We kennen al de DeepFakes, foto’s en video’s waarin het gezicht van persoon A op het gezicht van persoon B geplakt is. De sneue variant daarop is DeepNude: software die afbeeldingen van vrouwen ‘uitkleedt’ en voorziet van blote lichaamsdelen. Het is nepnaakt natuurlijk, maar de schade die ze veroorzaken, is wel echt.
Sensity, een bedrijf dat de verspreiding van gemanipuleerde beelden onderzoekt, maakte vorige week bekend dat een bot in chatapp Telegram (400 miljoen gebruikers) honderdduizenden afbeeldingen van vrouwen digitaal ontkleedde. Telegram-gebruikers sturen een foto op naar de bot en krijgen even later de blootversie terug.
Zoals de algoritmes van DeepFakes worden getraind met foto’s en video’s van gezichten, is DeepNude gevoerd met pornofilms. Giorgio Patrini, oprichter van Sensity, legt aan de telefoon uit hoe het werkt: „De software vult ontbrekende blote delen van het lichaam in en houdt rekening met huidskleur en lichtinval. Op hoge resolutie zie je nog wel verschil, maar dat duurt vast niet lang meer.”
De app met het niveau van Porky’s Pikante Pretpark kan wel reputaties vernietigen en levens kapotmaken. Patrini vertelt over een influencer die door nepnaakt een sponsordeal kwijtraakte. Niet alleen bekende personen zijn de dupe: uit het onderzoek blijkt dat de DeepNude-klanten vooral foto’s van meisjes in hun directe omgeving uploaden.
Sensity probeerde Telegram zover te krijgen de bot te stoppen. Toen dat niet lukte, hebben ze besloten het rapport publiek te maken. Inmiddels heeft een Italiaanse privacyinstantie een officiële klacht ingediend.
Alles bij de bron; NRC
Criminelen hebben vorig jaar tienduizenden euro's weten te stelen door 14 pinterminals van een bezorgdienst van een supermarktketen om te wisselen. Dat heeft de politie vandaag bekendgemaakt.
Bezorgers van de bezorgdienst werden onderweg naar een klant gebeld door iemand die zich voordeed als een medewerker van het hoofdkantoor. Volgens deze "medewerker" heeft de pinterminal van de bezorger een update nodig en zal iemand het apparaat straks door een ander apparaat vervangen.
Het geld dat klanten aan de deur voor hun bestelling moesten pinnen werd overgemaakt naar de rekening van een katvanger. Zodra het geld is overgemaakt wordt het vervolgens direct door iemand opgenomen. In het onderzoek naar de diefstal zijn nu drie mannen aangehouden. De politie sluit meerdere aanhoudingen niet uit.
Alles bij de bron; Security
Op dit moment zijn er naar schatting wereldwijd twintig tot dertig miljard Internet of Things-apparaten met het internet verbonden. Een aantal dat in 2025 mogelijk zal zijn gestegen naar vijftig tot honderd miljard. Als samenleving staan we echter niet voldoende stil wat de impact hiervan is op onze privacy en security en hoe het voor een groter aanvalsoppervlak tegen netwerken en systemen zorgt, zo stelt de Amerikaanse geheime dienst NSA.
"Als samenleving denken we niet na over hoe IoT-apparaten onze gevoelige informatie verzamelen of operaties verstoren", aldus de NSA. Nu er steeds meer thuis wordt gewerkt is het voor organisaties nodig om proactief te zijn en stappen te nemen om medewerkers die vanuit huis werken te beschermen, zo gaat de geheime dienst verder.
Volgens de NSA moeten mensen hiervoor wel hun gedrag aanpassen. "Om onze persoonlijke informatie en data te beschermen is het belangrijk dat we anders met technologie en IoT omgaan." Zo moeten alle beveiligingsfeatures up-to-date en geüpdatet zijn. Verder moet voor elk aangeschaft product de gebruikersovereenkomst worden gelezen, zodat duidelijk is welke informatie het apparaat verzamelt.
Als laatste moeten gebruikers bewust zijn dat de IoT-wereld continu aan het veranderen is. "Als gebruiker van technologie is je voornaamste doel om altijd je persoonlijke informatie te beschermen door proactief en waakzaam te zijn", besluit de geheime dienst de oproep.
