- Gegevens
- Hoofdcategorie: Internet en Telecom
De FBI waarschuwt voor cybercriminelen die het op plastisch chirurgen en klinieken hebben voorzien, om daar gevoelige foto's en medische gegevens van patiënten te stelen, om die daarmee vervolgens af te persen. Zodra de data is gestolen maken de aanvallers gebruik van social engineering en social media om de gegevens te verrijken, om als laatste cryptovaluta te eisen om publicatie te voorkomen.
Volgens de FBI bestaan de aanvallen uit drie fases, waarbij als eerste via phishing de medische data wordt buitgemaakt. Vervolgens worden de gegevens door middel van open bronnen, zoals social media, en social engineering met verdere data aangevuld. Als laatste worden zowel patiënten als chirurgen met de gestolen data afgeperst, anders dreigen de criminelen die onder collega's, vrienden en familie te delen, alsmede openbare websites.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een wetsvoorstel moet de armslag van AIVD en MIVD vergroten, onder meer door bepaalde inlichtingenoperaties te kunnen inzetten zonder toestemming van de toezichthouder vooraf. Een meerderheid is voorzichtig instemmend, maar er zijn ook zorgen.
De meeste partijen waren het er maandag over eens dat de Wet op de Inlichtingen- en Veiligheidsdiensten (WIV) die in 2018 inging, op onderdelen alweer achterhaald is. Ze biedt volgens een meerderheid te weinig bescherming tegen professioneel uitgevoerde hack-aanvallen op bijvoorbeeld kritische infrastructuur in Nederland, energievoorziening en bedrijven.
Er waren veel kritische vragen van de Kamerleden Julian Bushoff (GroenLinks-PvdA), Alexander Hammelburg (D66), en Marieke Koekkoek (Volt). Die gingen over het delen van gegevens met buitenlandse diensten en het gemakkelijker kunnen verlengen van bewaartermijnen.
SP en Forum voor Democratie toonden zich zeer kritisch over de nieuwe wet. Zij vrezen dat de diensten via een omweg alsnog ongericht de gegevens van miljoenen burgers kunnen binnenhalen. Dat ‘ongericht naar binnen slepen’ van die gegevens werd wettelijk juist expliciet verboden na een referendum over de wet in 2018.
Privacy-organisatie Bits of Freedom en journalistenvakbond NVJ uitten eerder al dezelfde vrees. Zij publiceerden begin oktober een verklaring: „Voor ongericht massasurveillance is geen plaats in een democratische rechtsstaat”, schreven ze. Tevens vreesde de NVJ dat de bestaande wettelijke waarborgen tegen het aftappen van elektronisch verkeer van journalisten in het nieuwe wettelijk regime zwakker worden.
De zogeheten kabelinterceptie – het afvangen van een grote stroom digitale gegevens via de kabel – wordt tot nu toe door het toezicht vooraf weinig gebruikt door de diensten, aldus minister de Jonge. „Ongelooflijk jammer, gezien de belangrijke internetknooppunt functie die Nederland heeft. We hebben de diensten teveel aan de ketting gelegd.”
Alles bij de bron; NRC [Thnx-2-Niek]
- Gegevens
- Hoofdcategorie: Internet en Telecom
Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde.
CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen.
Het besturingssysteem draait op switches en routers van het bedrijf. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt.
Het securitybedrijf VulnCheck heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt.
Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bioscoopketen Vue heeft klanten gewaarschuwd voor een datalek in de webomgeving waarbij mogelijk persoonsgegevens zijn getroffen.
Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens. Afgelopen zomer meldde RTL Nieuws op basis van een tip van een ethisch hacker dat Vue de privégegevens van honderdduizenden klanten lekte.
Via een kwetsbaarheid in de website kon de broncode worden ingezien. Via de broncode werd informatie gevonden die toegang gaf tot de database van de bioscoopketen en de dienst die de betalingen verwerkt. Daarnaast bleek de website kwetsbaar voor SQL-injection.
