- Gegevens
- Hoofdcategorie: Databases
Dna-testbedrijf 23andMe heeft wegens een datalek besloten om de wachtwoorden van 14 miljoen gebruikers te resetten. In eerste instantie werd gebruikers aangeraden dit zelf te doen. Vorige week werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.
Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst.
In dit geval zijn ook gebruikers getroffen die van een sterk, uniek wachtwoord gebruikmaakten. Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze namelijk, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Volgens 23andMe is het onderzoek naar de datadiefstal nog gaande, maar heeft het nu besloten om van alle veertien miljoen klanten die het zegt te hebben de wachtwoorden te resetten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De BBB heeft demissionair minister Kaag van Financien om opheldering gevraagd of het klopt dat voor de offline mogelijkheden van de digitale euro alsnog gebruik wordt gemaakt van anonieme metadata.
Volgende week maandag vindt er een vergadering van de Eurogroep plaats waarbij ook de digitale euro wordt besproken. In aanloop naar de vergadering heeft minister Kaag de agenda gepubliceerd, waar verschillende Kamerfracties nu vragen over hebben gesteld.
"Klopt het dat er voor de offline mogelijkheden van de digitale euro alsnog gebruikt wordt gemaakt van anonieme metadata? Is het kabinet van mening dat metadata daadwerkelijk anoniem zijn en nooit getraceerd kunnen worden naar een individu?", zo wil de BBB weten.
Vorige week meldde Kaag dat de Europese Centrale Bank (ECB) naar verwachting later deze maand besluit over de volgende fase van de digitale euro, waarbij er onder andere wordt gekeken naar het 'technisch werk' dat moet worden verricht. Het genoemde besluit gaat nog niet over de vraag of de ECB daadwerkelijk overgaat tot uitgifte van een digitale euro. Pas als er een politiek akkoord is bereikt tussen de lidstaten en met het Europees Parlement over de voorstellen en de verordeningen van kracht worden, kan de ECB de digitale euro uitgeven.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Het plan van de Europese Commissie om alle chatberichten van burgers door middel van client-side scanning te controleren leidt tot een disproportionele beperking van verschillende grondrechten en kan voor false positives zorgen die ingrijpende gevolgen voor burgers kunnen hebben, zo stelt Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit.
Morgen vindt in de Tweede Kamer een rondetafelgesprek plaats waarbij experts Kamerleden over client-side scanning en de gevolgen hiervan zullen informeren. Van Hoepman, Hubert en Borgesius is het position paper openbaar, waarin ze hun standpunt kenbaar maken.
Alle drie de experts wijzen op de gevaarlijke gevolgen die client-side scanning kan hebben. "Misschien helpt een vergelijking met bestaande technologie duidelijk te maken dat het voorstel van de commissie een gevaarlijk precedent schept", stelt Hoepman.
De experts waarschuwen ook voor de vergaande gevolgen die een onterechte melding kan hebben. Brussel wil door een algoritme zowel onbekende als bekende misbruikafbeeldingen detecteren. "In de praktijk komt het nu al voor dat communicatiediensten zoals Microsoft en Google ten onrechte de account van een gebruiker afsluiten, omdat hun AI-systemen onschuldige beelden aanzien voor CSAM-materiaal", merkt Borgesius op.
Volgens Hubert zijn onterechte meldingen niet zonder gevolgen. "Er komen onderzoeken, telefoons worden leeggetrokken, ouders worden verdachten, iedereen wordt met de nek aangekeken. Veilig Thuis komt over de vloer om onderzoek te doen. Dit ontwricht hele gezinnen, mogelijk met thuissituaties die dit er niet bij kunnen hebben. Als we geluk hebben concludeert men al binnen een paar maanden (!) dat de onterechte melding echt onterecht was."
De beveiligingsexpert stelt dat het ook veelvuldig is gebleken dat ook onterechte meldingen kunnen leiden tot veroordelingen, die soms pas na vele jaren hoger beroep teruggedraaid worden. Daarnaast kunnen ook afgehandelde meldingen leiden tot blijvende sporen in databases. "Een andere vreselijke uitkomst is dat er geen officieel oordeel wordt geveld en iemand eindeloos blijft hangen in een schaduwtoestand ‘niet bewezen/niet weerlegd’. Dit alleen al kan je leven ruïneren."