Bron; Security
Onderzoekers van de TU Eindhoven hebben een Russische website gevonden waar online-fingerprints van internetgebruikers worden verhandeld. Het gaat om digitale 'vingerafdrukken' die gebruikers identificeren aan de hand van een reeks digitale factoren. Deze lopen uiteen van technische informatie zoals webbrowser en besturingssysteem, tot gedragskenmerken als muisbeweging, en tiksnelheid.
Een online-fingerprint is een alternatief voor de bekende, maar relatief weinig gebruikte tweestapsverificatie (2FA) voor toegang tot gevoelige systemen. De online-fingerprint staat bekend als Risk-based Authentication (RBA). "Het systeem kijkt naar fingerprints om iemands identiteit te controleren. Fingerprints omvatten technische basisinformatie, zoals het type browser of besturingssysteem, maar ook gedragskenmerken, zoals muisbewegingen, de locatie en de snelheid van de toetsaanslag", aldus de TU/e in een verklaring.
Op de Russische website zijn meer dan 260.000 gedetailleerde profielen te vinden, deze worden gekoppeld aan e-mailadressen en wachtwoorden. Volgens de onderzoekers worden de profielen voortdurend geüpdatet, wat uniek is. Het heeft de onderzoekers veel moeite gekost om binnen te komen bij de website.
Alles bij de bron; AGConnect
Vier voormalige Uber-chauffeurs zijn maandagochtend naar de rechtbank in Amsterdam gestapt. Zij zeggen dat Uber werknemers via geautomatiseerde systemen ontslaat, meldt hun advocaat.
Volgens de 4 zijn ze bij Uber weggestuurd nadat ze door het Uber-algoritme werden beschuldigd van "frauduleuze activiteiten". De chauffeurs zeggen geen fraude te hebben gepleegd. Uber zou de chauffeurs nooit uitleg hebben gegeven voor het ontslag. Ook konden ze geen bezwaar maken.
Volgens de Europese privacywet mogen algoritmes niet bepalen of een werknemer wel of niet moet worden ontslagen. Die beslissing moet door een mens worden genomen.
Het gebruik van algoritmes bij Uber lag al eerder onder vuur. In juli spanden twee Britse Uber-chauffeurs eveneens een rechtszaak aan tegen het taxibedrijf. Zij wilden weten welke informatie over hen werd verzameld en hoe gegevens werden gebruikt om besluiten over hen te nemen.
Alles bij de bron; NU
Volgens het AD had de politie al sinds januari 2019 toegang tot de servers van EncroChat, de berichtendienst die door veel criminelen werd gebruikt. Pas in juli werd dit bekend gemaakt, nadat ook EncroChat zelf de hack had opgemerkt en waarschuwingen had gestuurd naar gebruikers.
Er was al een schat aan materiaal ontdekt, toen de hack aan het licht kwam. Nog altijd voert de politie onderzoek uit naar de enorme hoeveelheid data, waarvan criminelen dachten dat deze veilig uitgewisseld konden worden.
Eerder werd bekend gemaakt dat de hack pas in juni dit jaar had plaatsgevonden, maar dat was dus veel eerder. Alleen was het toen nog niet mogelijk het berichtenverkeer te ontsleutelen. Wel kon veel administratieve informatie aan het onderschepte berichtenverkeer worden ontleend.
Alles bij de bron; BeveiligingsNieuws
In een groeiend aantal binnensteden gebruiken winkeliers een databank om niet veroordeelde winkeldieven te registreren en een collectief winkelverbod op te leggen. Hoe wenselijk is dat?
...Tot een jaar geleden was het dagelijks raak in het centrum van Kampen: winkeldieven ‘roofden’ de winkels leeg. Daarom zijn de ondernemers uit Kampen vorig jaar gestart met een databank voor winkeldieven, in samenwerking met het aan de overheid gelieerde Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Wie in een van de ruim vijftig aangesloten winkels in Kampen steelt, komt – nadat de winkelier aangifte doet – in een afgeschermd systeem te staan met naam en foto. Ga je vaker in de fout? Dan volgt een winkelverbod voor een of alle deelnemende winkels met een looptijd van een jaar.
Het lijkt te werken: in Kampen is het aantal winkeldiefstallen sinds de invoering van de databank meer dan gehalveerd, ziet voorzitter Helleman...
...Hoewel de database bij deelnemers zorgt voor verbluffende resultaten, knaagt het. Want spelen winkeliers niet voor eigen rechter? En is de privacy van niet veroordeelde winkeldieven voldoende gewaarborgd?
