Minister Grapperhaus van Justitie en Veiligheid gaat deze maand nog in gesprek met privacyorganisaties over het onderzoek naar een aftapverplichting voor WhatsApp en andere Over The Top-communicatiediensten (OTT). Dat laat de minister in een brief aan de Tweede Kamer weten.
WhatsApp, Telegram, Signal en andere chatdiensten kennen op dit moment geen aftapverplichting en zijn daarmee niet aftapbaar voor opsporings-, inlichtingen- en veiligheidsdiensten. "Deze verplichting zou betekenen dat OTT-diensten dezelfde inrichtings- en medewerkingsverplichtingen krijgen als telecommunicatiediensten", stelt Grapperhaus. Volgens de minister is het onderscheppen van communicatie een belangrijke bevoegdheid in de opsporing van zware en of ernstige criminaliteit en de bescherming van de nationale veiligheid.
Daarbij moet ernaar verschillende belangen worden gekeken, zoals de bescherming van fundamentele rechten van privacy en het communicatiegeheim, maar ook de belangen van opsporings-, inlichtingen- en veiligheidsdiensten, merkt Grapperhaus op. "We moeten een oplossing vinden die de bovengenoemde belangen tegelijkertijd waarborgt alsook in evenwicht brengt."
Alles bij de bron; Security
CoronaCheck is een nieuwe app van de overheid die dan dient een "sein veilig" te kunnen geven voor bezoek aan bijvoorbeeld evenementen. De app toont middels een QR-code op het smartphonescherm dat er vanuit deze gebruiker een minimale kans is op verspreiding van het coronavirus. De gebruiker heeft namelijk ofwel een negatieve uitslag van een coronatest gehad in de afgelopen 48 uur, óf de gebruiker is gevaccineerd.
Om misbruik van de app te voorkomen, worden er persoonsgegevens toegevoegd aan de app. Een woordvoerder van het ministerie van Volksgezondheid laat aan AG Connect weten dat het gaat om de eerste letter van de voornaam, de eerste letter van de achternaam, de geboortedag en -maand, de datum en tijd waarop de test werd afgenomen, en een digitale handtekening.
Al deze gegevens worden in een QR-code gecodeerd. De controleur bij de toegangspoort voor een evenement scant die QR-code met de CoronaCheck Scanner-app, vertelt de woordvoerder. "Bij de controle wordt de geldigheid van de digitale handtekening gecontroleerd in combinatie met de verstreken tijd vanaf het moment waarop de test is afgenomen. Als er een geldig testbewijs is, wordt in het scherm van de Scanner-app een groen scherm getoond met daarbij de eerste letter van de voornaam, eerste letter van de achternaam, geboortedag en geboortemaand, zodat de controleur dit kan vergelijken met het legitimatiebewijs."
Waar het testbewijs zoal wordt gebruikt, wordt nergens bijgehouden.
Alles bij de bron; AGConnect
Een groep hackers zou toegang hebben gekregen tot 150.000 beveiligingscamera's van de Amerikaanse start-up Verkada. Daardoor konden ze live meekijken in ziekenhuizen, gevangenissen, politiebureaus, scholen en bedrijven.
Persbureau Bloomberg kreeg diverse beelden van de hackers toegestuurd. Op camerabeelden die het persbureau mocht inzien was te zien hoe acht zorgmedewerkers een patiënt aan een bed vastbonden in een psychiatrisch ziekenhuis in Florida.
De hackers zeggen dat ze ook mee konden kijken in een gevangenis in Alabama. Daar zou gezichtsherkenning zijn gebruikt om gevangenen te volgen. Ook konden ze meekijken tijdens verhoren op verschillende politiebureaus.
De groep zou toegang hebben tot het volledige videoarchief van alle Verkada-klanten. Ze verklaren de start-up te hebben gehackt om de gebrekkige beveiliging van het bedrijf aan te willen tonen.
Bloomberg heeft Verkada op de hoogte gesteld van het lek. Het bedrijf zegt het incident te onderzoeken. "We hebben alle interne beheerdersaccounts uitgeschakeld om ongeautoriseerde toegang te voorkomen", meldt een woordvoerder.
Alles bij de bron; NU
De persoons- en adresgegevens van circa negentienduizend gedupeerden met aardbevingsschade aan hun huis in Groningen zijn door een groot datalek bij de Nederlandse Aardolie Maatschappij (NAM) gelekt.