Borgesius noemt in zijn position paper ook de aantasting van grondrechten van burgers. "Als het voorstel wordt aangenomen, zou voor het eerst in Europa de communicatie van honderden miljoenen onschuldige mensen worden gemonitord en geanalyseerd voor de overheid", waarschuwt de hoogleraar. Hij verwacht ook dat het voorstel voor zo veel ‘false positives’ zal zorgen, dat de autoriteiten overspoeld worden en de meldingen niet kunnen onderzoeken. "De verordening zal daarom waarschijnlijk niet effectief zijn."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Auditrapport van de Auditdienst Rijk (ADR). Het rapport onderzoekt de Wet politiegegevens (Wpg) bij de uitvoering van opsporingstaken door de buitengewoon opsporingsambtenaren (boa's) van de de Inspectie Leefomgeving en Transport (ILT).
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Divers Nieuws
Minister Van Gennip (SZW) stuurt de Tweede Kamer de antwoorden op vragen over het illegaal verzamelen van gegevens van uitkeringsgerechtigden door het Uitvoeringsinstituut Werknemersverzekeringen (UWV).
Ook gaat de minister in op het onderzoek van UWV naar fraude met Ziektewetuitkeringen en het onderzoek van de Auditdienst Rijk naar het gebruik van het kenmerk nationaliteit.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Databases
Het van oorsprong Amsterdamse informatiebedrijf Bureau van Dijk lekte eind 2021 bijna 28 miljoen e-mailadressen, die nu aan Have I Been Pwned zijn toegevoegd. Bureau van Dijk verzamelt, bewerkt, standaardiseert en verspreidt gegevens over bedrijven.
Twee jaar geleden wisten aanvallers toegang te krijgen tot een 426 gigabyte grote database van het bedrijf, die vervolgens op internet te koop aangeboden. Het betreft honderden miljoenen regels data over bedrijven en personen, waaronder persoonlijke informatie zoals namen, geboortedata.
Volgens Have I Been Pwned gaat het verder om 28 miljoen unieke e-mailadressen, samen met adresgegevens (van vermoedelijk bedrijfslocaties), telefoonnummers en functietitels. Van de 28 miljoen gestolen e-mailadressen was 46 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Toen tien jaar geleden plots een deurwaarder bij haar aanbelde, bleek dat iemand de identiteit van Chantal had gestolen en op haar naam veel schulden had gemaakt, die zíj moest aflossen. "Ik werd behandeld als een crimineel."
"Dat bijna niemand mij geloofde dat ik écht niet zelf al die schulden had gemaakt, dat vond ik nog het ergste. Deurwaarders geloofden mij niet maar ook mensen in mijn omgeving dachten soms dat het allemaal mijn eigen fout was. Soms ging ik daardoor bijna aan mezelf twijfelen. Onzin natuurlijk. Maar het vreet aan je, als je plots tot aan je nek in de schulden zit zonder dat je er iets aan kunt doen."
"Ik had mijn leven prima op de rit, tot die noodlottige dag in 2012. Op een middag werd er aangebeld. Nietsvermoedend deed ik open, en tot mijn verbazing stond er een deurwaarder op de stoep die beslag kwam leggen op mijn auto.
De reden: ik had zogenaamd mijn zorgverzekering al anderhalf jaar niet betaald, daardoor stond er een bedrag open van veertienduizend euro. Het tolde in mijn hoofd en het zweet brak me uit bij het horen van dat enorme bedrag."
"Ik snapte er niets van, ik had altijd netjes mijn verzekering betaald en nooit een aanmaning gehad. Ik liet mijn afschrijvingen aan de deurwaarder zien als bewijs, met mijn polisnummer. Toen bleek er een tweede verzekering te zijn afgesloten op mijn naam, maar met een ander polisnummer en adres. Iemand anders had dus mijn identiteit gebruikt.
Gestrest belde ik met mijn zorgverzekeraar. Ergens had ik toen nog goede hoop dat dit misverstand snel rechtgezet kon worden. Een administratief foutje dat eenmaal opgehelderd, weer even makkelijk zou verdwijnen."
"Maar zo werkte het niet. De zorgverzekeraar wilde niet met mij in gesprek omdat de zaak was overgedragen aan het incassobureau. Het adres waarop die tweede verzekering was afgesloten konden ze mij niet geven in verband met de privacywetgeving. De daders die mijn identiteit hadden gestolen, werden dus beter beschermd dan ik zelf."