Getroffen klanten hebben vandaag een e-mail ontvangen waarin Vue waarschuwt dat hun gegevens mogelijk zijn getroffen. Wat betreft de gebruikte kwetsbaarheden zijn die inmiddels verholpen. "Ook hebben wij extra beveiligingsverbeteringen doorgevoerd bij onze website en app, en extra beveiligingscontroles en monitoring geïmplementeerd", zo laat Vue verder weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Europese Unie werkt aan een nieuwe wet om de digitale verspreiding van kinderporno te bestrijden. Dat is lovenswaardig en nodig ook, maar het toelaten van screening van het sociale mediaverkeer is een verkeerde oplossing. De prijs voor chat control is te hoog en de technologische ontwikkeling is nog te beperkt voor een feilloze toepassing.
Deskundigen, politici en zelfs belangenorganisaties vinden het permanent meespieken met communicatiediensten zoals Whatsapp en Tiktok om kinderpornografisch materiaal op te sporen, een paar stappen te ver. Geen bericht ontkomt aan het allesziende oog en de inbreuk op de privacy is kolossaal. Het doel heiligt in dit geval niet het middel.
Kenmerk van het (sociale) berichtenverkeer is juist dat gebruikers vrijelijk met elkaar kunnen communiceren. Elk bericht wordt versleuteld om pottenkijkers buiten te sluiten. Het EU-voorstel maakt toch een spiekmomentje mogelijk voordat deze versleuteling plaatsvindt. Dat momentje is te vergelijken met een postbode die, voordat de brief in de bus glijdt, even snel de envelop opent om de inhoud te lezen. Dat is met de post ondenkbaar, dus in het digitale berichtenverkeer ook.
...De wens is de vader van de gedachte, maar zolang een nieuwe wet niet waterdicht voldoet, mag die niet tot uitvoer worden gebracht. Zelfs niet voor het opsporen van kindermisbruik.
Alles bij de bron; LeidschDagblad
- Gegevens
- Hoofdcategorie: Internet en Telecom
De inzet van de Pegasus-spyware is een heftige inbreuk op de mensenrechten en gaat veel en veel verder dan Watergate en George Orwells 1984, zo stelt Kamerlid Pieter Omtzigt.
Omtzigt deed als rapporteur van de Raad van Europa onderzoek naar het gebruik Pegasus door Europese lidstaten voor het bespioneren van journalisten, politieke tegenstanders, mensenrechtenactivisten en advocaten. Het gaat om Polen, Hongarije, Griekenland en Spanje, zo blijkt uit het rapport van Omtzigt.
In het onderzoeksrapport wordt ook de Nederlandse regering opgeroepen, omdat het erop lijkt dat het Pegasus ook heeft aangeschaft, duidelijk te maken hoe de spyware wordt ingezet en welk toezicht hierop plaatsvindt. Ook is Nederland gevraagd om te laten weten hoe vaak het Pegasus heeft ingezet.
Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het expertisecentrum online misbruik Offlimits vreest onterechte veroordelingen van burgers als client-side scanning wordt ingevoerd om de chatberichten van burgers te controleren zoals de Europese Commissie wil.
Volgens Offlimits zorgt het voorstel van de Europese Commissie ervoor dat alle afbeeldingen onderschept kunnen worden, juist ook wanneer er geen problematische situatie is. Vervolgens worden de afbeeldingen door vele mensen bekeken om te analyseren. "Daarmee wordt er onnodig een enorme inbreuk gepleegd op de privacy van het kind. Het voorstel heeft dus geen rekening gehouden met de diversiteit van de redenen om naaktbeelden te delen, noch het feit dat veel materiaal vrijwilliger gedeeld wordt."
De Europese Commissie wil bekend en onbekend misbruikmateriaal detecteren, alsmede grooming. Voor onbekend materiaal en grooming zouden AI-systemen de inhoud van chatberichten moeten controleren. Gedetecteerd materiaal wordt vervolgens naar een Europees centrum doorgesteuurd. Demissionair minister Yesilgöz van Justitie en Veiligheid stelde eerder tegenover de Tweede Kamer dat deze AI-systemen nog niet betrouwbaar zijn. Nederland kan wel instemmen met detectie van bekend materiaal, maar de inzet van AI-systemen noemde Yesilgöz disproportioneel.
