- Gegevens
- Hoofdcategorie: Internet en Telecom
Vue is getroffen door een datalek. Zowel bankrekeningnummer, voorletter, achternaam, woonadres, geboortedatum en e-mailadres van honderdduizenden klanten bleken via internet vrij toegankelijk voor onbevoegden. Dit aangezien security-keys die de bestanden toegankelijk maakte op de website van de keten bleken te staan.
Programmeur Sten Lankreijer ontdekte het lek en trok hierover aan de bel bij het bedrijf. De website bleek een tweetal kwetsbaarheden te bevatten. Zo was de broncode van de website toegankelijk, wat het mogelijk maakt de werking van de website te analyseren. Hieruit bleek dat een functie om afbeeldingen te verkleinen een kwetsbaarheid bevat, die het mogelijk maakte aanvullende toegang te verkrijgen.
Het tweede beveiligingsproblemen zit in de inlogpagina van de Vue-database. Een aanvaller kon hierop een SQL-injectie uitvoeren, wat het mogelijk maakte ongewilde programmeercode in te zien.
Een woordvoerder meldt dat de problemen inmiddels zijn verholpen.
Alles bij de bron; DutchIT
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een lek bij het Kadaster zorgt ervoor dat iedereen toegang kan krijgen tot het afgeschermde deel van de database van de instantie. Tik een naam in, dan krijg je het bijbehorende adres – ook van politici en beroemdheden.
Door het lek kan je daadwerkelijk een voor- en achternaam invoeren, en krijg je de adresgegevens van die persoon, zolang die een koophuis heeft. In adressen uit het Kadaster wordt ook actief gehandeld in bijvoorbeeld criminele Telegram-groepen. Inmiddels heeft het Kadaster actie ondernomen, op last van de Autoriteit Persoonsgegevens.
Maar het belangrijkste euvel is niet opgelost: het blijft voor iedereen met een professioneel account mogelijk om in de database te zoeken op naam. Uiteindelijk moet die professionele zoekfunctie worden beperkt tot specifieke beroepsgroepen, zoals notarissen en gerechtsdeurwaarders. Daar is echter een wetswijziging voor nodig. Er moet dan worden vastgesteld wie er toegang tot de gegevens mag hebben, waar nu een grijs gebied bestaat.
Alles bij de bron; Bright
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het gebruik van client-side scanning, waarbij chatberichten van burgers worden gecontroleerd, is alleen proportioneel als het om afbeeldingen gaat en niet om tekstberichten, zo stelt demissionair minister Yesilgöz van Justitie en Veiligheid.
Ze reageerde op Kamervragen over de plannen van WhatsApp en Signal om het Verenigd Koninkrijk te verlaten als daar wetgeving wordt aangenomen die chatdiensten verplicht om client-side scanning toe te passen. Daarbij word op de telefoon van de gebruiker de inhoud van zijn chatberichten gecontroleerd en kunnen autoriteiten worden gewaarschuwd wanneer verboden content wordt aangetroffen....
...."Nederland steunt geen Europese voorstellen die end-to-end encryptie onmogelijk maken", antwoordt de minister. "De strijd tegen online seksueel kindermisbruik blijft desalniettemin van essentieel belang, zeker gelet op de grote rol van Nederland als het gaat om het hosten van online materiaal van seksueel kindermisbruik. Ik voel daarom een grote verantwoordelijkheid voor het vormgeven van een effectieve bestrijding van seksueel kindermisbruik, waarbij alle grondrechten worden geëerbiedigd."
Yesilgöz voegt toe dat client-side scanning de enige manier is om chatberichten op misbruikmateriaal te controleren zonder end-to-end encryptie onmogelijk te maken. "Het is daarbij belangrijk dat berichtendiensten – zoals Whatsapp of Signal – niet buiten de reikwijdte van de verordening vallen", aldus de bewindsvrouw.
Experts en burgerrechtenbewegingen hebben herhaaldelijk gesteld dat client-side scanning end-to-end encryptie ondermijnt. Vorige maand meldde de Amerikaanse burgerrechtenbeweging EFF dat client-side scanning een bedreiging voor mensenrechten vormt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De wildgroei aan inlichtingenactiviteiten van de overheid heeft de aandacht getrokken van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, de CTIVD. Emeritus hoogleraar Intelligence and Security Studies aan de Universiteit Utrecht Bob de Graaff vraagt zich in zijn relaas af ‘wie de bewakers bewaakt’.
Nu bevoegdheden van de AIVD en de MIVD deels aan banden zijn gelegd, is er volgens de Graaff tegelijkertijd een ‘wildgroei’ gaande van ongecontroleerde inlichtingenactiviteiten bij de Nederlandse overheid. “De betrokken instanties hebben verreikende bevoegdheden, en hun verzamel- en analyseactiviteiten kunnen ingrijpende gevolgen hebben voor burgers die zich hier niet of nauwelijks tegen kunnen verweren.”
Het feit dat er voor het eerst een rondetafelbijeenkomst is gehouden met wetenschappers, vertegenwoordigers en adviseurs van gemeenten en de inspectie van Justitie en Veiligheid, ziet De Graaff als het begin van erkenning van het probleem.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
In een tijd waarin persoonlijke informatie steeds meer een verhandelbaar goed is geworden, neemt ook de vraag naar privacy en beveiliging toe. De schaduwrijke krochten van het internet, beter bekend als het darkweb, vormen een broeinest voor allerlei soorten illegale activiteiten – inclusief de handel in gestolen persoonsgegevens. Van creditcardnummers tot wachtwoorden en medische dossiers; vrijwel alles kan te koop zijn in deze verborgen uithoeken van het internet.
Zelf controleren of jouw gegevens voorkomen op het darkweb is niet heel eenvoudig. Gelukkig is er een aantal diensten dat jou hierbij kan helpen. Heb je een Google-account en de betaalde Google One-opslagdienst, dan kun je sinds kort ook via die dienst controleren of jouw gegevens voorkomen op het darkweb...
...Het is best handig dat Google een darkweb-scan voor je kan uitvoeren. En op zich is het ook logisch dat je voor een uitgebreidere scanmogelijkheid moet betalen als onderdeel van een Google One-account. Dergelijke functies komen immers ook voor bij beveiligingspakketten.
Voor Google-gebruikers die geen betaald abonnement op Google One hebben is het prettig dat er ook een controle van je gegevens op het darkweb kan plaatsvinden, zij het dan slechts eenmalig.
Alles bij de bron; ID
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers hebben veertig miljoen e-mailadressen die het doelwit van een phishingaanval zijn geworden gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Het is de eerste keer dat e-mailadressen die bij onderzoek naar een phishingaanval zijn aangetroffen met HIBP zijn gedeeld.
De aanval richtte zich met name op Mexicaanse internetgebruikers en probeerde toegang tot bankrekeningen te krijgen.
Volgens onderzoekers van securitybedrijf Perception Point waren de aanvallers erg slordig met hun operationele security, waardoor er onder andere een dataset met e-mailadressen van potentiële slachtoffers gevonden.
Hoe de aanvallers deze e-mailadressen in handen kregen is niet bekend. Perception Point deelde de e-mailadressen met Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Colorado waarschuwt vier miljoen inwoners dat hun privé- en gezondheidsgegevens zijn gestolen via een kwetsbaarheid in MOVEit Transfer. Het gaat om naam, social-securitynummer, geboortedatum, adresgegevens, contactgegevens, informatie over inkomen en klinische en medische informatie, waaronder diagnoses, aandoeningen, laboratoriumuitslagen, medicatiegegevens, behandelgegevens en zorgverzekeringsinformatie.
Het Department of Health Care Policy and Financing (HCPF) van de Amerikaanse staat Colorado heeft een contract met IBM, dat bestanden van het ministerie verwerkt. Bij de aanval werd de MOVEit-server gecompromitteerd die IBM voor de gegevensverwerking gebruikt, waardoor de gegevens van de vier miljoen inwoners zijn gelekt.