Het overgrote deel van de gegevens die van deze groep gelekt zijn, zijn NAW-gegevens (naam, adres en woonplaats), aldus de woordvoerder. In totaal zijn er van 120 mensen privacygevoelige gegevens zoals e-mailadressen, telefoonnummers of bankgegevens gelekt. De mensen van wie bankgegevens zijn buitgemaakt zijn gebeld door de NAM.
Het bedrijf werd vorige week op de hoogte gebracht van het lek in de software die de NAM gebruikt voor het versturen van grote bestanden, waaronder documenten met gegevens over de afhandeling van de door de gedupeerden ingediende waardedalingsclaims.
Alles bij de bron; NU
Door een niet goed werkend script zijn de persoonsgegevens van 18.000 inburgeraars gelekt, zo heeft minister Van Engelshoven van Onderwijs laten weten. Inburgeraars kunnen een verzoek doen om te vragen wat hun buitenlandse diploma in Nederland waard is.
De huidige leverancier van dit digitale aanvraagsysteem is een Nederlands bedrijf met een vestiging in Servië, waar de testers en ontwikkelaars werken. Met deze leverancier heeft overheidsinstantie Nuffic een verwerkersovereenkomst afgesloten met de verplichting dat persoonsgegevens worden geanonimiseerd, omdat buiten de Europese Unie geen persoonsgegevens mogen worden verwerkt. De huidige leverancier gebruikte een script voor het anonimiseren van persoonsgegevens voordat die in de testomgeving komen. Nu blijkt dit script niet goed te hebben gewerkt.
De nieuwe leverancier van het diplomawaarderingssysteem ontdekte vorige maand bij de overdracht van de testdatabase dat er persoonsgegevens in stonden. Het betreft alle persoonsgegevens van diplomawaardering voor inburgeraars sinds de start van de applicatie op 1 februari 2017. Het gaat om zo'n 18.000 personen. De persoonsgegevens hebben sinds 11 augustus 2020 in de testomgeving gestaan.
Nuffic heeft het datalek bij de Autoriteit Persoonsgegevens gemeld en het meldpunt datalekken van DUO. De huidige leverancier heeft de persoonsgegevens uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbestanden ook verwijderd, waaronder uit de back-ups. Alle gedupeerde personen zijn gisteren ingelicht, zo stelt de minister.
Alles bij de bron; Security
Gezellig kletsen in Clubhouse-rooms: een miljoen Nederlanders doet het inmiddels. De audio-app neemt het intussen niet zo nauw met de privacy – van gebruikers, maar ook van mensen die zelf niet op Clubhouse zitten...
...Waar zoekt Clubhouse de grenzen van het toelaatbare nog meer op?
Als een gebruiker Clubhouse toegang geeft tot zijn of haar contactenlijst, uploadt de app die gegevens naar een eigen server. Daar worden persoonlijke profielen opgebouwd van de contacten – mensen die dus zelf Clubhouse helemaal niet gebruiken. Volgens Eskens is die werkwijze een inbreuk op de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet. De app mag niet zomaar een database opbouwen met contactpersonen van Clubhouse-gebruikers.
Clubhouse gebruikt allerlei psychologische trucjes om gebruikers akkoord te laten gaan met het delen van hun contactenlijst. Zo is het woord ‘ja’ dikgedrukt en in een groter lettertype opgemaakt, en wijst een emoji van een vinger op de ja-optie.
Alles bij de bron; NRC
In twaalf minuten raakte Sven zijn telefoonnummer en zijn digitale identiteit kwijt, hij werd slachtoffer van een sim-swap. Foutje van de helpdesk van T-Mobile, die door corona de gebruikersaccounts minder goed beveiligde.
Sim-swaps zijn een bekend fenomeen met grote impact. Vaak hebben cybercriminelen het op bitcoins gemunt – ze selecteren hun slachtoffers uit gestolen databases van cryptomarktplaatsen. In tegenstelling tot een gewone bankrekening kun je zo’n crypto wallet leegtrekken en anoniem blijven. Pakkans: nihil.
Svens verhaal toont de kwetsbaarheid van je digitale identiteit, dikwijls gekoppeld aan een telefoonnummer. „Mijn identiteit lag al half op straat. Nou hebben ze ook nog mijn email-account en een kopie van mijn paspoort. Iemand kan zich volledig voordoen als mij”, zegt Sven tijdens een gesprek met zijn provider. „Ik begrijp het”, luidt de reactie, „maar T-Mobile kan er niets aan doen dat iemand uw nummer heeft overgenomen.”
