Onderzoekers zeggen dat het bij meerdere populaire datingapps makkelijk is om de exacte locatie van andere gebruikers te achterhalen. Dat lukte door simpelweg aan verschillende vormen van triangulatie te doen. Meerdere applicaties hebben dat gerepareerd. Het onderzoek, Swipe Left for Identity Theft, werd uitgevoerd door vijf onderzoekers van de KU Leuven.
Die bekeken vijftien populaire datingapps, waaronder Tinder, Bumble, Hinge en Grindr.
Al die apps geven een ruwe locatie van gebruikers aan, maar niet de exacte locatie, tenzij de gebruiker een filter instelt om partners te vinden op basis van locatie. Volgens de onderzoekers is het echter mogelijk die locatie alsnog te achterhalen via een proces dat zij oracle trilateration noemen.
Een gebruiker moet daarvoor in de buurt zijn van een doelwit en daarna net zo lang lopen tot het doelwit buiten bereik komt. Door dat in drie richtingen te doen, kan een gebruiker de verschillende locaties samenvoegen via triangulatie om een locatie tot twee meter nauwkeurig te vinden.
In het geval van Grindr was het mogelijk de exacte locatie van een gebruiker te vinden. Bij Bumble en Hinge was het mogelijk een locatie in de buurt te vinden tot op twee meter nauwkeurig. Tinder en Lovoo waren de enige onderzochte apps die geen locatiegegevens prijsgaven omdat die apps werken met vlakken van meer dan een kilometer.
De onderzoekers zeggen tegen Techcrunch dat er een simpele manier is om dat probleem te verhelpen, wat alle betreffende apps ook hebben gedaan. Ze ronden de exacte coördinaten, die de apps gebruiken om de locatie te bepalen, in de toekomst af. Daardoor wordt de exacte locatie minder accuraat, tot op ruwweg een kilometer.
Alles bij de bron; Tweakers
De Europese AI-wetgeving gaat 1 augustus in. Met de nieuwe regels moet kunstmatige intelligentie aan bepaalde eisen voldoen. Maar het duurt nog jaren voordat alle regels van kracht zijn.
De Europese Unie werkte de afgelopen twee jaar aan wetgeving die kunstmatige intelligentie onder controle moet houden. AI-systemen mogen in Europa niet discrimineren. Ook worden ze getoetst op eventuele schendingen van mensenrechten. Aanbieders van AI-modellen moeten daarnaast transparanter zijn over hoe hun kunstmatige intelligentie werkt en met welke data ze worden getraind.
Europarlementariërs zijn het erover eens dat mensen centraal moeten blijven staan bij de invoer en het gebruik van AI. Daarom is voor sommige AI-systemen helemaal geen plek in de EU.
Het gaat dan om systemen die het gedrag van burgers analyseren en hen op basis daarvan beoordelen, zoals in China gebeurt. Regels voor dit soort systemen gaan het eerst in: zes maanden nadat de AI-wet in werking is getreden. Bedrijven krijgen de eerste zes maanden de tijd om aanpassingen door te voeren zodat ze aan de regels voldoen.
Daarna worden andere verplichtingen gefaseerd ingevoerd. Volgend jaar treden bijvoorbeeld wetten in werking voor het gebruik van generatieve AI, zoals ChatGPT. En vanaf 1 augustus 2026 gelden de regels voor modellen met een hoog risico. Pas in augustus 2030 zijn alle verplichtingen van kracht. Dan treden verplichtingen in werking voor AI-systemen van overheidsorganisaties die al voor het ingaan van de AI-wet werden gebruikt.
Bedrijven die de AI-wet in Europa overtreden, kunnen flinke boetes krijgen.
Alles bij de bron; NU
Secure Boot is een mechanisme dat onderdeel uitmaakt van Unified Extensible Firmware Interface (UEFI). Het zorgt dat bij het opstarten van een systeem alleen vertrouwde software draait. Hiervoor maakt het gebruik van digitale handtekeningen, die het vergelijkt met vertrouwde digitale sleutels die zijn opgeslagen in de UEFI.
Eind 2022 is een zogeheten platform key van American Megatrends International (AMI) gepubliceerd. Deze sleutel wordt gebruikt voor de Secure Boot-database. De private key van deze platform key bleek beveiligd met een zwak encryptie, die eenvoudig gekraakt kon worden. Nader onderzoek wijst uit dat zeker tweehonderd apparaten gebruikmaken van de uitgelekte platform key.
