- Gegevens
- Hoofdcategorie: Internet en Telecom
De Gegevensbeschermingsautoriteit vraagt dat de Raad van State een Ministerieel Besluit vernietigt dat de Rijksdienst voor Sociale Zekerheid (RSZ) uitgebreide bevoegdheden geeft om persoonlijke gegevens met andere overheidsdiensten te delen in het kader van de bestrijding van het coronavirus. Volgens de Gegevensbeschermingsautoriteit gaat het MB te ver en is ze ook niet vooraf door de regering geraadpleegd.
Het Ministerieel Besluit dateert van 12 januari en wil vooral mensen aanpakken die uit het buitenland zijn teruggekomen en tegen de voorschriften in weer aan het werk zijn, in plaats van in quarantaine te gaan. "Daarvoor worden de gegevens van het Passenger Locator Form (PLF) naast de tewerkstellingsgegevens gelegd", legt David Stevens van de Gegevensbeschermingsautoriteit uit aan VRT NWS.
"Daarvoor kunnen we nog begrip opbrengen, maar het Ministerieel Besluit maakt het ook mogelijk dat de gegevens met andere overheidsdiensten worden gedeeld." Stevens heeft het onder meer over de politie en de lokale overheden.
Alles bij de bron; VRT
- Gegevens
- Hoofdcategorie: Internet en Telecom
1. Waarom gebruiken niet gewoon WhatsApp?
"Het probleem zit bij de metadata, de extra informatie die aan de berichten hangt", vertelt computerwetenschapper Jeroen Baert. "Facebook weet misschien niet wat er in die berichten staat, maar wel wie ze stuurt, om hoe laat, hoe vaak en naar wie. Als de politie met een gerechtelijk bevel naar Google of Facebook stapt, worden die gegevens vrijgegeven, want zij zijn gebonden aan het recht."
"End-to-end-encryptie (versleuteling waarbij enkel zender en ontvanger de inhoud kunnen lezen, red.) is bovendien maar zo veilig als de uiteindes. Als je een crimineel bij wijze van spreken een telefoon uit zijn handen slaat, dan kan je meelezen", zegt Baert. Cryptofoons of superbeveiligde telefoons, zoals die van Sky ECC, bieden extra bescherming tegen allerlei mogelijke manieren waarop iemand toch zou kunnen meelezen.
2. Zijn alternatieve berichtenapps als Signal en Telegram beter beveiligd?
"Signal wordt gezien als de gouden standaard van beveiligde apps", zegt Baert. "Zij houden echt het minimum minimorum bij van wat nodig is om berichten te versturen. "Telegram is een beetje een raar beestje. Daar is de end-to-end-encryptie niet standaard, je moet die aanzetten. Het bedrijf is van Russische oorsprong en er is weinig bekend over welke beveiliging ze precies gebruiken. Ze doen daar nogal mysterieus over."
3. Bestaat er eigenlijk zoiets als "onkraakbaar"?
"Hoe de politie Sky ECC heeft gekraakt, weten we niet exact. Bij EncroChat (een gelijkaardig bedrijf als Sky ECC dat vorig jaar werd gehackt door de politie, red.) is bijvoorbeeld de updateserver van de telefoons gehackt. Die server werd overgenomen, waardoor de sleutels in handen kwamen van de politie. Eigenlijk heb je de encryptie dan vervangen, niet gekraakt. Mogelijk is hier iets gelijkaardigs gebeurd. Het kan ook dat er ergens een fout is gemaakt bij de implementatie van de versleuteling."
Alles bij de bron; VRT
- Gegevens
- Hoofdcategorie: Internet en Telecom
Minister Grapperhaus van Justitie en Veiligheid gaat deze maand nog in gesprek met privacyorganisaties over het onderzoek naar een aftapverplichting voor WhatsApp en andere Over The Top-communicatiediensten (OTT). Dat laat de minister in een brief aan de Tweede Kamer weten.
WhatsApp, Telegram, Signal en andere chatdiensten kennen op dit moment geen aftapverplichting en zijn daarmee niet aftapbaar voor opsporings-, inlichtingen- en veiligheidsdiensten. "Deze verplichting zou betekenen dat OTT-diensten dezelfde inrichtings- en medewerkingsverplichtingen krijgen als telecommunicatiediensten", stelt Grapperhaus. Volgens de minister is het onderscheppen van communicatie een belangrijke bevoegdheid in de opsporing van zware en of ernstige criminaliteit en de bescherming van de nationale veiligheid.