Deze week werd er door Europese ministers over het voorstel van client-side scanning onderhandeld. De NOS meldt dat EU-voorzitter Spanje een aangepaste versie heeft gepresenteerd, waarbij AI-systemen voorlopig niet worden ingezet totdat de technologie beter werkt. De inzet zou later alsnog mogelijk zijn zonder het wetgevingsproces opnieuw te hoeven doorlopen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Toen tien jaar geleden plots een deurwaarder bij haar aanbelde, bleek dat iemand de identiteit van Chantal had gestolen en op haar naam veel schulden had gemaakt, die zíj moest aflossen. "Ik werd behandeld als een crimineel."
"Dat bijna niemand mij geloofde dat ik écht niet zelf al die schulden had gemaakt, dat vond ik nog het ergste. Deurwaarders geloofden mij niet maar ook mensen in mijn omgeving dachten soms dat het allemaal mijn eigen fout was. Soms ging ik daardoor bijna aan mezelf twijfelen. Onzin natuurlijk. Maar het vreet aan je, als je plots tot aan je nek in de schulden zit zonder dat je er iets aan kunt doen."
"Ik had mijn leven prima op de rit, tot die noodlottige dag in 2012. Op een middag werd er aangebeld. Nietsvermoedend deed ik open, en tot mijn verbazing stond er een deurwaarder op de stoep die beslag kwam leggen op mijn auto.
De reden: ik had zogenaamd mijn zorgverzekering al anderhalf jaar niet betaald, daardoor stond er een bedrag open van veertienduizend euro. Het tolde in mijn hoofd en het zweet brak me uit bij het horen van dat enorme bedrag."
"Ik snapte er niets van, ik had altijd netjes mijn verzekering betaald en nooit een aanmaning gehad. Ik liet mijn afschrijvingen aan de deurwaarder zien als bewijs, met mijn polisnummer. Toen bleek er een tweede verzekering te zijn afgesloten op mijn naam, maar met een ander polisnummer en adres. Iemand anders had dus mijn identiteit gebruikt.
Gestrest belde ik met mijn zorgverzekeraar. Ergens had ik toen nog goede hoop dat dit misverstand snel rechtgezet kon worden. Een administratief foutje dat eenmaal opgehelderd, weer even makkelijk zou verdwijnen."
"Maar zo werkte het niet. De zorgverzekeraar wilde niet met mij in gesprek omdat de zaak was overgedragen aan het incassobureau. Het adres waarop die tweede verzekering was afgesloten konden ze mij niet geven in verband met de privacywetgeving. De daders die mijn identiteit hadden gestolen, werden dus beter beschermd dan ik zelf."
"Vanaf dat moment ging het van kwaad tot erger. Om de haverklap stond er een deurwaarder op de stoep met nieuwe aanmaningen. Niet alleen vanuit instanties, maar ook van postorderbedrijven. Het betrof allemaal onbetaalde rekeningen voor dingen die ik nooit besteld en ontvangen had. Ik werd er wanhopig van."
"Natuurlijk zocht ik hulp. Bij mij is het waarschijnlijk misgegaan toen ik een nieuwe telefoon kocht. Toen deze werd bezorgd, werd aan de deur mijn identiteitsbewijs gescand. Die scan is in de verkeerde handen gevallen.
Een fraudebureau kon achterhalen dat de IP-adressen waarmee bestellingen op mijn naam gedaan zijn, afkomstig zijn uit landen rond de Middellandse Zee. Ik was dus echt slachtoffer geworden van een bende."
"Inmiddels had ik een schuld van meer dan tachtigduizend euro op mijn naam staan. Zes keer stapte ik naar de politie, en zes keer werd ik weggebonjourd zonder dat ik aangifte kon doen. Ze pakten de zaak niet op en gingen niets onderzoeken, want wie kon garanderen dat ik niet zelf die schulden had gemaakt? Ik moest maar met bewijs komen.
Dat was echt een shock, ik dacht dat de politie er was om burgers te beschermen. Maar ik werd gezien als een crimineel. Continu moest ik mezelf verdedigen."
Ik begon een nieuw bedrijf en werkte snoeihard om alles af te betalen. Langzaamaan werd ik opener over mijn situatie. Lange tijd schaamde ik me, omdat zoveel mensen dachten dat ik het zélf had veroorzaakt. Alleen mijn man bleef in mij geloven. Beetje bij beetje besefte ik dat ik me nergens voor moest schamen, en dat ik hier zonder hulp niet uitkwam."
"Online deed ik mijn verhaal en een onbekende las over mijn situatie en heeft toen financiële hulp aangeboden. Dankzij haar steun en natuurlijk mijn eigen aflossingen ben ik sinds twee maanden uit de schulden. Mentaal komt de klap nu pas. Maar ik krijg daar hulp voor en ik heb goede hoop dat ik me gauw beter ga voelen."
"Dit wil ik nooit meer meemaken en ik doe er alles aan om dat te voorkomen. Ik ben nu heel voorzichtig en laat niemand een kopietje of scan van mijn ID maken. Bij een nieuwe telefoon moet dat wel, maar dan maak ik een foto van het identiteitsbewijs van de medewerker.
Online vul ik nergens het documentnummer van mijn paspoort in, want een hacker heeft die gegevens zo te pakken. Iedereen denkt: dit kan niet, zoiets gebeurt mij niet. Maar jaarlijks worden in Nederland meer dan tweehonderdduizend mensen slachtoffer van identiteitsfraude. Het kan echt iedereen gebeuren als je even niet oplet."
Alles bij de bron; RTL
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een ethisch hacker waarschuwde het openbaar vervoersbedrijf Arriva vorige week voor een datalek in het contactformulier op de Arriva-website. De hacker kon daardoor alles zien wat 195.000 mensen op het formulier hadden ingevuld. Arriva vroeg in het formulier niet alleen naar de voornaam, achternaam en het e-mailadres. Maar ook om bijvoorbeeld het telefoonnummer en de geboortedatum.
Beleidsadviseur Rejo Zenger van privacyorganisatie Bits of Freedom; "Ik snap niet dat bedrijven zoveel gegevens vragen. Dat betekent dat je ook meer gegevens moet beschermen."
"Een bedrijf heeft jouw geboortedatum, geslacht, foto, socialemedia-accounts of wat voor andere persoonsgegevens in principe niet nodig voor het doel van een contactformulier", zegt Schenkel van de AP. Het bedrijf mag die gegevens dan ook niet opvragen. Behalve als het een goede of logische reden heeft om die gegevens aan je te vragen.
Als je verplicht wordt om op een website meer gegevens in te vullen dan in jouw ogen nodig is, dan kun je daar volgens Zenger op twee manieren mee omgaan. "Je kunt kijken of je het bedrijf kunt bellen. In dat geval bepaal je zelf welke gegevens je verstrekt."
Anders kun je bewust foutieve informatie invullen. Zenger: "Als ik een handleiding van een product opvraag bij een bedrijf, hebben ze in mijn ogen mijn telefoonnummer of geboortedatum niet nodig. Als die wel worden gevraagd, vul ik daar iets willekeurigs in."
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het idee dat anonimiteit uit den boze is, is raar (Stel dezelfde eisen op sociale media als in de echte wereld, 4/10).
‘Je hebt toch niks te verbergen’, is in beginsel eigenlijk ook een enorm probleem. Ja, nú heb je misschien niks te verbergen, maar over 10 jaar? Wie weet wat er allemaal verandert in de wereld.
Anonimiteit is daarom een algemeen goed.
Om maar meteen in te haken op die vertrouwde derde partij, klinkt leuk, maar zodra die deur eenmaal op een kiertje staat, gaat deze ook nooit meer dicht. Want hoe garandeer je veiligheid? Hoe zorg je ervoor dat deze gegevens ook echt alléén maar voor de bestemde doeleinden gebruikt wordt? Een derde partij kan gevoelig kan zijn voor datalekken en hackers.
Ik ben het dan ook niet eens met het perspectief dat het organisatorisch en technisch mogelijk is om dit uit te voeren zonder te verzaken in een ‘surveillance society’.
Zij het niet meteen, dan zeker op termijn zodra de mogelijkheden duidelijker worden voor politici en overige belanghebbenden. Je kan niet voorkomen dat er op termijn keuzes gemaakt worden die het misbruik van een dergelijk systeem aanmoedigen. De belangen liggen dermate dat iemand met kwade wil en een vlotte babbel er wel degelijk misbruik van kan gaan maken.
Dan heb ik liever dat er wat meer tijd gestoken wordt in mensen opleiden in digitaal burgerschap in plaats van dat er onhoudbare repressieve maatregelen getroffen worden.
Bron; NRC-ingezondenbrieven