- Gegevens
- Hoofdcategorie: Databases
Dna-testbedrijf 23andMe heeft wegens een datalek besloten om de wachtwoorden van 14 miljoen gebruikers te resetten. In eerste instantie werd gebruikers aangeraden dit zelf te doen. Vorige week werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.
Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst.
In dit geval zijn ook gebruikers getroffen die van een sterk, uniek wachtwoord gebruikmaakten. Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze namelijk, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Volgens 23andMe is het onderzoek naar de datadiefstal nog gaande, maar heeft het nu besloten om van alle veertien miljoen klanten die het zegt te hebben de wachtwoorden te resetten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Het van oorsprong Amsterdamse informatiebedrijf Bureau van Dijk lekte eind 2021 bijna 28 miljoen e-mailadressen, die nu aan Have I Been Pwned zijn toegevoegd. Bureau van Dijk verzamelt, bewerkt, standaardiseert en verspreidt gegevens over bedrijven.
Twee jaar geleden wisten aanvallers toegang te krijgen tot een 426 gigabyte grote database van het bedrijf, die vervolgens op internet te koop aangeboden. Het betreft honderden miljoenen regels data over bedrijven en personen, waaronder persoonlijke informatie zoals namen, geboortedata.
Volgens Have I Been Pwned gaat het verder om 28 miljoen unieke e-mailadressen, samen met adresgegevens (van vermoedelijk bedrijfslocaties), telefoonnummers en functietitels. Van de 28 miljoen gestolen e-mailadressen was 46 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Dna-testbedrijf 23andMe heeft bevestigd dat aanvallers erin zijn geslaagd om gegevens van gebruikers te stelen en die vervolgens op een forum te koop aan te bieden. Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan kwamen, maar kan er ook worden getest op gezondheidsgerelateerde zaken.
Het bedrijf laat tegenover CyberScoop en Wired weten dat de eigen systemen niet zijn gecompromitteerd, maar de aanvallers door middel van credential stuffing binnen wisten te komen. Bij een dergelijke aanval proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
In de nieuwste posting claimt de aanbieder te beschikken over 'tailored ethnic groupings, individualized data sets, pinpointed origin estimations, haplogroup details, phenotype information, photographs, links to hundreds of potential relatives, and most crucially, raw data profiles' van miljoenen mensen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Een 14-jarige jongen uit Tilburg kreeg donderdagmiddag de schik van zijn leven toen twee mannen plots zijn zolderkamer op wilden lopen. De inbrekers gingen er na hun ontdekking direct vandoor. Hun auto stond op camerabeelden en het kenteken was in het ANPR-systeem gezet.
....De politie controleerde na de aangifte camerabeelden uit de buurt. Daarop zijn de inbrekers en hun vluchtauto goed te zien. Het kenteken van die auto werd in het ANPR-systeem gezet. Niet lang daarna werd de vluchtauto gespot bij Meerkerk en op de A2 bij Nieuwegein.
Daar kregen agenten zicht op de auto, maar toen ze hem aan de kant willen zetten ging de bestuurder er vandoor. Het lukte de agenten uiteindelijk om de auto in het centrum van Utrecht aan de kant te krijgen.
De twee inzittenden sloegen te voet op de vlucht, maar werden al snel gevonden en aangehouden. In de auto troffen agenten de buit van meerdere inbraken aan.
Alles bij de bron; Beveiliging
- Gegevens
- Hoofdcategorie: Nieuws
De Autoriteit Persoonsgegevens is tegen de invulling van het voorstel van de Wet gemeentelijk toezicht seksbedrijven. Met dit wetsvoorstel kunnen seksbedrijven verplicht worden om persoonlijke gegevens van sekswerkers te registreren.
Volgens de privacytoezichthouder is de kans groot dat sekswerkers uit angst voor de registratie, en dus het verlies van privacy, zullen overstappen naar de ongereguleerde branche, waar de kans op uitbuiting en mensenhandel groter is.
In het wetsvoorstel wordt helemaal niet gesproken over dergelijke averechtse effecten, terwijl dat volgens de AP wel verplicht is, onder meer vanuit de AVG. De Autoriteit Persoonsgegevens wil daarom dat het demissionaire kabinet het voorstel beter onderbouwt. Er moet duidelijk gemaakt worden hoe deze averechtse effecten voorkomen dan wel beperkt zullen worden, stelt de AP.
Indien deze punten niet beter worden onderbouwd, adviseert de AP om het wetsvoorstel niet door te zetten.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
De Britse overheid gaat de nationale paspoortdatabase gebruiken voor het opsporen van verdachten van winkeldiefstal, inbraken en andere misdrijven. Beelden van beveiligingscamera's en deurbelcamera's zullen worden vergeleken met de pasfoto's van 45 miljoen mensen die in de database staan.
Ook de biometrische systemen gebruikt voor immigratie en asiel zullen beschikbaar worden gemaakt voor het zoeken naar buitenlandse personen die niet in de paspoortdatabase staan.
De Britse minister voor misdaadbestrijding Chris Philp wil meerdere databases aan elkaar gaan koppelen, zodat politie 'met een druk op de knop' matches kan vinden. Totdat het platform is ontwikkeld zal politie de databases apart moeten doorzoeken.
"Philps plan om Britse paspoortfoto's te veranderen in een grote politiedatabase is Orwelliaans en een grote schending van Britse privacyprincipes. Het houdt in dat meer dan 45 miljoen van ons met paspoorten die onze foto's reisdoeleinden gaven, zonder enige toestemming of mogelijkheid bezwaar te maken, onderdeel van een geheime politie-opstellingen", zegt Silkie Carlo van Big Brother Watch.
Carlo noemt het scannen van de pasfoto's van de Britse bevolking met zeer onnauwkeurige gezichtsherkenningstechnologie, om burgers vervolgens als verdachten te behandelen, een schandalige aanval op de privacy van burgers die totaal geen rekening houdt met de werkelijke redenen waarom mensen tot winkeldiefstal overgaan. "Philp zou zich moeten richten op het repareren van een kapot politiesysteem, in plaats van het ontwikkelen van een geautomatiseerde surveillancestaat." De directeur van Big Brother Watch zegt er alles aan te doen om deze 'Orwelliaanse nachtmerrie' tegen te gaan.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Dat de Vlaamse Belastingdienst (Vlabel) binnenkort via ANPR-camera’s - camera’s met automatische nummerplaatherkenning - kan controleren wie een geldig keuringsbewijs van de autokeuring heeft en wie niet, gaat voor Vlaams parlementslid Maurits Vande Reyde een stap te ver. Hij pleit voor een stop op het gebruik van bijkomende ANPR-toepassingen. Die nieuwe toepassingen “hollen de privacy van de Vlaming uit”, zegt Vande Reyde.
De Vlaamse Belastingdienst (Vlabel) controleert momenteel met ANPR-camera’s enkel op de betaling van de jaarlijkse verkeersbelasting en vanaf december ook om te controleren op een geldig keuringsbewijs bij de autokeuring. Heb je geen geldige keuring, riskeer je dus ook uit het verkeer gehaald te worden.
Voor parlementslid Maurits Vande Reyde is dat “een stap te ver”. Volgens hem zijn die extra toepassingen ook nooit de bedoeling geweest en is er sprake van een zogenaamde ‘function creep’. Dat is het fenomeen waarbij een technologie voor steeds meer doeleinden wordt ingezet.
Alles bij de bron; HLN
- Gegevens
- Hoofdcategorie: Databases
Arriva heeft de gegevens van 195.000 klanten gelekt, zoals e-mailadressen, namen, telefoonnummers en geboortedatums. Het gaat om gegevens van klanten die via een contactformulier contact zochten met Arriva.
"Op dinsdag 19 september 2023 heeft Arriva een datalek geconstateerd. Het gaat om een lek bij één specifiek formulier, namelijk het contactformulier op de website", aldus de vervoerder in een verklaring op de eigen website.
Arriva stelt dat een 'ethische hacker' via e-mail heeft laten weten dat de gegevens op de website waren te achterhalen. "Er waren verder geen eisen of dreigementen. De hacker was anoniem, we weten dus niet wat deze persoon met deze info heeft gedaan."
