Een telefoondienst waar Amerikaanse gevangenen gebruik van kunnen maken om met familie en vrienden te communiceren heeft via een onbeveiligde database miljoenen berichten en privégegevens van gedetineerden gelekt. 

GettingOut is een mobiele-app en dienst die gevangenen verschillende communicatiemethodes biedt. Alle communicatie wordt gemonitord. Beveiligingsonderzoeker Bob Diachenko ontdekte vorige maand een onbeveiligde database met de gegevens van GettingOut-gebruikers. Het ging om tientallen miljoenen gesprekslogs, privéberichten en persoonlijke informatie van gevangenen en hun contacten. Zo bevatte de database 11,2 miljoen records van gedetineerden, waaronder hun volledige naam, misdrijf, gevangenis en GettingOut-saldo.

Verder werden ook miljoenen privéberichten aangetroffen en de gegevens van personen met wie de gedetineerden communiceerden. Het ging onder andere om namen, e-mailadressen, telefoonnummers, adresgegevens, rijbewijsnummer en ip-adres. Diachenko waarschuwde de aanbieder van de dienst die de database dezelfde dag nog beveiligde.

Alles bij de bron; Security


 

Meer dan een half miljoen Nederlandse huishoudens zouden inmiddels gebruikmaken van een slimme deurbel. Daarmee is het aantal slimme deurbellen in Nederland sinds 2018 verdubbeld, stelt het marktbureau. De helft van al deze apparaten zou zijn gemaakt door Amazon-dochterbedrijf Ring.

Het aantal huishoudens met een beveiligingssysteem is gegroeid naar 18 procent, ten opzichte van 15 procent in 2018. Het populairst is de beveiligingscamera, die in een op de tien huishoudens te vinden is. Volgens de onderzoekers hebben Nederlanders in het afgelopen jaar 183 miljoen euro besteed aan slimme beveiligingscamera's. In totaal werd 550 miljoen euro uitgegeven aan beveiligingssystemen.

Multiscope onderzoekt vaker technologie en de impact hiervan in Nederland. Het bedrijf merkte eerder dit jaar op dat Nederlanders voor in totaal 2,5 miljard euro aan smarthomeapparaten in huis hebben staan.

Alles bij de bron; NU


 

Door een fout weten nu ruim honderd medewerkers van de politie van elkaar dat zij PTSS (Post-Traumatische Stress-Stoornis) hebben. In een uitnodiging waren hun e-mail-adressen per abuis in de adresbalk, in plaats van in het BCC-veld geplaatst...

...Omdat praten met collega’s kan helpen, worden regelmatig contactdagen georganiseerd. In een uitnodiging hiervoor zette de casemanager van het meldpunt PTSS van de politie per ongeluk alle namen en e-mailadressen in de gewone adresbalk van de email, in plaats van verborgen in de BCC. Een van de getroffenen stuurde de e-mail-wisseling die daarop volgde door naar Omroep Brabant. De betreffende e-mail werd direct ingetrokken en de geadresseerden ontvingen excuses.

Een van de genodigden liet weten: ‘.... ik ga nooit. Want ik wil niet dat mensen van me weten dat ik PTSS heb. Ik schaam me ervoor.’ 

Alles bij de bron; BeveilNieuws


 

Ontwikkelaars van iPhone-apps hoeven pas in 2021 om toestemming te vragen om het apparaat van een gebruiker middels een unieke code te kunnen volgen. Apple heeft deze verplichte privacywijziging, die eigenlijk in zou gaan met de komst van de nieuwste iPhone-software iOS 14 in de herfst, uitgesteld tot "begin volgend jaar".

Facebook waarschuwde eind augustus dat deze wijziging "ernstige gevolgen" zou hebben voor online adverteerders. Doordat veel iPhone-bezitters de toestemming waarschijnlijk zullen weigeren, kunnen adverteerders hun boodschap veel minder goed overbrengen op personen die zij willen bereiken.

Appontwikkelaars kunnen de toestemming voor deze vormen van volgen nog steeds vragen zodra iOS 14 in het najaar uitkomt, maar Apple gaat de functie pas begin 2021 verplicht stellen. Apple biedt een nieuw advertentiesysteem aan dat volgens het bedrijf privacyvriendelijker is voor gebruikers, omdat het geen gedetailleerde informatie van mensen deelt. 

Alles bij de bron; NU


 

De Nederlandse overheid zal de in Android en iOS ingebouwde corona-app niet gaan gebruiken. Dat laat het ministerie van Volksgezondheid weten. Deze week lanceerde Apple iOS 13.7 met een ingebouwde corona-app die gebruikers kan waarschuwen wanneer ze met besmette personen in contact zijn gekomen.

Exposure Notifications Express werkt als veel andere corona-apps, waarbij er via bluetooth codes worden ontvangen en uitgezonden. Ook kan het ingebouwde systeem een waarschuwing laten zien wanneer er contact is geweest met een besmet persoon. Exposure Notifications Express moet door de gebruiker worden ingeschakeld, het is opt-in. Wanneer er al een aparte corona-app is geïnstalleerd wordt daar gebruik van gemaakt.

Nederland zal het ingebouwde systeem niet gebruiken. "We hebben met de CoronaMelder alles voor iedereen begrijpelijk en toegankelijk gemaakt en het systeem is helemaal ingericht zodat de GGD'en er goed mee kunnen werken", aldus een woordvoerder.

Het systeem van Apple en Google is vooral bedoeld voor landen die nog niet over een corona-app beschikken. Google zal dezelfde functionaliteit later deze maand aan Android toevoegen.

Alles bij de bron; Security


 

Ruim 300.000 WordPress-sites lopen het risico om door aanvallers te worden overgenomen doordat ze een kwetsbare versie van de plug-in File Manager gebruiken. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, werd al aangevallen voordat een beveiligingsupdate beschikbaar was. Hoewel er inmiddels een patch is te downloaden hebben de meeste kwetsbare sites die nog niet geïnstalleerd.

Via File Manager kunnen WordPress-beheerders eenvoudig bestanden van hun website beheren zonder hiervoor van FTP gebruik te maken. De plug-in draait op meer dan 700.000 websites. 

Alles bij de bron; Security


 

De broncode van de veelbesproken CoronaMelder-app bevat vier tegenstrijdigheden. Dat blijkt uit een rapport van onderzoeksbureau Secura dat in opdracht van het ministerie van VWS de code onderzocht. Ze stellen vast dat er een verouderde versie van een softwarebibliotheek is gebruikt. Ook krijgen eigenaren van een gekraakt toestel geen melding dat ze een verhoogd beveiligingsrisico lopen.

Zo maakt de iOS-applicatie van CoronaMelder gebruik van een verouderde versie van een softwarebibliotheek voor de transportbeveiliging en implementatie van andere cryptografische functies. 

Ten tweede worden sommige cryptografische handtekeningen, die worden gebruikt om de sleutels te valideren die blootstellingsmeldingen ontgrendelen (zogenaamde tijdelijke blootstellingssleutels of TEK's), slechts gedeeltelijk gecontroleerd. Hierdoor zouden in theorie alle houders van een recent door KPN afgegeven PKI Overheid-certificaat geldige handtekeningen kunnen overleggen. Dat schendt volgens de onderzoekers gedeeltelijk de integriteitsvereisten die in de architectuur zijn vastgelegd. 

Ten derde voert de app geen controle uit om te zien of deze op een ge-root of gejailbreakt apparaat draait. In zo'n geval is het toestel gekraakt om bijvoorbeeld ongeautoriseerde programma’s te installeren of beperkingen van de fabrikant te omzeilen. De onderzoekers wijzen erop dat het uitvoeren van een app op een ge-root (Android) of gejailbreakt (iOS) apparaat beveiligings- en privacyrisico's met zich meebrengt. 'Dit kan de integriteit van alle apps en communicatie schaden.’

Ten vierde noemen de onderzoekers zogenoemde ‘afleidingsberichten’ die verzonden worden om het voor aanvallers moeilijker te maken om zinvolle informatie uit berichten te halen. ‘Als de app is uitgeschakeld, worden er nog steeds ‘lokmeldingen’ verzonden. Dit is niet volledig in overeenstemming met de functionele vereisten en kan onder specifieke omstandigheden een aanvaller helpen om gebruikers van de app te identificeren, zelfs als de app is uitgeschakeld.’

Het rapport wordt door het Eindhovense onderzoeksbureau Secura als vertrouwelijk aangeduid. Dat is opmerkelijk omdat het als openbaar te downloaden bijlage is toegevoegd aan de Kamerbrief. In die brief informeert minister De Jonge de Tweede Kamer over de voortgang van de ontwikkeling van de CoronaMelder.

Alles bij de bron; Computable


 

Russische hackers hebben persoonlijke gegevens van miljoenen Amerikanen buitgemaakt en op een internetforum gezet. 

De diefstal van persoonsgegevens kwam aan het licht na onderzoek door journalisten van de Russische zakenkrant Kommersant. Zij stuitten op Gorka9, een hackgroep die de data in handen kreeg en te koop aanbood. Het gaat om naam, geboortedatum, geslacht, adres, postcode, e-mail, kiezersidentificatienummer en stembureau-nummer van ruim 7,5 miljoen inwoners van de staat Michigan.

Daarnaast hackte Gorka9 gegevens van nog enkele miljoenen burgers in Connecticut, Arkansas, Florida en North Carolina. Gorka9 beweert tegen Kommersant dat de gegevens vanaf maart 2020 up-to-date zijn.

Alles bij de bron; FD


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha