Een vrouw uit Utrecht die via een website van het RIVM beschermingsmiddelen dacht te kopen is voor ruim 13.000 euro bestolen. Begin april ontvangt de vrouw een sms die van het RIVM afkomstig lijkt. De link wijst echter naar een nagemaakte RIVM-site die beschermingsmiddelen verkoopt.
Het afrekenen van de bestelde goederen lijkt via iDeal te kunnen. De getoonde iDeal-pagina's zijn echter phishingsites. Een eerste betaling via de Rabobank mislukt, waarna ze ervoor kiest om via Triodos te betalen, waar ze ook een rekening heeft. "Ik deed een aantal pogingen maar het lukte niet. Later op de ochtend probeerde ik het weer, het lukte weer niet", zo laat ze tegenover het AD weten.
De codes die de vrouw met haar identifier genereert en invoert worden door een crimineel gebruikt om de Triodos-app met haar gegevens op twee telefoons te activeren. De crimineel maakt vervolgens zo'n 13.000 euro over van de spaarrekening naar de betaalrekening van de vrouw. Vervolgens doet hij verschillende overboekingen, waarbij het bedrag steeds onder de 5.000 euro blijft. In twintig minuten wordt er in totaal 13.250 euro naar verschillende rekeningen overgemaakt.
Triodos stuurt de vrouw twee keer een e-mail dat zij de de Triodos Bankieren-app heeft geactiveerd. Deze berichten ziet zij pas later als het geld al van de rekening is verdwenen. De vrouw doet aangifte bij de politie en de bank stelt een onderzoek in. Triodos besluit het slachtoffer niet te vergoeden. "Hoewel we van mening zijn dat u in deze situatie geen verkeerde intentie heeft gehad, heeft u wel met de oplichters meegewerkt door op de link te klikken en daarna uw persoonlijke codes te verstrekken", zo laat de bank in een e-mail weten.
Alles bij de bron; Security
Onrechtmatige content blijkt soms voor slachtoffers moeilijk om weer offline te krijgen. Ze moeten bijvoorbeeld complexe juridische procedures doorlopen of weten niet waar ze terecht kunnen.
Een simpele oplossing bestaat niet, maar er zijn wel een aantal verbeteringen mogelijk, zo blijkt uit onderzoek van het Instituut voor Informatierecht van de Universiteit van Amsterdam in opdracht van het WODC...
...Nu laten we vrij veel over aan zelfregulering, maar de vraag die wij in ons onderzoek allereerst stellen, is: Moet het niet makkelijker worden om onrechtmatige content van het internet te verwijderen? Daarin hebben we eerst de huidige juridische routes geanalyseerd, en zijn we vervolgens op zoek gegaan naar verbeterpunten.’
De onderzoekers zien als verbeterpunt bijvoorbeeld het experimenten met een toegankelijke civiele procedure waarin de rechter snel uitspraak kan doen. Verder stellen ze in hun rapport dat het inrichten van een centraal meldpunt of kenniscentrum kan helpen om slachtoffers advies te geven over wat voor hen de beste route is. Het rapport wordt voorgelegd aan de Tweede Kamer.
Alles bij de bron; EMerce
Het kledingmerk The North Face heeft van een onbekend aantal klanten het wachtwoord gereset nadat het te maken kreeg met een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.
Bij een onbekend aantal klanten wisten de aanvallers door middel van hergebruikte wachtwoorden op accounts in te loggen. Naast e-mailadres hebben de aanvallers zo toegang gekregen tot informatie over bestellingen, adresgegevens, loyaliteitspunten, naam, geboortedatum en telefoonnummer.
Creditcardgegevens waren niet toegankelijk voor de aanvallers, maar die hebben wel toegang tot een token kunnen krijgen waarmee producten op de webshop van het kledingmerk konden worden gekocht.
Om klanten te beschermen heeft The North Face van alle gecompromitteerde accounts het wachtwoord gereset. Daarnaast roept het kledingmerk deze klanten op om geen wachtwoorden te hergebruiken en heeft het bij de Amerikaanse autoriteiten melding van een datalek gemaakt.
Alles bij de bron; Security
De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Dat zijn landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.
De EDPB wil het bedrijfsleven hiermee meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde...
...Om bedrijven te helpen die bescherming te waarborgen, heeft de EDPB aanbevelingen opgesteld voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten.
De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.
Bij twijfel: houd data in EU
Als bedrijven persoonsgegevens willen opslaan in landen waar persoonsgegevens minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU.
Zie verder:
Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.
