- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Nederlands luchtvaartbedrijf is eind vorig jaar het doelwit van een aanval geworden waarbij de aanvallers misbruik maakten van een bekende kwetsbaarheid in een driver van fabrikant Dell. Dat laat antivirusbedrijf ESET vandaag weten.
De aanvallers benaderden een medewerker van het niet nader genoemde luchtvaartbedrijf via LinkedIn en stuurden hem via het platform een malafide document genaamd "Amzon_Netherlands.docx".
Nadat de medewerker dit document opende werden er verschillende tools en malware op het systeem geïnstalleerd.
Het gaat om een kwetsbaarheid aangeduid als CVE-2021-21551, waarvoor Dell vorig jaar mei een update beschikbaar maakte. Het beveiligingslek in deze driver maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en de computer zo volledig te compromitteren. De aanvallers installeerden deze driver op het systeem en gebruikten vervolgens hun verhoogde rechten om verschillende Windowsonderdelen uit te schakelen en zo de monitoring van beveiligingssoftware te neutraliseren.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Microsoft waarschuwt organisaties en bedrijven voor twee actief aangevallen zerodaylekken in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller code op kwetsbare systemen kan uitvoeren....
...Aangezien beveiligingsupdates nog niet beschikbaar zijn adviseert Microsoft het instellen van bepaalde URL-rewrites, waarmee de huidige aanvallen zijn te voorkomen.
Verder kan het blokkeren van bepaalde poorten gebruikt voor remote PowerShell de aanvallen beperken, aldus het techbedrijf. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en 6.3.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Het Europese Hof van Justitie moet een antwoord geven op een belangrijke vraag rondom de privacywet: mag je geld verdienen met het verkopen van persoonlijke gegevens? Het lijkt zo simpel, maar het is aan de hoogste Europese rechter om dat echt te bepalen.
De bestuursrechter in Amsterdam heeft enkele belangrijke vragen over wat het 'gerechtvaardigd belang' precies inhoudt, doorverwezen naar het Europese Hof van Justitie. Voordat we die wat droge juridische term uitleggen, is het goed om de achtergrond van de zaak te kennen.
Die ligt bij een boete voor de Koninklijke Nederlandse Lawn Tennisbond. In maart 2020 kreeg die sportvereniging een hoge boete van de Autoriteit Persoonsgegevens. Die had meer dan een jaar eerder klachten ontvangen van leden van de bond die waren benaderd door sponsors van de Knltb. Hoe waren die sponsors aan de gegevens van de leden gekomen? Al snel bleek de Knltb die zelf aan de sponsors te hebben gegeven.
Op het eerste gezicht is dat vreemd. Is de hele privacywet niet juist opgezet om burgers te beschermen tegen dit soort dataverkoop? Dat is lang geen uitgemaakte zaak; het is zelfs iets waarover juristen al lange tijd discussiëren. Het draait specifiek om het gerechtvaardigd belang en wat daar wel en niet onder kan en mag vallen.
Alles bij de bron; Tweakers [+artikel, inloggen noodzakelijk]
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De slimme gas- of elektriciteitsmeter van meer dan 20.000 gezinnen blijkt dan toch niet zo slim te zijn. Hun meter maakt namelijk geen verbinding met het 4G-netwerk. En dus worden de meterstanden en het verbruik niet automatisch geregistreerd.
Sommige meters communiceren niet omdat ze in te goed geïsoleerde ruimtes, zoals een kelder, staan. Andere doen dat dan weer niet omdat het 4G-netwerk in de buurt simpelweg te zwak is.
Bij Fluvius is het probleem ook gekend. “Op sommige plekken is er inderdaad geen verbinding mogelijk”, zegt Björn Verdoodt, de woordvoerder van Fluvius. “...Bij dergelijke meters gebeurt het wel dat er plots toch even verbinding is en alle gegevens dan in één keer doorgestuurd worden. Maar we begrijpen dat de meerwaarde die mensen van zo’n digitale meter verwachten ook dan verloren gaat.”
Fluvius werkt aan een oplossing en als alles goed gaat, zou die er begin 2023 ook al moeten zijn. “Het gaat om een antenne, een soort zender, die dan op het huis geplaatst zal worden”, vertelt de woordvoerder. “Op die manier zou dan wel verbinding met het 4G-netwerk gemaakt kunnen worden. Daardoor zullen alle gegevens dan ook op een correcte manier doorgestuurd en verwerkt kunnen worden.”
Alles bij de bron; deMorgen
- Gegevens
- Hoofdcategorie: Databases
Minister Kuipers van Volksgezondheid laat een privacyonderzoek uitvoeren of de vaccinatiedata van het RIVM voor onderzoek naar de oversterfte in Nederland kan worden gedeeld. Daarnaast kijkt de minister naar een wetswijziging om de regels voor het delen van gezondheidsgegevens voor wetenschappelijk onderzoek te verduidelijken. Dat schrijft Kuipers in een brief aan de Tweede Kamer.
Onlangs werd bekend dat onderzoekers een motie van de Tweede Kamer naar de oversterfte in Nederland niet kunnen uitvoeren omdat het RIVM en de GGD'en gegevens hierover niet vrijgeven. De instanties claimen dat ze de cijfers vanwege de AVG niet mogen delen.
"Dit gaat om bijzondere persoonsgegevens die ik wil delen met het CBS. Met deze gegevens moet met de grootst mogelijke zorgvuldigheid worden omgegaan. Dit betekent ook dat de datatoegang moet passen binnen de wettelijke kaders, onder andere ten aanzien van het borgen van privacy", legt Kuipers uit. De bewindsman voegt toe dat de uitkomsten van onderzoeken niet herleidbaar mogen zijn tot individuen. Een mogelijke optie die de minister voorstelt is het gebruik van de remote access-omgeving van het Centraal Bureau voor de Statistiek (CBS). Onderzoekers krijgen binnen deze omgeving toegang tot onderzoeksbestanden die ontdaan zijn van persoonlijke gegevens.
Het is echter de vraag of de vaccinatiegegevens van het RIVM mogen worden gedeeld. Volgens Kuipers staat dit mogelijk op gespannen voet met de toestemming die mensen aan GGD’en, huisartsen en instellingsartsen hebben gegeven voor het verstrekken van hun gegevens aan het RIVM en voor welke doeleinden het RIVM die gegevens vervolgens mag gebruiken. Er moet dan ook worden uitgezocht of de toestemming die mensen hebben gegeven voor het delen van hun gegevens met het RIVM het mogelijk maakt om die data vervolgens voor het onderzoek naar oversterfte te gebruiken.
Hiervoor laat de minister een gegevensbeschermingseffectbeoordeling, ook wel een Data Privacy Impact Assessment (DPIA), uitvoeren. Het privacyonderzoek moet over zes weken zijn afgerond, waarna de Tweede Kamer over de resultaten en verdere aanpak wordt geïnformeerd.
Naast de data van het RIVM zijn er ook nog de coronatestgegevens die de GGD'en hebben verzameld. Of deze data mag worden gedeeld voor het oversterfte-onderzoek is onduidelijk. "De wil om de data te delen is er ook hier bij alle partijen, maar er moet worden uitgewerkt hoe dit binnen de huidige wetgeving ingeregeld kan worden. Ik blijf hierover met de GGD’en in gesprek, waarbij onze inzet is om ook voor de testdata te komen tot een gedegen risicoafweging met inachtneming van de vereisten van de AVG", merkt Kuipers op.
Om dit soort situaties in de toekomst te voorkomen wil de minister kijken naar mogelijkheden om een wetswijziging of andere middelen in te zetten om de wettelijke basis en het kader voor deling van gezondheidsgegevens voor wetenschappelijk onderzoek, binnen de regels van de AVG, te verduidelijken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Als het aan de officier van justitie ligt, dan gaat een voormalige politieagent en tevens trainer van een waterpoloteam de cel in. De man bekende tijdens een inhoudelijke zitting dat hij trio's had met minderjarige meisjes en ook naakte meisjes filmde in de kleedkamer.
Volgens de man was hij veel met zijn werk als politieagent en trainer van een waterpoloteam bezig, maar veranderde dat aan het begin van de coronacrisis. "Ik had ineens niets te doen en lag dagen op bed", zei hij tijdens de zitting.
Via een vriendin ontmoette hij een minderjarig meisje. De man had vervolgens dagelijks contact met haar en was naar eigen zeggen verliefd op haar geworden.
Die verklaring zorgde voor vragen bij de rechtbank, aangezien de man ook seksueel contact had met een eveneens minderjarige vriendin van het meisje.
Daarnaast werden er op zijn telefoon en meerdere laptops beelden gevonden waarop te zien was dat hij seks had met de meisjes. Ook had de twintiger stiekem opnames gemaakt van naakte meisjes in de kleedkamer bij de waterpolotraining. De rechtbank doet over twee weken uitspraak.
Alles bij de bron; Dijk&Waard-Centraal
- Gegevens
- Hoofdcategorie: Internet en Telecom
Twee voormalige medewerkers van de Belastingdienst zijn vandaag veroordeeld voor het jarenlang verkopen van gegevens afkomstig uit het RDW-systeem van de fiscus.
Het onderzoek naar de verdachten werd gestart op basis van ontsleutelde Encrochat-berichten. Daaruit bleek volgens het Openbaar Ministerie dat ze als Belastingdienstmedewerker in systemen van de fiscus grasduinden. Er werd gezocht naar kentekens en bijbehorende gegevens, zoals tenaamstellingen, naam, adres en automerk. De gegevens werden vervolgens verkocht aan derden. Dit zou hebben plaatsgevonden in de periode 2017 tot en met 2021.
In totaal hebben de verdachten gegevens van 216 kentekens in systemen van de Belastingdienst opgevraagd. Per verstrekt kenteken zou dat een bedrag van tussen de 50 en 200 euro hebben opgeleverd.
"De integriteit van de overheid en de ambtenaren die in dienst staan van de overheid is van fundamenteel belang voor de democratische rechtsstaat. Ambtenaren kunnen vaak over een grote hoeveelheid persoonsgegevens beschikken en de samenleving moet erop kunnen vertrouwen dat zij hier op een integere wijze mee omgaan", aldus de rechter, die stelde dat de verdachten met hun handelen mogelijk mensen in groot gevaar hebben gebracht. Daarnaast werd het de verdachten aangerekend dat ze veelvuldig gegevens hebben verstrekt en dit met groot gemak deden.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Automatische nummerplaatherkenning bij parkeergarages? Dat is praktisch, ‘maar een ramp voor onze privacy’, zegt beveiligingsonderzoeker Inti De Ceukelaire.
Hij onderzocht mobiele apps van onder meer EasyPark, Q-Park en Interparking en vond dat meer dan een kwart van alle auto’s eenvoudig te traceren is.
Parkeersessies zijn ‘een onschatbare bron van informatie’. Parkeerduur, locatie en tijd zijn indicaties voor het doel: werken, winkelen, concertbezoek, sport, casino of ziekenhuisbezoek. Iedereen met een nummerplaat is op deze manier te traceren in parkeergarages met nummerplaatherkenning, zegt De Ceukelaire die in samenwerking met privacyjuristen de website Notmyplate.com ontwikkelde, waar gebruikers een AVG-verzoek kunnen indienen bij de parkeerbedrijven om hun nummerplaat niet langer te verwerken.
Het onderzoek van De Ceukelaire legt in totaal drie verschillende technieken bloot die kwaadwillenden kunnen gebruiken om de locatie van voertuigen te achterhalen op basis van hun nummerplaat. Door de snelle implementatie van zogeheten B2C ANPR camera’s is het haast onmogelijk ‘om je vrij te verplaatsen zonder het risico te lopen getracked te worden’.
Alles bij de bron; Cops-in-Cyberspace