De vervoerder zegt dat het alle getroffen klanten persoonlijk heeft ingelicht. Daarnaast is het contactformulier tijdelijk offline gehaald. Tevens is er nader onderzoek gedaan naar de omvang en aard van het datalek en de beveiliging hersteld.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws
De Belgische Gegevensbeschermingsautoriteit gaat kijken of de katholieke kerk onterecht de gegevens van 'ontdoopten' bewaart.
Vooralsnog zetten bisdommen een notitie bij de naam van voormalige aanhangers van het katholieke geloof, maar deze personen worden niet uit het register van de kerk verwijderd.
De Geschillenkamer van de Belgische GBA gaat nu kijken of dit eventueel in strijd is met Europese privacywetgeving. Dit doet het controleorgaan van de instantie naar aanleiding van een opiniestuk van Jan De Zutter, voormalig woordvoerder van het Europees Parlement. Volgens hem is het niet voldoende dat alleen genoteerd wordt dat zogenoemde ontdoopten uit de kerkgemeenschap zijn gestapt.
De kerk zegt dat de gegevens niet digitaal of gecentraliseerd opgeslagen worden. De betreffende parochie wordt op de hoogte gebracht, waarna een bevoegd persoon binnen de lokale afdeling van deze kerk in het doopregisterboek een notitie maakt. Het schrappen van een naam zou dan ook het 'vernietigen van een historisch document' zijn, stelt de kerk. Overigens heeft de AVG niet alleen betrekking op digitale gegevens, maar ook op fysieke documenten.
Mocht de GBA hetzelfde concluderen, dan kan de katholieke kerk opgedragen worden de gegevens te verwijderen. Naar verwachting komt de Gegevensbeschermingsautoriteit binnen enkele weken met een beslissing.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
Het recht op privacy staat in nauw verband met andere mensenrechten. Soms is het zelfs de poortwachter voor die andere mensenrechten. We leggen graag uit waarom.
Nu de mogelijkheden van dataverwerking grenzeloos zijn, staat het recht op privacy onder druk. Gegevens die informatie vrijgeven over een persoon worden in enorme hoeveelheden verwerkt, geanalyseerd en geïnterpreteerd. Inzichten en conclusies op basis van die gegevens worden gedeeld en verhandeld. De vele elementen waaruit identiteiten zijn opgebouwd, worden platgeslagen, gecategoriseerd en geconserveerd in doosjes. Om vervolgens een "profiel" te worden. Identiteiten gereduceerd tot stereotypes.
Geautomatiseerde besluitvorming op basis van profilering werd ingeluid met beloften van eenvoud, efficiëntie en effectiviteit. Het tegendeel bleek waar. Inmiddels komen de ravages die hiermee zijn aangericht steeds meer aan het licht. En we zien hoe verschillende fundamentele rechten afbrokkelen, door inbreuken op de persoonlijke levenssfeer.
Verschillende vormen van discriminatie hebben hun oorsprong in profielen. Profielen opgesteld op basis van data waarvan verondersteld werd dat daar aannames mee gedaan konden worden. Aannames over of iemand een grotere kans maakt om fraude te plegen met sociale voorzieningen. Aannames die iemand dus al verdacht maken nog voordat iemand iets verkeerds heeft gedaan. Niet het eigen handelen, maar het veronderstelde handelen van de groep waartoe iemand wordt ingedeeld zijn dus relevant.
Dit allemaal om overheden te helpen fraude op te sporen en te voorkomen. Een belangrijk maatschappelijk doel, maar weegt het zwaarder dan iemands individuele belang?
Grondrechten die gegarandeerd worden in het Handvest van de grondrechten van de Europese Unie, komen in het gedrang. En dat begint met verwerkingen van persoonsgegevens die te vaak onrechtmatig bleken te zijn.
Het is niet voor niks dat het doel van de Algemene verordening gegevensbescherming het beschermen van grondrechten en fundamentele vrijheden is, met name het recht op de bescherming van persoonsgegevens. Door persoonsgegevens te verwerken, door inbreuk te maken op de persoonlijke levenssfeer, kunnen andere grondrechten worden geschonden.
Dat is waarom we het recht op privacy de poortwachter noemen voor andere mensenrechten. Dit is ook waarom we ons ervoor moeten blijven inzetten dat het recht op privacy een fundamenteel recht is.
Alles bij de bron; Bits-of-Freedom