Daarbij moet ernaar verschillende belangen worden gekeken, zoals de bescherming van fundamentele rechten van privacy en het communicatiegeheim, maar ook de belangen van opsporings-, inlichtingen- en veiligheidsdiensten, merkt Grapperhaus op. "We moeten een oplossing vinden die de bovengenoemde belangen tegelijkertijd waarborgt alsook in evenwicht brengt."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
CoronaCheck is een nieuwe app van de overheid die dan dient een "sein veilig" te kunnen geven voor bezoek aan bijvoorbeeld evenementen. De app toont middels een QR-code op het smartphonescherm dat er vanuit deze gebruiker een minimale kans is op verspreiding van het coronavirus. De gebruiker heeft namelijk ofwel een negatieve uitslag van een coronatest gehad in de afgelopen 48 uur, óf de gebruiker is gevaccineerd.
Om misbruik van de app te voorkomen, worden er persoonsgegevens toegevoegd aan de app. Een woordvoerder van het ministerie van Volksgezondheid laat aan AG Connect weten dat het gaat om de eerste letter van de voornaam, de eerste letter van de achternaam, de geboortedag en -maand, de datum en tijd waarop de test werd afgenomen, en een digitale handtekening.
Al deze gegevens worden in een QR-code gecodeerd. De controleur bij de toegangspoort voor een evenement scant die QR-code met de CoronaCheck Scanner-app, vertelt de woordvoerder. "Bij de controle wordt de geldigheid van de digitale handtekening gecontroleerd in combinatie met de verstreken tijd vanaf het moment waarop de test is afgenomen. Als er een geldig testbewijs is, wordt in het scherm van de Scanner-app een groen scherm getoond met daarbij de eerste letter van de voornaam, eerste letter van de achternaam, geboortedag en geboortemaand, zodat de controleur dit kan vergelijken met het legitimatiebewijs."
Waar het testbewijs zoal wordt gebruikt, wordt nergens bijgehouden.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een groep hackers zou toegang hebben gekregen tot 150.000 beveiligingscamera's van de Amerikaanse start-up Verkada. Daardoor konden ze live meekijken in ziekenhuizen, gevangenissen, politiebureaus, scholen en bedrijven.
Persbureau Bloomberg kreeg diverse beelden van de hackers toegestuurd. Op camerabeelden die het persbureau mocht inzien was te zien hoe acht zorgmedewerkers een patiënt aan een bed vastbonden in een psychiatrisch ziekenhuis in Florida.
De hackers zeggen dat ze ook mee konden kijken in een gevangenis in Alabama. Daar zou gezichtsherkenning zijn gebruikt om gevangenen te volgen. Ook konden ze meekijken tijdens verhoren op verschillende politiebureaus.
De groep zou toegang hebben tot het volledige videoarchief van alle Verkada-klanten. Ze verklaren de start-up te hebben gehackt om de gebrekkige beveiliging van het bedrijf aan te willen tonen.
Bloomberg heeft Verkada op de hoogte gesteld van het lek. Het bedrijf zegt het incident te onderzoeken. "We hebben alle interne beheerdersaccounts uitgeschakeld om ongeautoriseerde toegang te voorkomen", meldt een woordvoerder.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
De persoons- en adresgegevens van circa negentienduizend gedupeerden met aardbevingsschade aan hun huis in Groningen zijn door een groot datalek bij de Nederlandse Aardolie Maatschappij (NAM) gelekt.
Het overgrote deel van de gegevens die van deze groep gelekt zijn, zijn NAW-gegevens (naam, adres en woonplaats), aldus de woordvoerder. In totaal zijn er van 120 mensen privacygevoelige gegevens zoals e-mailadressen, telefoonnummers of bankgegevens gelekt. De mensen van wie bankgegevens zijn buitgemaakt zijn gebeld door de NAM.
Het bedrijf werd vorige week op de hoogte gebracht van het lek in de software die de NAM gebruikt voor het versturen van grote bestanden, waaronder documenten met gegevens over de afhandeling van de door de gedupeerden ingediende waardedalingsclaims.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een niet goed werkend script zijn de persoonsgegevens van 18.000 inburgeraars gelekt, zo heeft minister Van Engelshoven van Onderwijs laten weten. Inburgeraars kunnen een verzoek doen om te vragen wat hun buitenlandse diploma in Nederland waard is.
De huidige leverancier van dit digitale aanvraagsysteem is een Nederlands bedrijf met een vestiging in Servië, waar de testers en ontwikkelaars werken. Met deze leverancier heeft overheidsinstantie Nuffic een verwerkersovereenkomst afgesloten met de verplichting dat persoonsgegevens worden geanonimiseerd, omdat buiten de Europese Unie geen persoonsgegevens mogen worden verwerkt. De huidige leverancier gebruikte een script voor het anonimiseren van persoonsgegevens voordat die in de testomgeving komen. Nu blijkt dit script niet goed te hebben gewerkt.
De nieuwe leverancier van het diplomawaarderingssysteem ontdekte vorige maand bij de overdracht van de testdatabase dat er persoonsgegevens in stonden. Het betreft alle persoonsgegevens van diplomawaardering voor inburgeraars sinds de start van de applicatie op 1 februari 2017. Het gaat om zo'n 18.000 personen. De persoonsgegevens hebben sinds 11 augustus 2020 in de testomgeving gestaan.
Nuffic heeft het datalek bij de Autoriteit Persoonsgegevens gemeld en het meldpunt datalekken van DUO. De huidige leverancier heeft de persoonsgegevens uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbestanden ook verwijderd, waaronder uit de back-ups. Alle gedupeerde personen zijn gisteren ingelicht, zo stelt de minister.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Gezellig kletsen in Clubhouse-rooms: een miljoen Nederlanders doet het inmiddels. De audio-app neemt het intussen niet zo nauw met de privacy – van gebruikers, maar ook van mensen die zelf niet op Clubhouse zitten...
...Waar zoekt Clubhouse de grenzen van het toelaatbare nog meer op?
Als een gebruiker Clubhouse toegang geeft tot zijn of haar contactenlijst, uploadt de app die gegevens naar een eigen server. Daar worden persoonlijke profielen opgebouwd van de contacten – mensen die dus zelf Clubhouse helemaal niet gebruiken. Volgens Eskens is die werkwijze een inbreuk op de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet. De app mag niet zomaar een database opbouwen met contactpersonen van Clubhouse-gebruikers.
Clubhouse gebruikt allerlei psychologische trucjes om gebruikers akkoord te laten gaan met het delen van hun contactenlijst. Zo is het woord ‘ja’ dikgedrukt en in een groter lettertype opgemaakt, en wijst een emoji van een vinger op de ja-optie.
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Internet en Telecom
In twaalf minuten raakte Sven zijn telefoonnummer en zijn digitale identiteit kwijt, hij werd slachtoffer van een sim-swap. Foutje van de helpdesk van T-Mobile, die door corona de gebruikersaccounts minder goed beveiligde.
Sim-swaps zijn een bekend fenomeen met grote impact. Vaak hebben cybercriminelen het op bitcoins gemunt – ze selecteren hun slachtoffers uit gestolen databases van cryptomarktplaatsen. In tegenstelling tot een gewone bankrekening kun je zo’n crypto wallet leegtrekken en anoniem blijven. Pakkans: nihil.
Svens verhaal toont de kwetsbaarheid van je digitale identiteit, dikwijls gekoppeld aan een telefoonnummer. „Mijn identiteit lag al half op straat. Nou hebben ze ook nog mijn email-account en een kopie van mijn paspoort. Iemand kan zich volledig voordoen als mij”, zegt Sven tijdens een gesprek met zijn provider. „Ik begrijp het”, luidt de reactie, „maar T-Mobile kan er niets aan doen dat iemand uw nummer heeft overgenomen.”
- Gegevens
- Hoofdcategorie: Internet en Telecom
Microsoft maakte woensdag bekend dat er nieuwe zerodaykwetsbaarheden waren gevonden in de onpremiseversie van Exchange Server. Er waren gevallen bekend uit de Verenigde Staten dat dit lek actief werd misbruikt.
De hackers hebben het vooral gemunt op bedrijven, universiteiten en onderzoeksinstituten die zich richten op zaken die uiteenlopen van besmettelijke ziekten tot militaire techniek. De hackers hadden niet alleen toegang tot mails door de bugs, maar installeerden ook eigen software waarmee ze later weer toegang tot computers konden krijgen.
NCSC heeft nu aanwijzingen dat de zerodaykwetsbaarheid ook in Nederland is gebruikt om bij geheime informatie te komen. De dienst raadt niet alleen aan snel de patch aan te brengen maar ook te controleren of misbruik heeft plaatsgevonden. Bij welk bedrijf of instelling hackers binnen zijn gekomen door de bugs te misbruiken, maakt het NCSC niet bekend.
Alles bij de bron; AGConnect