer over jou dan je eigen moeder.”
Alles bij de bron; Knack [inloggen noodzakelijk] [scan]
TikTok registreert bezoeken aan websites buiten het sociale-mediaplatform met behulp van een zogenaamde pixel, een stukje programmacode. TikTok gebruikt deze informatie om gericht te adverteren. Uit eerder onderzoek van BNR bleek al dat meer dan duizend Nederlandse websites zo gegevens over hun bezoekers met TikTok delen.
De techniek is niet verboden zolang de gebruiker toestemming geeft. Andere grote techbedrijven gebruiken de methoden al jaren, maar waar Meta en Google transparant zijn over de gegevens die ze zo verzamelen, hield TikTok die tot deze week geheim. Gebruikers die om inzage in de verzamelde gegevens verzochten kregen te horen dat ze niet bestonden. Moederbedrijf ByteDance schond hiermee het meest elementaire recht van gebruikers, zeggen experts tegen BNR.
In Europese en Nederlandse wetgeving is vastgelegd dat gebruikers altijd hun eigen persoonlijke gegevens mogen zien. Dit zogenaamde 'recht op inzage' vormt het fundament onder alle andere privacywetgeving, zegt Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden. 'Als je een verzoek doet, moet TikTok een volledig overzicht geven van de persoonsgegevens die ze over jou hebben', zegt Zwenne.
Bij de grootste techbedrijven loopt het aantal gebruikers in de honderden miljoenen. Inzage in persoonlijke gegevens is hier daarom volledig geautomatiseerd. TikTok kent ook zo'n automatische inzagefunctie.
BNR vroeg daarmee over de loop van vier maanden voor vijf accounts de geassocieerde persoonsgegevens op. Het bezoek aan websites buiten TikTok ontbrak elke keer. Het tekstbestand dat de gegevens zou moeten bevatten is leeg. 'You have no data in this section', viel er te lezen.
Om er zeker van te zijn dat de gegevens wel geregistreerd werden, maakte BNR een website aan met daarop een TikTok-pixel. In het advertentiesysteem viel te zien dat TikTok elk bezoek aan de site vastlegde. Ook kregen de accounts na een bezoek aan een webpagina met een pixel zogenaamde 'retargetingcampagnes' geserveerd, exclusief voor sitebezoekers. Een gebruiker werd bijvoorbeeld na een bezoek aan jobs.jumbo.nl op TikTok bestookt met openstaande vacatures bij de supermarkt.
Volgens Gunes Acar, universitair docent Digital Security aan de Radboud Universiteit, lijdt het geen twijfel dat TikTok zijn gebruikers volgt buiten het platform. 'TikTok pitcht deze dienst ook zo naar haar adverteerders.'
BNR informeerde begin september voor het eerst over de heimelijke dataverzameling bij TikTok. Het bedrijf ging niet inhoudelijk in op vragen, maar een woordvoerder liet telefonisch weten dat de app was aangepast. Sinds vorige week kunnen gebruikers hierdoor met terugwerkende kracht alsnog hun gegevens opvragen. Zo valt te zien dat TikTok de data minstens sinds mei vorig jaar registreerde en mogelijk nog langer.
Alles bij de bron; BNR
Netwerkfabrikant D-Link heeft bevestigd dat aanvallers gegevens een systeem hebben gestolen nadat een medewerker slachtoffer van een phishingaanval werd. Op zondag 1 oktober verscheen op een forum een bericht van iemand die claimde bij D-Link miljoenen regels aan klantgegevens te hebben buitgemaakt, alsmede broncode van de D-View netwerkbeheersoftware.
In een reactie bevestigt D-Link het datalek, maar stelt dat het om oude registratiegegevens van een oud systeem gaat, dat sinds begin 2015 end-of-life is. De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, bedrijfsnaam, telefoonnummer, registratiedatum en laatste inlogdatum.
In totaal gaat het om zevenhonderd records van gebruikers die 'vermoedelijk' niet meer actief zijn. Waarom D-Link een al acht jaar niet meer ondersteund systeem gebruikte laat het bedrijf niet weten.
Alles bij de bron; Security
Dna-testbedrijf 23andMe is in de Verenigde Staten door gebruikers aangeklaagd wegens een gevoelig datalek waarbij hun persoonlijke gegevens werden gestolen.
Meerdere personen zijn inmiddels een massaclaim tegen het bedrijf gestart. Begin deze maand werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.
Volgens de personen die de rechtszaken zijn gestart heeft 23andMe geen gepaste maatregelen genomen om de gegevens van gebruikers te beschermen.
Daarnaast heeft het bedrijf niet bekendgemaakt wanneer het datalek zich precies voordeed en over welke periode zich het heeft voorgedaan.
Ook is niet bekendgemaakt hoeveel gebruikers zijn getroffen en wat voor maatregelen die zouden moeten nemen om zich te beschermen. Daardoor zouden gebruikers risico op identiteitsdiefstal lopen, aldus de klagers.
Alles bij de bron; Security
De Britse financiële toezichthouder FCA heeft de Britse tak van kredietbeoordelaar Equifax een boete van omgerekend 12,8 miljoen euro opgelegd wegens een grootschalige datalek bij het Amerikaanse moederbedrijf, waarbij ook data van Britse klanten werd gestolen.
Volgens de FCA had het datalek volledig voorkomen kunnen worden en behandelde de Britse tak de relatie met Amerikaanse moederbedrijf niet als outsourcing.
....het moederbedrijf past geen netwerksegmentatie toe. Hierdoor konden de aanvallers nadat ze de databaseservers hadden gecompromitteerd toegang tot andere delen van het netwerk krijgen. Tevens had de kredietbeoordelaar geen intrusion detectiesystemen voor de legacy databases geïnstalleerd en bleek het bedrijf inloggegevens voor het netwerk, wachtwoorden, social security nummers en andere gevoelige consumentengegevens in plaintext te bewaren.
Bij de aanval werden de persoonlijke gegevens van meer dan 147 miljoen Amerikanen gestolen, alsmede 15 miljoen Britten. Het ging om namen, geboortedata, telefoonnummers, gedeeltelijke creditcardgegevens en adresgegevens. ...
De Britse tak ontdekte pas zes weken na de ontdekking van de aanval door het Amerikaanse moederbedrijf dat er gegevens van Britse consumenten waren gestolen. Verder stelt de FCA dat de Britse tak in haar verklaringen een onjuist aantal getroffen consumenten noemde en niet goed omging met klachten van consumenten.
Alles bij de bron; Security
De Franse bank BNP Paribas is getroffen door een omvangrijk datalek bij zijn Nederlandse vastgoedtak. Daarbij zijn gigabytes aan gevoelige persoonsdata en bedrijfsgeheimen, van zowel de bank zelf als van honderden bedrijven, in handen gekomen van een zelfbenoemde klokkenluider.
Uit vervolgonderzoek blijkt nu dat het lek veel groter is dan zich eerder dit jaar liet aanzien. Er zitten vertrouwelijke gegevens tussen van grote bedrijven als Ahold Delhaize en private-equityfirma Lone Star. Ook gegevens over vastgoedbeleggers en banken die BNP Paribas Real Estate Netherlands inschakelden als beheerder, taxateur of makelaar bij aan- of verkoop van kantoren en woningen waren onderdeel van het lek.
Alles bij de bron; FD
Air Europa meldt dat er bij een cyberaanval creditcardgegevens van klanten gestolen zijn zo heeft het bevestigd tegenover Reuters, maar laat niet weten om hoeveel potentiële slachtoffers het gaat.
Getroffenen wordt aangeraden om een nieuwe creditcard aan te vragen. Ook wordt slachtoffers in de e-mail nadrukkelijk afgeraden om hun pincode aan partijen te geven die hiernaar vragen. Onder meer creditcardnummers, verloopdata en de 3-cijferige verificatiecodes op de achterkant van creditcards werden door het datalek geopenbaard.
Het is niet voor het eerst dat Air Europa betrokken is bij een dergelijk incident. In 2021 kreeg het bedrijf nog een AVG-boete van 600.000 euro voor het veel te laat melden van een datalek waarbij de creditcardgegevens van 489.000 klanten geopenbaard werden.
Alles bij de bron; Tweakers
Dna-testbedrijf 23andMe heeft wegens een datalek besloten om de wachtwoorden van 14 miljoen gebruikers te resetten. In eerste instantie werd gebruikers aangeraden dit zelf te doen. Vorige week werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.
Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst.
In dit geval zijn ook gebruikers getroffen die van een sterk, uniek wachtwoord gebruikmaakten. Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze namelijk, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Volgens 23andMe is het onderzoek naar de datadiefstal nog gaande, maar heeft het nu besloten om van alle veertien miljoen klanten die het zegt te hebben de wachtwoorden te resetten.
Alles bij de bron; Security
Het van oorsprong Amsterdamse informatiebedrijf Bureau van Dijk lekte eind 2021 bijna 28 miljoen e-mailadressen, die nu aan Have I Been Pwned zijn toegevoegd. Bureau van Dijk verzamelt, bewerkt, standaardiseert en verspreidt gegevens over bedrijven.
Twee jaar geleden wisten aanvallers toegang te krijgen tot een 426 gigabyte grote database van het bedrijf, die vervolgens op internet te koop aangeboden. Het betreft honderden miljoenen regels data over bedrijven en personen, waaronder persoonlijke informatie zoals namen, geboortedata.
Volgens Have I Been Pwned gaat het verder om 28 miljoen unieke e-mailadressen, samen met adresgegevens (van vermoedelijk bedrijfslocaties), telefoonnummers en functietitels. Van de 28 miljoen gestolen e-mailadressen was 46 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
Dna-testbedrijf 23andMe heeft bevestigd dat aanvallers erin zijn geslaagd om gegevens van gebruikers te stelen en die vervolgens op een forum te koop aan te bieden. Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan kwamen, maar kan er ook worden getest op gezondheidsgerelateerde zaken.
Het bedrijf laat tegenover CyberScoop en Wired weten dat de eigen systemen niet zijn gecompromitteerd, maar de aanvallers door middel van credential stuffing binnen wisten te komen. Bij een dergelijke aanval proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
In de nieuwste posting claimt de aanbieder te beschikken over 'tailored ethnic groupings, individualized data sets, pinpointed origin estimations, haplogroup details, phenotype information, photographs, links to hundreds of potential relatives, and most crucially, raw data profiles' van miljoenen mensen.
Alles bij de bron; Security