"Vanaf dat moment ging het van kwaad tot erger. Om de haverklap stond er een deurwaarder op de stoep met nieuwe aanmaningen. Niet alleen vanuit instanties, maar ook van postorderbedrijven. Het betrof allemaal onbetaalde rekeningen voor dingen die ik nooit besteld en ontvangen had. Ik werd er wanhopig van."
"Natuurlijk zocht ik hulp. Bij mij is het waarschijnlijk misgegaan toen ik een nieuwe telefoon kocht. Toen deze werd bezorgd, werd aan de deur mijn identiteitsbewijs gescand. Die scan is in de verkeerde handen gevallen.
Een fraudebureau kon achterhalen dat de IP-adressen waarmee bestellingen op mijn naam gedaan zijn, afkomstig zijn uit landen rond de Middellandse Zee. Ik was dus echt slachtoffer geworden van een bende."
"Inmiddels had ik een schuld van meer dan tachtigduizend euro op mijn naam staan. Zes keer stapte ik naar de politie, en zes keer werd ik weggebonjourd zonder dat ik aangifte kon doen. Ze pakten de zaak niet op en gingen niets onderzoeken, want wie kon garanderen dat ik niet zelf die schulden had gemaakt? Ik moest maar met bewijs komen.
Dat was echt een shock, ik dacht dat de politie er was om burgers te beschermen. Maar ik werd gezien als een crimineel. Continu moest ik mezelf verdedigen."
Ik begon een nieuw bedrijf en werkte snoeihard om alles af te betalen. Langzaamaan werd ik opener over mijn situatie. Lange tijd schaamde ik me, omdat zoveel mensen dachten dat ik het zélf had veroorzaakt. Alleen mijn man bleef in mij geloven. Beetje bij beetje besefte ik dat ik me nergens voor moest schamen, en dat ik hier zonder hulp niet uitkwam."
"Online deed ik mijn verhaal en een onbekende las over mijn situatie en heeft toen financiële hulp aangeboden. Dankzij haar steun en natuurlijk mijn eigen aflossingen ben ik sinds twee maanden uit de schulden. Mentaal komt de klap nu pas. Maar ik krijg daar hulp voor en ik heb goede hoop dat ik me gauw beter ga voelen."
"Dit wil ik nooit meer meemaken en ik doe er alles aan om dat te voorkomen. Ik ben nu heel voorzichtig en laat niemand een kopietje of scan van mijn ID maken. Bij een nieuwe telefoon moet dat wel, maar dan maak ik een foto van het identiteitsbewijs van de medewerker.
Online vul ik nergens het documentnummer van mijn paspoort in, want een hacker heeft die gegevens zo te pakken. Iedereen denkt: dit kan niet, zoiets gebeurt mij niet. Maar jaarlijks worden in Nederland meer dan tweehonderdduizend mensen slachtoffer van identiteitsfraude. Het kan echt iedereen gebeuren als je even niet oplet."
Alles bij de bron; RTL
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een ethisch hacker waarschuwde het openbaar vervoersbedrijf Arriva vorige week voor een datalek in het contactformulier op de Arriva-website. De hacker kon daardoor alles zien wat 195.000 mensen op het formulier hadden ingevuld. Arriva vroeg in het formulier niet alleen naar de voornaam, achternaam en het e-mailadres. Maar ook om bijvoorbeeld het telefoonnummer en de geboortedatum.
Beleidsadviseur Rejo Zenger van privacyorganisatie Bits of Freedom; "Ik snap niet dat bedrijven zoveel gegevens vragen. Dat betekent dat je ook meer gegevens moet beschermen."
"Een bedrijf heeft jouw geboortedatum, geslacht, foto, socialemedia-accounts of wat voor andere persoonsgegevens in principe niet nodig voor het doel van een contactformulier", zegt Schenkel van de AP. Het bedrijf mag die gegevens dan ook niet opvragen. Behalve als het een goede of logische reden heeft om die gegevens aan je te vragen.
Als je verplicht wordt om op een website meer gegevens in te vullen dan in jouw ogen nodig is, dan kun je daar volgens Zenger op twee manieren mee omgaan. "Je kunt kijken of je het bedrijf kunt bellen. In dat geval bepaal je zelf welke gegevens je verstrekt."
Anders kun je bewust foutieve informatie invullen. Zenger: "Als ik een handleiding van een product opvraag bij een bedrijf, hebben ze in mijn ogen mijn telefoonnummer of geboortedatum niet nodig. Als die wel worden gevraagd, vul ik daar iets willekeurigs in."
Alles bij de bron; NU