Het is een heel ingrijpend middel, vindt Sven Brinkhoff, hoogleraar straf(proces)recht aan de Open Universiteit, waarbij winkeldieven al bij één aangifte als schuldige in het systeem belanden. “Je bestempelt iemand als schuldig in een prille fase. Je zult maar onterecht op dit soort lijsten staan. Dat kan allemaal netjes in een protocol zijn geregeld, maar een zwak punt hierbij is dat de verantwoordelijkheid voor de naleving lijkt te liggen bij de lokale ondernemers.”
Privacydeskundige Bart Schermer hamert erop dat dit soort systemen goed in de gaten moet worden gehouden. “In dat geval ben ik niet tegen zwarte lijsten zoals deze, maar het moet een heel streng systeem zijn. Het is een paardemiddel.” Alleen bij goedkeuring door de AP kan het worden ingezet, vindt Schermer.
Hoogleraar Brinkhoff signaleert dat initiatieven als een particuliere databank voor winkeldieven onderdeel zijn van een bredere maatschappelijke trend waarbij burgers steeds vaker aan ‘burgeropsporing’ doen. “We zien het ook bij buurt-appgroepen, burgerwachten en particuliere rechercheurs. Naming and shaming ligt op de loer. Daar moet je heel voorzichtig mee zijn.”
Alles bij de bron; Trouw
Een Finse psychotherapiepraktijk die locaties in heel Finland heeft en duizenden patiënten behandelt is afgeperst nadat een aanvaller toegang tot zeer gevoelige patiëntdata wist te krijgen. Een deel van de data, tweehonderd patiënten "records, is inmiddels door de afperser openbaar gemaakt. Het gaat om namen, adresgegevens, persoonlijke identificatienummers en patiëntenrapporten.
Als de psychotherapiepraktijk geen 450.000 euro betaalt zal de afperser elke dag honderd nieuwe records online zetten, zo meldt televisiestation YLE. De afpersers heeft naar eigen zeggen de gegevens van 40.000 patiënten in handen. In een verklaring bevestigt Vastaamo de datadiefstal en afpersing.
Alles bij de bron; Security
De Duitse overheid is akkoord gegaan met een wetsvoorstel waardoor Duitse inlichtingendiensten heimelijk de apparaten van verdachten mogen binnendringen en via een "Staatstrojaner" versleutelde communicatie mogen onderscheppen en afluisteren. Op deze manier moet er ook toegang kunnen worden verkregen tot end-to-end versleutelde chatberichten.
Providers kunnen daarnaast worden verplicht om bij het installeren van de malware te helpen. Dat melden onder andere Netzpolitik, MDR en Die Welt .
Volgens de Duitse minister van Justitie Lambrecht moeten inlichtingendiensten op het internet dezelfde mogelijkheden hebben waarover ze ook in de analoge wereld beschikken. Er zijn echter ook tegenstanders van de wet. "Het feit dat de inlichtingendiensten nu ook gebruik mogen maken van de Staatstrojaner staat gelijk aan de uitverkoop van onze burgerrechten", zegt Stephan Thomae van de liberale FPD.
Alles bij de bron; Security
Farmaceutische gigant Pfizer heeft door een verkeerd geconfigureerde Google Cloud Storage bucket de privégegevens van honderden medicijngebruikers gelekt, alsmede informatie over gebruikte medicijnen en gezondheidstoestand. Dat laten onderzoekers van vpnMentor weten.
Pfizer had één van hun buckets verkeerd geconfigureerd, waardoor die voor iedereen op internet toegankelijk was. De bucket bevatte honderden transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht die allerlei persoonlijke identificeerbare informatie bevatten, zoals volledige naam, adresgegevens, e-mailadres, telefoonnummer en gedeeltelijke details over de medische en gezondheidstoestand.
In de transcripties werden ook de medicijnen genoemd die de gebruikers gebruikten, zoals Viagra en Advil.
Vpnmentor waarschuwde Pfizer op 13 juli, gevolgd door een tweede poging op 19 juli. Een derde poging volgde op 22 september, waarop de farmaceut reageerde. Volgens de onderzoekers stelde Pfizer dat het niet om belangrijke data ging. Daarop deelden de onderzoekers een deel van de persoonlijke informatie die ze hadden gevonden, waarop de bucket door Pfizer werd beveiligd.
Alles bij de bron; Security