Volgens antivirusbedrijf Emsisoft zijn in totaal 668 organisaties door de aanval getroffen, waarbij de gegevens van 46 miljoen individuen zijn buitgemaakt. Dagelijks worden echter nieuwe slachtoffers gemeld.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het Nederlands Forensisch Instituut laat maandag weten dat het Openbaar Ministerie toegang heeft gekregen tot honderden telefoons dankzij het Exfiles-project. Dat gebeurde 'veelal' in onderzoeken naar zware georganiseerde misdaad, schrijft het instituut.
Opsporingsdiensten en bedrijven uit verschillende EU-lidstaten werkten tijdens het project samen aan methodes en technieken om toegang te krijgen tot 'de nieuwste modellen cryptotelefoons'. Het NFI noemt geen concrete telefoons. Ontsleutelde berichten uit dergelijke smartphones konden vervolgens als bewijs worden ingezet in strafzaken. Volgens het NFI gaat dat veelal om bewijs dat niet op andere wijzen verkregen kan worden.
De politie heeft de afgelopen jaren meerdere grootschalige, versleutelde communicatiediensten uit de lucht gehaald, zoals EncroChat, Sky ECC en Exclu. Daarbij werden miljoenen berichten in beslag genomen die worden gebruikt in honderden strafzaken. De gekraakte cryptotelefoons die het NFI aanhaalt onder het Exfiles-project, lijken losse telefoons te betreffen.
Exfiles werd in 2020 gestart en werd gefinancierd onder het EU Horizon 2020-programma. Het project had een looptijd van 36 maanden en is nu ten einde. De Europese Commissie evalueert het project in oktober en bepaalt dan of er een vervolg komt.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Politieke partijen die het systeem uitdaagden werden structureel door de Binnenlandse Veiligheidsdienst (BVD), de voorloper van de AIVD, geïnfiltreerd en afgeluisterd, zo meldt NRC op basis van onderzoek. De BVD hield alle partijen in de gaten, maar dossiers van politici van middenpartijen als CDA, PvdA en VVD bleken beperkt te zijn. Wanneer een politicus of iemand uit zijn omgeving iets opvallends deed werd er een aantekening in het persoonsdossier gezet.
Dossiers van politici uit partijen die het systeem uitdagen, zowel links als rechts, zijn veel uitgebreider. "Deze partijen werden structureel geïnfiltreerd en afgeluisterd, waarbij de politieke koers en interne perikelen werden gemonitord", schrijft het NRC. De BVD wist met welke journalisten politici spraken, was bij vergaderingen en beschikte over de volledige financiële en ledenadministraties. Daarbij maakt het niet uit voor de dienst of vergaderingen in een huiskamer plaatsvonden, een zaaltje in de Tweede Kamer of een vergaderzaal in een hotel.
De AIVD wil niet tegenover de krant laten weten of het politieke partijen structureel bespioneert en infiltreert. Wel zegt de dienst dat haar werkwijze niet te vergelijken is met die van de BVD en ze aan strengere regels en controles gebonden is.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Britse kiescommissie heeft de privégegevens van miljoenen Britse kiezers gelekt, zo is vandaag bekendgemaakt. Aanvallers hadden meer dan een jaar lang toegang tot systemen van de Electoral Commission.
De aanval werd vorig jaar oktober ontdekt, maar verder onderzoek wees uit dat de aanvallers al sinds augustus 2021 toegang hadden. Daarbij hadden ze ook toegang tot kopieën van de kiesregisters, die de kiescommissie voor onderzoeksdoeleinden in bezit heeft.
De kiesregisters die op het moment van de aanval aanwezig waren bevatten de gegevens van iedereen die tussen 2014 en 2022 als kiezer in het Verenigd Koninkrijk was geregistreerd. Het gaat om namen en adresgegevens, alsmede namen van overzeese kiezers.
Alles bij de bron; Security [Thnx-2-Niek]