Daarnaast ontdekte de onderzoekers ook een brede reeks apparaten die gebruik maken van platform keys die als onveilig zijn bestempeld. Het gaat daarbij specifiek om testsleutels van AMI, die het bedrijf deelt met fabrikanten en leveranciers. Deze keys hadden vervangen moeten worden door veilige varianten, maar dat is in de praktijk niet gebeurd. Dit betekent in de praktijk dat de apparaten zijn geleverd met niet-vertrouwde sleutels.
In de praktijk maken de beveiligingsproblemen systemen met Secure Boot kwetsbaar voor het uitvoeren van niet-vertrouwde code tijdens het opstarten. De onderzoekers stellen dat dit de volledige beveiligingsketen van firmware tot besturingssysteem aantast.
Alles bij de bron; Dutch-IT-Channel
Goed om te weten: de gratis versie van Instagram is niet helemaal gratis. Moederbedrijf Meta verdient namelijk geld met jouw gegevens, die ze gebruiken voor het verkopen van advertentieruimte.
Het bedrijf is door de Europese consumententoezichthouders zelfs aangesproken op misleiding van consumenten bij de introductie van betaalde accounts. Bij de keuze voor de gratis versie geven consumenten Meta namelijk toestemming om hen op basis van hun gegevens gepersonaliseerde advertenties te tonen.
Advertenties zijn bij de gratis versie van Instagram dus niet te vermijden. Wel kun je ze zo goed mogelijk beheren. Door in de instellingen van de app naar je ‘Accountcentrum’ te gaan en vervolgens op ‘Advertentievoorkeuren’ te klikken, kun je inzicht krijgen in de advertenties die je te zien krijgt en waarom. Ook kun je aangeven in welke advertenties je wel of geen interesse hebt.
Als je Instagram opent, kom je automatisch op de door het algoritme samengestelde pagina. Voor de mensen die liever een meer gecontroleerd overzicht zien is er gelukkig een andere optie.
Klik op de homepage van de app op het pijltje dat naast ‘Voor jou’ staat en selecteer ‘Volgend’. Op deze manier vermijd je posts van onbekende accounts. Ook is de content op deze pagina chronologisch gesorteerd en makkelijker te overzien. Om de content op je ‘Voor jou’-pagina verder te filteren kun je in je instellingen onder ‘Wat jij ziet’ je ‘Voorkeuren voor inhoud’ aanpassen.
Als je voor je gevoel toch nog te lang aan het scrollen bent, kun je in je instellingen onder ‘Bestede tijd’ ook een tijdslot aanzetten of zet een herinnering aan om de 10, 20 of 30 minuten. Op deze manier helpt de app je om je schermtijd op Instagram te verminderen.
Alles bij de bron; Linda
De Militaire Inlichtingen- en Veiligheidsdienst heeft al vier jaar niet voldaan aan zijn meldplicht. Dat stelt de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten.
Volgens de commissie heeft de MIVD verzuimd om burgers te informeren als er bijzondere bevoegdheden zijn ingezet, zoals een gerichte tap waarbij het telefoon- of internetverkeer van een persoon wordt onderschept en vastgelegd. Hierdoor hebben burgers volgens de Ctivd niet de kans gehad om eventueel misbruik van de bevoegdheden aan de kaak te stellen of zich te melden bij een onafhankelijke rechter of klachtenorganisatie.
De MIVD moet vijf jaar na het toepassen van een bijzondere bevoegdheid onderzoeken of de betrokken persoon hiervan op de hoogte kan worden gebracht. De MIVD moet de persoon in kwestie vervolgens een verslag toesturen van de gebruikte bevoegdheden, tenzij er uitzonderingen van toepassing zijn. In dat geval geldt er een meldplicht aan de Ctivd.
In toezichtsrapport 51 constateerde de toezichthouder al dat de MIVD niet aan de meldplicht voldoet. De commissie heeft toen verbeteringen aanbevolen, maar concludeert dat die 'niet zijn ingebed in de organisatie'. Daarom wil de Ctivd dat de MIVD de 'onrechtmatigheid' binnen een redelijke termijn oplost.
Binnen twee maanden moet de MIVD dan ook schriftelijk toezeggen wanneer de achterstand ten aanzien van de meldplicht is weggewerkt. Binnen zes maanden moet de MIVD daarnaast een toelichting geven op de wijze waarop de inlichtingendienst weer controle krijgt op het proces.