Alles bij de bron; AutoriteitPersoonsgegevens
Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites.
Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9.
Alles bij de bron; Security
Een aanvaller is erin geslaagd om een database van de Amerikaanse nieuwssite Mashable te stelen die de privégegevens van 1,4 miljoen gebruikers bevat. De data is nu op internet verschenen. Het gaat om voor- en achternaam, locatie (zoals stad of land), e-mailadressen, geslacht, registratiedatum, ip-adressen, links naar socialmediaprofielen, verlopen OAuth-tokens en maand en dag van de verjaardag.
De 1,4 miljoen buitgemaakte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Een zoekmachine waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 76 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
Meer dan tien miljoen bestanden met details over hotelboekingen waren inzichtelijk op een verkeerd geconfigureerde AWS S3-bucket. De data werd beheerd door Prestige Software, een Spaans bedrijf dat samenwerkt met onder andere Agoda, Booking.com en Expedia...
...Volgens de onderzoekers gaat het om 24,4GB aan logbestanden en bevat de verzameling gegevens van hotelboekingen wereldwijd. Zowel recente boekingen als details over oudere boekingen, tot 2013, werden aangetroffen.
De persoonsgegevens werden zonder enige bescherming opgeslagen. Het gaat om creditcardgegevens, naam- en adresgegevens, paspoortnummers en e-mailadressen van hotelbezoekers. Ook de details van hotelreserveringen, zoals de kosten, het aantal nachten en aanvullende verzoeken staan vermeld.
Alles bij de bron; Tweakers
Camera's, algoritmes en stromen data. Steeds meer steden zetten geavanceerde technieken in om het leven in de stad veiliger en efficiënter te maken. Klinkt misschien handig en aantrekkelijk, maar het gaat niet altijd goed, zo bleek afgelopen zomer in Rotterdam.
Toen werd een scanauto ingezet in een park om te controleren of mensen wel anderhalve meter afstand hielden. Een veel te zwaar middel, vonden tegenstanders. Slimme camera's vinden zij niet geschikt voor dit soort situaties.
De discussie over privacy versus data woedt al langer. Maar nu technologie niet meer weg te denken is uit onze levens, is de vraag hoe we technieken dan wel zo kunnen inzetten dat onze steden er slimmer van worden. Moeten we dat überhaupt willen? En waar ligt de grens?
We nemen een kijkje in Rotterdam waar het deze zomer misging en spreken een expert die niet voor niets pleit voor een ministerie van Data. De technische revolutie is namelijk bijna niet bij te benen:
Bron; NOS
Cybersecurity-onderzoekers van de Schotse Abertay University zijn erin geslaagd meer dan 75.000 gewiste bestanden te halen van een honderdtal usb-sticks die ze kochten via tweedehands- en zoekertjessites. Onder de bestanden: belastingaangiften, contracten en bankdocumenten.
Op het eerste zicht leken op 98 van de honderd sticks alle data verdwenen te zijn, maar met enkele vrij verkrijgbare tools konden de onderzoekers de gegevens weer boven water halen...
...De manier waarop computers bestanden van sticks verwijderen, houdt niet in dat de data ook effectief weg is. Veel mensen beseffen dat niet. ‘Het bestand wordt uit een index verwijderd, zodat het ‘aan het zicht wordt onttrokken’', legt professor Renaud uit. ‘Het is er echter nog steeds en als je weet hoe, kun je het gemakkelijk terugvinden met behulp van forensische hulpmiddelen.’
Er bestaat anderzijds ook software die usb-drives permanent kan wissen. ‘Als je een stick gaat verkopen, raden we je ten zeerste aan dat te gebruiken’, besluit Renaud.
Alles bij de bron; Computable
Massachusetts neemt een wet aan die autofabrikanten verplicht telemetriegegevens van auto's uitleesbaar te maken. Iedereen moet deze gegevens kunnen gebruiken om het voertuig te repareren.
Autofabrikanten zijn volgens de nieuwe wet vanaf 2022 verplicht een standaard open dataplatform te implementeren in voertuigen. Dit platform geeft voertuigeigenaren en onafhankelijke onderhoudsspecialisten de mogelijkheid telemetriegegevens op te vragen. Deze informatie wordt vaak direct naar een server van de autofabrikant gestuurd.
Telemetriegegevens ondersteunen de data monteurs bij het uitvoeren van reparaties. Door deze data in eigen handen te houden kunnen fabrikanten reparaties door derde partijen bemoeilijken. Met de nieuwe wet wil Massachusetts dit voorkomen.
Alles bij de bron; DutchIT