Digitale Schandpaal

Een medewerker van beveiligingsbedrijf ADT heeft zo'n tweehonderd klanten jarenlang via hun eigen beveiligingscamera's bespioneerd. Hij keek meer dan 9600 keer mee met de camera's van klanten, onder andere tijdens intieme momenten. Dat heeft de inmiddels ontslagen werknemer bekend, zo meldt het Amerikaanse ministerie van Justitie.

Tijdens onderhoudswerkzaamheden bij klanten voegde de man geregeld zijn e-mailadres aan de "ADT Pulse" accounts van klanten toe, zonder hen dit te laten weten. Zo kreeg hij real-time toegang tot de camera's in de woningen van klanten. 

Eerder liet ADT zelf al weten dat de man over een periode van zeven jaar bij zo'n 220 klanten in de omgeving van Dallas had gespioneerd. Daarop werd er een massaclaim tegen het beveiligingsbedrijf aangespannen. De ex-medewerker kan een gevangenisstraf van maximaal vijf jaar krijgen.

Alles bij de bron; Security


 

Het zal je maar gebeuren. Guilhermina, die al haar hele leven keihard werkt en nooit in aanraking kwam met justitie, zag zichzelf ineens terug bij Opsporing Verzocht. Op de nationale televisie werd ze onterecht beschuldigd van diefstal en babbeltrucs. Guilhermina was onschuldig en had niets met de zaak te maken...

...In de uitzending van 8 januari 2019 wordt er bij Opsporing Verzocht aandacht besteed aan een babbeltruc. Op beelden is te zien hoe twee mannen eerst de pincode, en daarna de pinpas van een oudere man afhandig maken. En even later worden er beelden getoond van Guilhermina, die geld opneemt bij een pinautomaat...

De voice-over van het programma zegt: "Kijk alstublieft even of u deze vrouw herkent, of wellicht vaker heeft gezien."

En dat is precies wat er gebeurt: Guilhermina wordt herkend. Gelukkig door haar stiefdochter, die ook meteen alarm slaat bij de politie en meldt dat het om een grove fout gaat. Maar ook anderen herkennen Guilhermina. "We kregen heel veel telefoontjes van mensen die ons gezien hadden, of die getipt waren door anderen die mij gezien hadden bij Opsporing Verzocht."

Uiteindelijk besluit het stel om hun vakantie af te breken, en terug te komen naar Nederland. "Ik wilde zo snel mogelijk naar de politie om uit te leggen dat ik onschuldig was en dat ik niets met die zaak te maken had", vertelt Guilhermina. Guilhermina kan al snel aantonen dat ze onschuldig is. 

De politie ziet in dat ze een grote fout heeft gemaakt en biedt direct excuses aan. Maar daar stopt de ellende niet. Een week later is Guilhermina opnieuw in Opsporing Verzocht te zien. In de uitzending wordt gezegd dat ze zeven tips hebben binnengekregen over 'deze vrouwelijke verdachte' en dat ze op basis daarvan is herkend. 

Dat was het moment dat ze advocaat Gert Poot in de arm heeft genomen, die de familie sindsdien bijstaat. 

Voor Guilhermina zijn de gevolgen van haar ongewenste landelijke bekendheid niet te overzien. Bij haar werk wordt haar de toegang tot het gebouw ontzegd. "Mijn toegangspasje is geblokkeerd. Ik zei natuurlijk dat ik onschuldig was en er niets mee te maken had, maar mijn baas zei: laten we de zaak afwachten. Tot die tijd mocht ik niet meer komen werken." 

Twee weken na de eerste uitzending komt er een rectificatie in de uitzending van Opsporing Verzocht. "Daarmee kon ik in ieder geval bij mijn werkgever aantonen dat ik onschuldig was", vertelt ze. "Maar voor de rest was het kwaad al geschied. Veel mensen hebben die rectificatie niet gezien. Voor hen bleef ik verdacht."

Sinds de gewraakte uitzendingen is Guilhermina's leven flink veranderd. Haar contract werd niet verlengd. Dit deed hen mede besluiten om terug te gaan naar Portugal, waar ze op dit moment nog steeds wonen. Het liefst zou Guilhermina weer terug naar Nederland gaan, vertelt ze "maar ik ben ook bang dat we daar nog steeds met de nek worden aangekeken."

Alles bij de bron; RTLNieuws


 

Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich op corona lieten testen bij een commercieel bedrijf zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.

Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.

Het gaat om bijvoorbeeld toeristen die via TUI of Corendon een vakantie boekten, werknemers van voedingsmiddelenconcern Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook het ministerie van Defensie laat militairen die uitgezonden worden testen bij het bedrijf.

Alles bij de bron; NOS


 

Het valt niet te achterhalen of UWV-medewerkers misbruik van klantgegevens hebben gemaakt, zo heeft minister Koolmees van Sociale Zaken laten weten. De minister reageerde op Kamervragen van de PvdA over het nieuws dat privégegevens van miljoenen huidige en voormalige UWV-klanten eenvoudig voor duizenden ambtenaren toegankelijk zijn...

