- Gegevens
- Hoofdcategorie: Internet en Telecom
Gigabyte heeft bios-updates uitgebracht om een 'backdoor' van allerlei moederborden te verwijderen. Eind mei stelde securitybedrijf Eclypsium dat er in een groot aantal modellen moederborden van Gigabyte een backdoor aanwezig is waardoor een aanvaller systemen met malware kan infecteren.
De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om de update-service die onderdeel van het Gigabyte App Center is, een programma voor het updaten van apps, drivers en bios.
Afhankelijk van de configuratie gebeurt het downloaden van de code via het onversleutelde HTTP. maar een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen.
Zo'n 270 modellen moederborden hebben volgens Eclypsium met het probleem te maken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het Nederlandse Cyber Security Centrum heeft een waarschuwing uitgegeven voor een kwetsbaarheid in MOVEit Transfer, een zakelijke tool om bestanden mee te delen. Volgens het NCSC is de kans op misbruik en de mogelijke impact groot.
Het NCSC zegt 'indicaties te hebben' dat de kwetsbaarheid actief wordt misbruikt. Eerder deed beveiligingsbedrijf Rapid7 al melding van de kwetsbaarheid. Dat bedrijf beweert dat er op 31 mei al minstens 2500 MOVEit Transfer-servers vanaf het openbare internet toegankelijk waren. Het is onduidelijk hoelang de kwetsbaarheid al wordt uitgebuit. In Nederland worden er volgens cybersecuritybedrijf Censys 134 MoveIT-servers gebruikt.
De ontwikkelaar van de tool, Progress, heeft inmiddels beveiligingsupdates beschikbaar gemaakt die het beveiligingslek dichten. Het NCSC raadt gebruikers aan om deze zo spoedig mogelijk te downloaden
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Donderdag publiceerde Amnesty International een rapport waarin staat dat de politie het recht op privacy van demonstranten schendt. Ook is er volgens de mensenrechtenorganisatie nauwelijks toezicht op de manieren waarop de politie surveilleert.
De Autoriteit Persoonsgegevens (AP) wil nu dat de politie uitlegt hoe ze met persoonsgegevens omgaat. De organisaties spreken elkaar daar binnenkort over, meldt de privacywaakhond.
In het gesprek, dat plaatsvindt op verzoek van de autoriteit, zal het onder meer gaan over berichten dat de politie vreedzame demonstranten ten onrechte naar hun identiteitsbewijs vraagt. Ook wil de waakhond opheldering over een speciale inlichtingenafdeling van de politie, het Team Openbare Orde Inlichtingen (TOOI). RTL Nieuws meldde onlangs op basis van interne documenten en politiedossiers dat dit team op onwettige manieren informatie verzamelt over onschuldige burgers.
Alles bij de bron; Trouw
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Kamerlid Wybren van Haga wil dat er een identificatieplicht komt voor mensen die een socialmedia-account willen aanmaken. Aanleiding is een oproep van Kamervoorzitter Vera Bergkamp aan Twitter om bedreigende en gewelddadige tweets richting Kamerleden aan te pakken.
"Deelt u de mening dat iedereen zich eerst moet identificeren voordat er een account kan worden aangemaakt, bijvoorbeeld via DigiD?", vraagt Van Haga aan de staatssecretaris. Die moet ook duidelijk maken wat er op dit moment wordt gedaan om (anonieme) bedreigers op sociale media aan te pakken en wat ze aan anonieme bedreigingen op sociale media wil doen.
"Bent u bereid om met andere landen samen ervoor te zorgen dat iedereen zich moet identificeren als zij een account willen aanmaken op een social media platform?", vraagt Van Haga als laatste in zijn Kamervragen. Staatssecretaris Uslu heeft drie weken om met een reactie te komen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De politie heeft verschillende redenen om persoonsgegevens van demonstranten in de Basisregistratie Personen (BRP) op te vragen, zo stelt minister Yesilgoz van Justitie en Veiligheid. Wel moet de politie volgens de minister altijd terughoudend zijn met het opvragen van gegevens van burgers en goed afwegen of dit noodzakelijk en proportioneel is.
Begin maart werd bekend dat de politie gebruikmaakt van de BRP om gegevens over demonstranten en hun familie op te vragen. De BRP bevat persoonsgegevens van alle inwoners van Nederland. Sinds vorig jaar kunnen burgers zien welke organisaties hun gegevens uit de Basisregistratie Personen hebben opgevraagd en waarom. Onderzoeksplatform Investico kreeg met medewerking van activisten inzage in 67 van deze overzichten.
Volgens het onderzoeksplatform worden gegevens van deze personen voordat ze meedoen aan demonstraties alleen opgevraagd bij bijvoorbeeld een fietsboete of als ze zelf aangifte doen. Na deelname aan demonstratie steeg dit enorm. Ook blijkt dat gegevens van familieleden van nooit veroordeelde demonstranten worden opgezocht. De politie liet in een reactie weten dat het doel van de gegevensverzameling ‘zeer algemeen’ wordt vastgelegd, bijvoorbeeld voor het handhaven van de rechtsorde. Er is geen specifiek beleid voor het opvragen van persoonsgegevens van demonstranten....
....De BRP wordt ook geraadpleegd bij de controle van een identiteitsbewijs. Yesilgoz stelt dat de politie altijd terughoudend moet zijn met het opvragen van gegevens van burgers. "De politie zal steeds goed moeten afwegen of de bevraging noodzakelijk en proportioneel is voor de uitvoering van de politietaak. Een bevraging is bijvoorbeeld noodzakelijk en proportioneel als een persoon die bij een vorige demonstratie betrokken is geweest bij verstoringen van de openbare orde bij de aangekondigde demonstratie weer aanwezig zal zijn en mogelijk weer aandacht vereist van de politie", aldus de minister.
Yesilgoz voegt toe dat een bevraging in de BRP persoonsgegevens van de opgevraagde persoon oplevert zoals naam, adres en woonplaats gegevens. Onderdeel van deze persoonsgegevens zijn ook enkele basisgegevens van mensen met wie zij een directe familiale relatie hebben, ouders en kinderen. Bij een bevraging op een persoon in het BRP wordt van deze familieleden ook automatisch een beperkte set gegevens opgehaald, namelijk hun BSN, naam, geslacht en geboortedatum. Dit wordt geregistreerd en is daarmee zichtbaar bij een verzoek tot inzage in de BRP bij de gemeente.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Amnesty International kijkt sinds 2016 hoe in Nederland wordt omgegaan met demonstranten. Uit het meest recente onderzoek blijkt dat de Nederlandse politie het recht op privacy van demonstranten schendt door het gebruik van vaag geformuleerde bevoegdheden voor toezicht.
In het rapport dat donderdag is uitgebracht stelt de organisatie dat de politie "onrechtmatige ID-controles" doet om te achterhalen wie een demonstrant is. Amnesty International wil dat de "ongeoorloofde surveillance van vreedzame demonstranten" stopt en alleen wordt ingezet bij vermoeden van "een serieus strafbaar feit." Naast ID-controles zet de politie bijvoorbeeld ook drones in tijdens demonstraties om toezicht te houden.
Directeur Dagmar Oudshoorn vindt dat de politie te ruime bevoegdheden heeft om zelf te bepalen wie ze controleert tijdens demonstraties. "Hierdoor ontstaat er groot risico op willekeur, discriminatie en machtsmisbruik", waarschuwt ze.
Alles bij de bron; HartvNederland
- Gegevens
- Hoofdcategorie: Databases
Het vertrek van 3 leden uit het dagelijks waterschapsbestuur gaat gepaard met een afscheidsreceptie. De digitale uitnodiging die hiervoor door Hoogheemraadschap Hollands Noorderkwartier (HHNK) is verstuurd, heeft geleid tot een datalek. In het mailtje dat naar alle genodigden is verzonden, zijn de bijna 300 gebruikte e-mailadressen zichtbaar voor de ontvangers.
De misser wordt beschouwd als datalek, omdat in strijd met de privacywetgeving persoonsgegevens in handen van derden terecht zijn gekomen. Het incident is om die reden geregistreerd in het datalekregister van het waterschap.
Alles bij de bron; NHD
- Gegevens
- Hoofdcategorie: Databases
Autofabrikant Toyota heeft alweer door een verkeerd geconfigureerde cloudomgeving de gegevens van klanten gelekt. Het is het tweede datalek in korte tijd waar het bedrijf mee te maken krijgt. Op 12 mei meldde Toyota dat door een verkeerde ingestelde cloudomgeving de locatiegegevens en andere informatie van meer dan twee miljoen klanten bijna tien jaar lang voor iedereen toegankelijk waren.
Vandaag laat de autofabrikant weten dat er opnieuw gegevens van klanten via een verkeerd geconfigureerde cloudomgeving zijn gelekt. Het gaat om informatie over het navigatiesysteem van zo'n 260.000 Japanse klanten die sinds 2015 via internet te vinden was.
Daarnaast zijn ook gegevens van klanten in verschillende landen in Azië en Oceanië gelekt, waaronder naam, adresgegevens, telefoonnummer, e-mailadres, klant-id, voertuigregistratienummer en voertuigidentificatienummer. Deze data was vanaf oktober 2016 publiek toegankelijk.
Alles bij de bron; Security