Alles bij de bron; Tweakers
Het kraken van de versleutelde berichtendienst Sky ECC was een mokerslag voor de onderwereld, en een groot succes voor internationale opsporingsdiensten. Een reconstructie, van wat de politie onderzoek 13Werl noemde, laat zien dat de Nederlandse autoriteiten een cruciale rol speelden in de grootste afluisteroperatie ooit.
Nieuw opgedoken documenten werpen wel de vraag op of Nederland de waarheid spreekt over ‘de hack van de eeuw’. ,,Frankrijk is waarschijnlijk als dekmantel gebruikt.”
... was de grootste afluisteroperatie uit de geschiedenis, de ‘hack van de eeuw’, wel écht zo’n Frans feestje? Of is het een truc om de details over de kraak van SKY niet prijs te hoeven geven?
Want het beeld dat door het OM de afgelopen drie jaar telkens opnieuw in de rechtszaal wordt geschetst, brokkelt inmiddels in sneltreinvaart uit. Het bewijs stapelt zich op dat het juist Nederland was dat in dit internationaal onderzoek aan de touwtjes trok. Uit nieuwe en interne politiedocumenten blijkt dat de operatie om Sky ECC onderuit te kraken is begonnen bij de Amsterdamse recherche. ,,(...) Het onderzoek biedt de kans om opnieuw een actuele dataset binnen te halen door en voor de Nationale Politie.”...
...Een onlangs opgedoken document van de Amsterdamse recherche biedt een nieuw en uniek inkijkje in de operatie. ‘Er wordt onderzoek gedaan naar de data die ondervangen wordt door de taps die sinds juli 2019 zijn op de servers van Sky ECC’, staat in het zogeheten inzetplan 13Werl - de codenaam die het onderzoek naar Sky heeft gekregen. Het inzetplan is een intern document van de politie en beschrijft de tactiek van de Amsterdamse recherche. Het tot nu toe onbekende document werd onlangs in een rechtszaak ingebracht door advocaat Yehudi Moszkowicz.
Opvallend is dat een Franse onderzoeksrechter, na de eerdere Nederlandse weigering, wél toestemming geeft voor het veel ruimer aftappen van de Sky-servers. Ook opvallend, zo blijkt uit Belgische justitie documenten, is dat ook de Amerikaanse overheid een onderzoek had ingesteld naar Sky ECC. Uiteindelijk krijgen de Nederlandse politie en justitie voorrang van de Amerikanen. ‘Een stilzwijgend akkoord tussen de Amerikaanse en Nederlandse overheden liet evenwel toe om het Europees onderzoek voort te zetten’, valt te lezen in het document...
...De Nederlandse opsporingsautoriteiten ontkennen met klem dat de hack is geplaatst door Nederland. Het zouden de Fransen zijn geweest, en de hack zou vallen onder militair staatsgeheim. Technische details kunnen daarom niet gegeven worden, zeiden officieren keer op keer tijdens rechtszaken. Het gaat er bij advocaten, die de rechtmatigheid van de hack willen controleren, maar moeilijk in. Zeker ook omdat uit documenten blijkt dat de servers, na het stoppen van de live-fase, direct naar een technisch lab van Team High Tech Crime in Driebergen gingen.
Dat die servers naar Driebergen zijn gegaan, erkende het Openbaar Ministerie overigens pas nadat advocaat Moszkowicz documenten in handen kreeg waaruit dat bleek. Deze week werd bovendien via Crimesite duidelijk dat bij de inbeslagname van de server slechts één Franse agent aanwezig was, tegenover drie Nederlandse agenten. Advocaten zeggen dat hieruit opnieuw blijkt dat de hack van Sky weldegelijk door Nederland is uitgevoerd, en dat Frankrijk slechts als dekmantel heeft gediend.
Vragen over de hack worden door het OM niet beantwoord, ‘vanwege het zwaarwegende opsporingsbelang’, zo is steevast het antwoord van officieren in de rechtbank. Maar ook rechters willen niet het naadje van de kous weten. Dat komt, daar is ‘ie weer, vanwege het Europese vertrouwensbeginsel. Omdat Nederland samenwerkt met de Franse autoriteiten, en beide landen stellen dat de hack in Frankrijk heeft plaatsgevonden, moet ervan worden uitgegaan dat dit klopt.
De vraag of dit de waarheid is, is nu nadrukkelijker dan ooit aan de orde.
Alles bij de bron; AD
De Australische gezondheidsorganisatie MediSecure heeft de persoonlijke gegevens van zo'n dertien miljoen Australiërs gelekt, wat neerkomt op de helft van de bevolking. MediSecure verstuurde tot eind vorig jaar recepten van dokters en andere zorgverleners naar apothekers.
Op 16 mei maakte het bedrijf bekend dat het slachtoffer was geworden van een 'cybersercurity-incident'. Twee dagen later werd de diefstal van persoonlijke data gemeld. Een deel van deze gegevens werd door de aanvallers op internet aangeboden.
Hoeveel mensen door het datalek zijn getroffen was in eerste instantie onbekend en in een nieuwe update over het incident stelt MediSecure dat de verantwoordelijke criminelen de gegevens van 12,9 miljoen Australiërs in handen hebben gekregen, die van maart 2019 tot en met november 2023 de receptenbezorgdienst van MediSecure gebruikten.
Vanwege de kosten zegt MediSecure dat het niet in staat is om precies te identificeren wie getroffen is en om welke informatie het gaat. Bij de aanval zou 6,5 terabyte aan data zijn buitgemaakt. Op basis van de gestolen gegevens stelt de organisatie dat het onder andere gaat om naam, geboortedatum, geslacht, e-mailadres, adresgegevens, telefoonnummers, medicatiegegevens en reden voor de medicatie.
Alles bij de bron; Security
De Autoriteit Persoonsgegevens (AP) heeft het bedrijf achter Kruidvat, A.S. Watson, een boete van 600.000 euro opgelegd.
De privacy-waakhond steggelde vier jaar lang met Nederlands grootste drogisterijketen over het al dan niet rechtmatig verwerken van persoonsgegevens van bezoekers van Kruidvat.nl. Het bedrijf volgde bezoekers van de website met tracking cookies, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven.
A.S. Watson verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers. Zo kon Kruidvat aan de hand van het zoekgedrag en de bestellingen bijvoorbeeld zien wie er zwanger was, voorbehoedsmiddelen gebruikte of welke medicatie nodig had. Volgens AP is dat zeer gevoelige informatie gezien het specifieke karakter van drogisterijproducten. Ook kon de keten zo persoonlijke profielen maken en daar commercieel voordeel uit halen.
AS Watson heeft bezwaar aangetekend tegen de boete.
Alles bij de bron; Computable
De provincie Zuid-Holland is door de Autoriteit Persoonsgegevens (AP) onder geïntensiveerd toezicht geplaatst en moet concrete afspraken maken met de AP over hoe het zorgvuldiger zal omgaan met persoonsgegevens en hierover rapporteren.
"De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem. Het systeem bevat allerlei gegevens, van memo’s en besluiten tot uiteenlopende (persoonlijke) gegevens van burgers, zakelijke contacten en (externe) medewerkers", licht de provincie toe.
"Onze teams Privacy en Informatieveiligheid kwamen in dat systeem (bijzondere) persoonsgegevens tegen die toegankelijk waren voor vrijwel alle medewerkers van de provincie. Categorieën van persoonsgegevens die zijn aangetroffen zijn onder meer NAW-gegevens, contactgegevens, geboortedata, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. Veel medewerkers hadden geen toegang tot deze gegevens nodig om hun functie uit te oefenen. Dat betekent dat er sprake is van een datalek."
Om maatregelen op langere termijn te identificeren en de veiligheid van de systemen en bescherming van persoonsgegevens te kunnen waarborgen, is de provincie gestart met de opdracht: ‘Bescherming persoonsgegevens provincie Zuid-Holland: Privacyvolwassenheid 3 en datalek IDMS’. Binnen deze opdracht zijn diverse teams betrokken, ieder met hun eigen expertise, aldus de provincie Zuid-Holland.
Alles bij de bron; Dutch-IT-Channel
Klantgegevens van Allekabels zijn online te koop aangeboden. De dataset omvat onder meer gegevens van zo'n 3,6 miljoen klanten. Ook versleutelde wachtwoorden zijn in de dataset opgenomen.
De data is eind januari te koop aangeboden op een hackersforum.
RTL Nieuws meldt dat de dataset onder meer 2,6 miljoen unieke e-mailadressen omvat. Deze zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Een groot deel van de wachtwoorden zou zeer zwak zijn versleuteld en zijn volgens experts in slechts enkele seconden te kraken. Ook zo'n 109.000 IBAN-nummers van klanten zijn gestolen en verhandeld.
Van de overige miljoen getroffen klanten zijn minder gegevens beschikbaar. Het gaat om klanten die via derde partijen bij Allekabels bestellingen plaatsten.
Alles bij de bron; Dutch-IT-Channel