Microsoft maakte woensdag bekend dat er nieuwe zerodaykwetsbaarheden waren gevonden in de onpremiseversie van Exchange Server. Er waren gevallen bekend uit de Verenigde Staten dat dit lek actief werd misbruikt.
De hackers hebben het vooral gemunt op bedrijven, universiteiten en onderzoeksinstituten die zich richten op zaken die uiteenlopen van besmettelijke ziekten tot militaire techniek. De hackers hadden niet alleen toegang tot mails door de bugs, maar installeerden ook eigen software waarmee ze later weer toegang tot computers konden krijgen.
NCSC heeft nu aanwijzingen dat de zerodaykwetsbaarheid ook in Nederland is gebruikt om bij geheime informatie te komen. De dienst raadt niet alleen aan snel de patch aan te brengen maar ook te controleren of misbruik heeft plaatsgevonden. Bij welk bedrijf of instelling hackers binnen zijn gekomen door de bugs te misbruiken, maakt het NCSC niet bekend.
Alles bij de bron; AGConnect
Hierbij bied ik uw Kamer het onderzoeksrapport “Inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister” van de Audit Dienst Rijk (ADR) aan. Op 10 maart 2020 is uw Kamer geïnformeerd over het datalek dat zich heeft voorgedaan bij het CIBG ten aanzien van het Donorregister.
Twee fysieke gegevensdragers (externe harde schijven) met daarop een kopie van donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010 lagen niet meer in de kluis waar ze werden bewaard. Na de melding van het datalek bij het ministerie van VWS en de Autoriteit Persoonsgegevens heeft het CIBG de ADR gevraagd onafhankelijk onderzoek uit te voeren...
...Specifiek heeft de ADR geconstateerd dat procedures en werkinstructies voor het bewaren en vernietigen van externe gegevensdragers niet of onvoldoende aanwezig waren. Hierdoor heeft het kunnen gebeuren dat de twee harde schijven zijn verdwenen, zonder dat kan worden nagegaan wat er precies is gebeurd met deze gegevensdragers. De ADR constateerde voor het nieuwe Donorregister dat het ten tijde van het onderzoek nog ontbrak aan een voldoende invulling en borging van het bijbehorend informatiebeveiligingsplan.
Het management van het CIBG geeft aan dit ernstige constateringen te vinden en stelt dat dit niet had mogen gebeuren. De interne sturing op de naleving van de regels omtrent informatiebeveiliging is onvoldoende geweest.
Ik sluit mij hierbij aan. Ook ik vind de bevindingen zeer ernstig. Iedereen moet erop kunnen vertrouwen dat met persoonsgegevens in het Donorregister zorgvuldig en op een goed beveiligde manier wordt omgegaan. Hierin is helaas tekortgeschoten...
...Het CIBG is direct aan de slag gegaan met de constateringen van de ADR en heeft al tijdens het lopende onderzoek de informatiebeveiliging rondom het nieuwe Donorregister verbeterd. Als resultaat hiervan zijn op dit moment de meeste maatregelen die het CIBG diende te nemen al geïmplementeerd. Nu richt het CIBG haar aandacht op de resterende maatregelen en het integreren van de maatregelen in de besturingscyclus van het CIBG om de kwaliteit continu te verbeteren. Op deze manier worden de aanbevelingen van het ADR-onderzoek structureel ingebed in de werkwijze van het CIBG.
Alles bij de bron; RijksOverheid
Om third-party cookies te vervangen en toch nog gericht te kunnen adverteren bedacht Google de "Privacy Sandbox". Hierbij worden gebruikers op basis van hun browsegedrag in zogeheten cohorten geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar het browsegedrag en plaatst de gebruiker vervolgens in een cohort. Dit cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren.
"De technologie voorkomt de privacyrisico's van third-party cookies, maar introduceert tegelijkertijd allerlei nieuwe risico's", zegt Bennett Cyphers van de EFF. Het gaat dan bijvoorbeeld om discriminatie en fingerprinting.
De EFF-medewerker spreekt van een tweesprong waarbij er moet worden gekozen tussen een toekomst waar gebruikers zelf kiezen welke informatie ze met een website willen delen en een toekomst waarbij gebruikers op basis van hun browsegedrag een label krijgen opgeplakt dat hen op alle websites achtervolgt. Volgens Cyphers moet de nieuwe oplossing van Google en andere pogingen om gedragsgerichte advertenties te tonen worden verworpen. De EFF roept Google dan ook op om de nu gepresenteerde oplossing in te trekken.
Alles bij de bron; Security