...PvdA-Kamerlid Gijs van Dam wilde van Koolmees weten of er misbruik van klantgegevens is gemaakt en of de minister dit wil onderzoeken. "Door de technisch beperkte logging en monitoring op het systeem Sonar, kan niet achterhaald worden welke medewerkers op welk moment welke gegevens hebben ingezien. Daardoor kan het niet worden uitgesloten dat er ongeoorloofd gebruik is gemaakt van klantgegevens", reageert Koolmees.

Volgens de minister houdt dit in dat medewerkers met toegang tot Sonar mogelijk meer persoonsgegevens hebben verwerkt of hebben ingezien dan strikt noodzakelijk is voor de uitvoering van hun taken. Het UWV is nu bezig om het loggen en monitoren te verbeteren, zodat het wel mogelijk wordt om ongeoorloofd gebruik vast te stellen...

Afsluitend laat de minister weten dat niet alle privacyproblemen en kwetsbaarheden in Sonar met betrekking tot de AVG zijn te verhelpen. Uiteindelijk zal het systeem dan ook na 2025 worden vervangen. In aanloop naar deze vervanging zal het UWV wel stapsgewijs verschillende maatregelen doorvoeren. Zo worden in het eerste kwartaal van dit jaar de gegevens verwijderd van klanten die vijf jaar of langer inactief zijn.

Alles bij de bron; Security


 

Onderzoekers van een Nederlandse IT-beveiliger hebben in de software van veel Zyxel-netwerkapparatuur een hardgecodeerd backdoor-account ontdekt dat administrator-rechten heeft. Dit is net voor kerst gedeeltelijk geopenbaard en gedeeltelijk gefixt. Het eerder bewust achtergehouden wachtwoord, wat niet valt te wijzigen, ligt nu ook op straat. En nog niet alle getroffen Zyxel-producten hebben een fix gekregen.

...Het is niet de eerste keer dat Zyxel op deze manier de fout in gaat, memoreert ZDNet. In 2016 werd ook een backdoor ontdekt in Zyxel-apparatuur die te benaderen was met elke gebruikersnaam in combinatie met het wachtwoord "zyad5001". Dat verhoogde de rechten van de betreffende gebruiker tot toegang tot het root-niveau.

In feite gaat het nu om een nog ernstigere fout van het bedrijf. In 2016 moest een aanvaller nog een accountnaam weten van iemand met toegang tot de apparatuur. Nu staan gebruikersnaam en wachtwoord gewoon in platte tekst in de firmware. In 2016 ging het nog vooral om apparatuur bedoeld voor thuisgebruik terwijl deze misser zit in cruciale apparatuur zoals firewalls en routers voor grote netwerken.

Alles bij de bron; AGConnect


 

Apps van verschillende supermarktketens delen stiekem data met Facebook, zo stelt de Consumentenbond op basis van eigen onderzoek naar de apps en websites van supermarkten. De apps van Coop, Deen, Jumbo, Jan Linders, Picnic en Spar blijken bij een eerste onderzoek te communiceren met Facebook zonder klanten hier 'aan de voorkant' over te informeren. Zo kan Facebook zien wie bij welke supermarkt boodschappen doet, wanneer dat gebeurt en met welke telefoon. Op deze manier delen de apps stiekem informatie met Facebook, aldus de Consumentenbond.

Verder blijkt dat Coop, Dirk, Jan Linders, Plus en Spar kwetsbaar zijn voor bruteforce-aanvallen op gebruikersaccounts. Een aanvaller kan onbeperkt het wachtwoord van klanten raden. Bij zes supermarkten, Coop, Hoogvliet, Jan Linders, Picnic, Plus en Spar, is het mogelijk om te kijken of een opgegeven e-mailadres bij de supers is geregistreerd. Verder plaatsen de websites van Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic en Spar zonder toestemming advertentiecookies.

De Consumentenbond waarschuwde de supermarktketens in november en deed begin december een hertest. De bruteforce-aanvallen blijken nog steeds mogelijk. Volgens de supers kunnen ze vanwege de coronacrisis en kerstdrukte dit probleem pas later oplossen. Coop, Deen, Dirk, Hoogvliet, Jan Linders en Spar blijken nog steeds zonder toestemming advertentiescookies te plaatsen. Supermarktketens Deen, Jumbo, Jan Linders en Spar sturen nog steeds data door naar Facebook. Jumbo zegt hier in het eerste kwartaal van 2021 mee te stoppen.

De apps en websites van Albert Heijn, Aldi en Lidl houden zich wel netjes aan de privacyregels. Ook zijn deze voldoende beveiligd, zo stelt de Consumentenbond. "De slechte beveiliging en de manier waarop de supermarkten met de privacy van hun klanten omspringen geeft al te denken, maar de laconieke reactie op onze bevindingen is ronduit zorgelijk", zegt Sandra Molenaar, directeur Consumentenbond.

Bron; Security


 

Het gaat om twee afzonderlijke boetebesluiten. In het kader van het ene boetebesluit krijgt Google LLC 60 miljoen euro boete, waar voor Google Ireland nog eens een boete van 40 miljoen euro bijkomt. Het andere boetebesluit gaat over een boete van 35 miljoen euro voor Amazon Europe Core.

In het geval van Google constateerde de CNIL op 16 maart tijdens een online onderzoek op Google.fr dat er automatisch cookies op de computer van een bezoeker van deze site werden geplaatst zonder dat er ook maar enige handeling van de bezoeker voor nodig was. Meerdere van deze cookies werden voor advertentiedoeleinden gebruikt, stelt de toezichthouder.

Bij Amazon gaat het om een soortgelijke situatie. De Franse privacywaakhond voerde tussen 12 december 2019 en 19 mei 2020 diverse onderzoeken uit op de website Amazon.fr. Daarbij constateerde de CNIL dat er automatisch cookies op de computer van een bezoeker werden geplaatst zonder dat de bezoeker daar invloed op had. Ook hier werden verscheidene van deze cookies voor advertentiedoeleinden gebruikt, meldt de toezichthouder.

De toezichthouder neemt het Google onder meer kwalijk dat het mechanisme om advertentiecookies te blokkeren, deels niet goed werkte. Gebruikers konden advertentiepersonalisatie weliswaar deactiveren, maar een van de advertentiecookies werd alsnog opgeslagen op de computers van de gebruikers en bleef actief.

Alles bij de bron; Tweakers


 

De Nationale Politie heeft een programma ontwikkeld dat het lekken door agenten van vertrouwelijke politie-informatie naar criminelen moet tegengaan. Het gaat om een methode die „opvallend zoekgedrag binnen de politiesystemen in een vroegtijdig stadium moet detecteren”. Alle politiemedewerkers zijn afgelopen vrijdag via het intranet geïnformeerd over de plannen. 

Vanaf het voorjaar wordt het computerprogramma geleidelijk in gebruik genomen, eind volgend jaar wordt „het zoekgedrag van alle 65.000 medewerkers gemonitord”. Afgelopen anderhalf jaar heeft bij de politie Amsterdam het controlesysteem ‘Atypische signalen’ al proefgedraaid.

De politie zegt „oneigenlijk gebruik van politie-informatie” op alle niveaus aan te willen pakken. Als voorbeelden worden genoemd: uit voorzorg het nieuwe vriendje van je dochter natrekken, uit nieuwsgierigheid het strafblad van een bekende Nederlander bekijken of tegen betaling informatie lekken over lopende onderzoeken.

Alles bij de bron; NRC


 

In en rond Meppel wordt ene Bianca naar eigen zeggen al acht maanden bedreigd naar aanleiding van een foto van Bianca en haar verloofde op facebook. 

In de tekst daaronder, vol spelfouten, staat dat ze ouderen van hun sieraden en geld beroven, inclusief werkwijze. Degene die het bericht heeft geplaatst vraagt of iedereen het op Facebook wil delen. Inmiddels is de teller al boven de 50.000 delers uitgestegen.

Pogingen om de foto offline te krijgen, mislukten telkens, ondanks pogingen de foto bij facebook te rapporteren. Bij de politie deed ze meerdere keren aangifte maar ‘daar hoor ik niks meer over’. Bianca is ten einde raad. 

Alles bij de bronnen; Cops-in-Cyberspace & SteenwijkerCourant


 

GGD-medewerkers hebben ongeoorloofd de dossiers ingezien van zeker twee bekende Nederlanders die een coronatest lieten doen. Eén van hen is de Rotterdamse burgemeester Ahmed Aboutaleb, blijkt uit informatie die het AD kreeg toegestuurd. 

In de dossiers die zijn ingezien staan onder meer BSN-nummers, 06-nummers en thuisadressen. 

De GGD meldt dat er melding van inbreuk is gedaan bij de Autoriteit Persoonsgegevens. ,,GGD GHOR Nederland heeft de personen in kwestie benaderd en geïnformeerd over het feit dat hun dossier is ingezien. Tegen de medewerkers die deze inbreuk hebben gepleegd is actie ondernomen.”

De privacyschendingen zijn gepleegd in de database CoronIT, een database met uitslagen en privégegevens van mensen die een coronatest willen ondergaan. Maar liefst 15.000 GGD’ers en medewerkers van de helpdesk en corona-afsprakenlijn hebben toegang tot dat systeem. 

Het is niet de eerste keer dat er wat mis gaat met CoronIT, het systeem waarin de testuitslagen van coronatests in te zien zijn. Door een storing in de database raakten GGD’en en het RIVM eerder belangrijke gegevens van het bron- en contactonderzoek kwijt. ,,Dit is een hoofdpijndossier, we balen ervan’’, erkende een medewerker van het RIVM destijds. 

Alles bij de bron; AD


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha