Twee browsers springen er uit - in negatieve zin - in de resultaten van een wetenschappelijk onderzoek naar de mogelijkheden voor de gebruiker om zich te beschermen tegen misbruik van persoonlijke gegevens: Microsoft Edge en Yandex, een browser ontwikkeld door de gelijknamige Russische zoekmachine.

Het onderzoek van de computerwetenschapper Doug Leith van het Trinity College Dublin spitste zich toe op de manier waarop browsers data verzenden. Hij lette daarbij op unique identifiers en details met betrekking tot ingevoerde URL's. Die kunnen gebruikt worden om de handelingen van gebruikers over langere periode te traceren. Leith legde zijn bevindingen vast in een wetenschappelijk artikel.

Een van de pijnpunten van Edge is volgens Leith dat Edge bij elk verzoek om een nieuwe webpagina de hardware UUID (de universally unique identifier van het apparaat) verstuurt naar Microsoft-server self.events.data.microsoft.com. Yandex doet iets vergelijkbaars maar dan met een gehashte UUID. Beide browsers sturen bovendien "persistent identifiers" mee met paginaverzoeken naar backend servers. 

Microsoft geeft in een reactie als commentaar dat gebruikers dit uit kunnen zetten. Ook zou de informatie niet gekoppeld worden aan de Microsoft-accounts van de betreffende gebruikers. 

Alles bij de bron; AGConnect


 

Een bug op Facebook zorgde ervoor dat berichten over het coronavirus op grote schaal als spam werden germarkeerd. 

Facebook stuurde een deel van zijn moderatieteam naar huis om op die manier verspreiding van het coronavirus te voorkomen. Het personeel kan wegens veiligheids- en privacyoverwegingen niet vanuit huis werken. Sindsdien worden voornamelijk algoritmes gebruikt om foute berichten op te sporen en te verwijderen.

"We denken dat we de afgelopen drie jaar genoeg hebben gedaan om ons op deze situatie voor te bereiden", schreef Facebook op zijn blog vlak voor personeel naar huis ging. "Maar het kan zijn dat we iets meer fouten maken." 

Alles bij de bron; RTL


 

Twee Amerikaanse kredietverstrekkers hebben via een database die voor iedereen op internet toegankelijk was 425 gigabyte aan vertrouwelijke data gelekt. De gegevens van beide bedrijven werden in een onbeveiligde Amazon S3-bucket aangetroffen. 

Het gaat onder andere om meer dan een half miljoen gevoelige juridische en financiële documenten, zoals bankafschriften, kredietoverzichten, contracten, kopieën van rijbewijzen, belastingpapieren, bankgegevens, aankoopbewijzen, afschriften van creditcards en andere informatie.

De database was van de bedrijven Advantage Capital Funding en Argus Capital Funding, die kredieten en kortlopende leningen aan het mkb verstrekken. Nadat onderzoekers van vpnMentor de S3-bucket vonden hadden ze in eerste instantie geen idee wie de eigenaar was. Uiteindelijk kwamen ze uit bij Advantage en Argus. Beide bedrijven werden op 30 december gewaarschuwd, maar gaven geen reactie. Daarop werd Amazon zelf op 7 januari ingelicht, waarna de S3-bucket twee dagen later was beveiligd.

Alles bij de bron; Security


 

Op internet zijn allerlei goedkope fitnesstrackers te vinden, maar deze apparaten zijn een potentiële privacynachtmerrie, zo waarschuwen onderzoekers van Princeton University. De onderzoekers wilden weten hoe deze apps omgaan met de gegevens van hun gebruikers. "Gebruikers van deze apparaten betalen mogelijk een hoge privacyprijs en worden aan hun eigen lot overgelaten", aldus de conclusie van het onderzoek. 

Ze ontdekten dat veel van de fitnesstrackers gebruikmaken van een handvol apps die geen uitleg geven hoe verzamelde gegevens worden gebruikt. De VeryFitPro-app is veruit de populairste applicatie voor goedkope fitnesstrackers, met meer dan 5 miljoen installaties in de Google Play Store.

De app vraagt allerlei permissies, zoals sms, camera, locatie, wifi-informatie, apparaat-id, gespreksinformatie, apparaat- en appgeschiedenis, identiteit, telefoon, opslag, contacten en foto/media/bestanden. Verder lijkt het korte privacybeleid via een automatische vertaaltool naar het Engels te zijn vertaald. Het privacybeleid van deze app laat weten dat aanpassingen aan het privacybeleid op elk moment kunnen worden doorgevoerd en dat het aan gebruikers is om geregeld het privacybeleid op deze aanpassingen te controleren. Wanneer gebruikers de app blijven gebruiken, accepteren ze ook het nieuwe privacybeleid, aldus de ontwikkelaars.

Een andere app met meer dan 500.000 gebruikers is JYouPro. Deze app verzamelt allerlei data over gebruikers, zoals slaappatroon, bewegingsgegevens, hartritme en andere zaken. De gegevens worden in China en Singapore opgeslagen.

Alles bij de bron; Security


 

Oostenrijk controleert via het mobiele netwerk van telecomprovider A1 geanonimiseerde gsm-locatiegegevens om te zien of maatregelen om sociale contacten te beperken effectief zijn. 

De Oostenrijkse publieke omroep ORF schrijft dat de maatregel al in gang is gezet. De informatie zou niet bedoeld zijn om individuele gebruikers te volgen, maar om de dichtheid van groepen mensen per gebied te meten en te kijken of de aangekondigde beperkingen op sociale aangelegenheden effect hebben. Verschillende politieke partijen in Oostenrijk hebben scherpe kritiek op het plan wegens de privacy-overwegingen. De maatregel zou wel AVG-conform zijn.

Alles bij de bron; Tweakers


 

Een softwarebedrijf dat een app levert voor aanbieders op Amazon UK, eBay en Shopify heeft via een onbeveiligde database acht miljoen records met persoonlijke informatie van online shoppers gelekt. 

De database was verkeerd door de beheerder geconfigureerd. In de database stonden onder andere klantnamen, e-mailadressen, afleveradressen, telefoonnummers, aankopen, betalingen, transactienummers en laatste vier cijfers van creditcardnummers. Het zou met name om data van Britse online shoppers gaan. 

Na te zijn ingelicht werd de database binnen een uur gesloten. De naam van het bedrijf is niet bekendgemaakt.

Alles bij de bron; Security


 

Mimecast, een Brits mail- en internetbeveiligingsbedrijf waarschuwt voor mails die afkomstig lijken van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). De mails beloven een update over corona, maar zijn in werkelijkheid bedoeld om de ontvangers te besmetten met malware of persoonlijke gegevens te ontfutselen...

...,,Als iemand namens het RIVM je via mail of telefoon vraagt om gevoelige informatie zoals creditcard- of bancaire gegevens, dan weet je dat het een valstrik is”, aldus Wearn. ,,Het RIVM vraagt nooit om die gegevens. Klik dus nergens op, en ga rechtstreeks naar rivm.nl om up-to-date te blijven.”

Alles bij de bron; AD


 

Vpn-provider NordVPN heeft een kwetsbaarheid in de eigen website verholpen waardoor gegevens van klanten hadden kunnen lekken. Alleen het versturen van een HTTP POST request zonder authenticatie naar join.nordvpn.com was voldoende om van gebruikers e-mailadressen, betaalmethode, valuta, bedrag en aangeschafte producten te achterhalen.

De onderzoeker die het beveiligingslek ontdekte meldde dit op 4 december vorig jaar bij het beloningsplatform HackerOne. Twee dagen later rolde NordVPN een update uit en beloonde de onderzoeker met 1000 dollar voor zijn bugmelding.

Een woordvoerder laat tegenover The Register weten dat het hier om een geïsoleerd geval gaat dat alleen een handvol gebruikers had kunnen raken, vanwege de rate-limiting die was geïmplementeerd. "In theorie waren alleen e-mailadressen voor een derde partij zichtbaar geweest", aldus de woordvoerder.

Rond dezelfde tijd rapporteerde een andere onderzoeker dat NordVPN geen rate limiting bij het opvragen van wachtwoorden toepaste. Dit probleem verhielp NordVPN op 11 december.

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha