Meta heeft illegaal de gevoelige gegevens van zo'n één miljoen Koreanen met vierduizend adverteerders gedeeld, zo stelt de Zuid-Koreaanse privacytoezichthouder PIPC (Personal Information Protection Commission). Het techbedrijf verzamelde via Facebookprofielen politieke opvattingen, geloofsovertuigingen en of gebruikers met iemand van hetzelfde geslacht waren getrouwd. De informatie werd verkregen via likes van bepaalde pagina's en advertenties waarop werd geklikt.
De gevoelige gebruikersinformatie werd vervolgens gebruikt voor het maken van advertenties met betrekking tot gevoelige onderwerpen, zoals bepaalde religies, homoseksualiteit, transgenders en Noord-Koreaanse overlopers. Zaken als politieke opvattingen, geloofsovertuigingen en seksleven zijn gevoelige informatie die goed beschermd moeten zijn.
Alleen wanneer er een geldige grondslag is, zoals wanneer gebruikers expliciet toestemming hebben gegeven, mag een bedrijf dergelijke data verwerken, merkt de PIPC op.
Verder bleek dat Meta gebruikers geen inzage in hun persoonlijke gegevens gaf en had het geen maatregelen genomen om niet meer beheerde accounts en pagina's offline te halen. Doordat de accountverificatie van Meta tekort schoot konden deze pagina's en accounts via valse identiteitsbewijzen worden gekaapt, laat de toezichthouder verder weten.
De PIPC komt dan ook tot de conclusie dat Meta meerdere bepalingen van de Zuid-Koreaanse privacywetgeving heeft geschonden. Meta kreeg daarvoor een boete van omgerekend 15,5 miljoen dollar opgelegd. Het techbedrijf had vorig jaar een omzet van 135 miljard dollar.
Alles bij de bron; Security
Een hacker, bekend onder de naam IntelBroker, beweert toegang te hebben verkregen tot gevoelige bedrijfsgegevens van Nokia en biedt deze nu te koop aan voor 20.000 dollar. De hackersgroep is berucht door eerdere cyberaanvallen op prominente doelwitten.
De data zou afkomstig zijn van een SonarQube-server van een derde partij die onder meer voor Nokia werkt, zegt IntelBroker tegen de website BleepingComputer. De buitgemaakte data zou onder meer broncode, SSH- en RSA-sleutels, Bitbucket-inloggegevens en SMTP-accounts bevatten.
Een woordvoerder van Nokia bevestigt tegenover de website Hackread op de hoogte te zijn van de situatie en neemt de claim serieus.
Alles bij de bron; Tweakers
Bij een ransomware-aanval op de Amerikaanse stad Colombus zijn de gegevens van een half miljoen inwoners gestolen en uiteindelijk ook op internet gepubliceerd.
In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine laat het stadsbestuur weten dat gegevens van inwoners zijn gestolen en gepubliceerd op internet. Het gaat om naam, geboortedatum, rekeninggegevens, kopieën van rijbewijzen, social-securitynummers en 'andere identificerende informatie'. Het zou in totaal om vijfhonderdduizend mensen gaan.
Alles bij de bron; Security
Ruim twee jaar is Uri Sadot ermee bezig: de cyberveiligheid van zonnepalen, thuisbatterijen en laadpalen. Deze apparaten duiken massaal op in het stroomnet. “Wij beheren miljoenen van die apparaten in Europa. Als een deel daarvan zou uitvallen, zou dat tot stroomstoringen kunnen leiden. En toch kwam destijds geen enkele toezichthouder met ons praten.”
Sadot leidt de cyberstrategie van SolarEdge, een van de marktleiders in zonnepanelen, batterijen, omvormers en meer. Al die apparaten, ook van andere fabrikanten, zijn permanent met het internet verbonden. Fabrikanten en installateurs beheren ze in een digitale omgeving. Zo kunnen ze storingen snel opsporen, klanten op afstand helpen en al hun apparaten tegelijk beveiligingsupdates sturen of instellingen aanpassen.
Eén foute update via zo’n portaal of een gerichte aanval kan ervoor zorgen dat alle apparaten tegelijk uitgaan of massaal energie aan het net terugleveren. Door zo’n plotselinge spanningsverandering kan in theorie de stroom uitvallen, misschien wel in heel Europa, bleek uit Nederlands onderzoek van Secura.
‘Ethische hackers’, zoals Jelle Ursem van het Nederlandse cyberveiligheidscollectief DIVD, slaagden er al meermaals in om toegang te krijgen tot de controlepanelen van fabrikanten.
Ook kwaadwillenden slaagden erin om in te breken in de controlepanelen. Het Litouwse energiebedrijf Ignitis heeft bevestigt dat er digitaal is ingebroken in de software van 20 ‘kleine zonneparken’. Een andere groep hackers slaagde erin om zonnepanelen in Japan te hacken. In beide gevallen bleef de schade beperkt.
Het meest kwetsbare onderdeel in zonne-installaties is de omvormer het ‘brein’ van ieder systeem, legt Sadot uit. Die zet gelijkstroom om in wisselstroom, ze regelen hoeveel energie er van en naar het stroomnet stroomt en zijn uitgerust met een internettoegang. Ook thuisbatterijen hebben zo’n omvormer.
Bij veel van die apparatuur was cyberveiligheid geen onderwerp, zeggen deskundigen.
Hoog tijd voor nieuwe eisen, vindt Ralph Moonen van Secura. In opdracht van de Rijksoverheid onderzocht hij met collega’s de zwakke punten bij zonnestroom. “Ik heb nog geen portaal gezien dat echt veilig is”, zegt hij. Fabrikanten en installateurs gebruiken regelmatig eenvoudige en standaard wachtwoorden en stellen vaak geen tweede code in als extra beschermingsstap. Daardoor kunnen hackers zich relatief eenvoudig toegang verschaffen. Ook omdat gestolen wachtwoorden voor een habbekrats te koop blijken op het darkweb.
De portalen van batterijen, laadpalen en warmtepompen hebben dezelfde zwakke punten als die voor zonnepanelen, zegt Moonen. “Al die apparaten zijn op afstand bestuurbaar en kunnen energie afnemen of leveren aan het net. Door de combinatie van al die systemen groeit de kans dat het een keer mis gaat.”
Volgens Sadot van SolarEdge begint het besef te komen dat het anders moet. Zijn eigen bedrijf zorgde dat slechts een beperkt aantal van de apparaten via één hack te ‘stelen’ zijn, het maximeert het aantal zonnepanelen dat vanuit één portaal en server wordt aangestuurd.
Ook overheden beginnen in actie te komen. Zo stelt het Verenigd Koninkrijk voor laadpalen een ‘wachttijd’ verplicht. Als die op afstand het commando krijgen om zichzelf uit te schakelen, moeten ze maximaal 10 minuten wachten met uitvoering van dat commando. Zo heeft het stroomnet de tijd om te reageren op de plotselinge spanningspiek, wat de kans op storingen verkleint.
In Nederland heeft de zonnestroomsector afgesproken om bij de installatie van nieuwe omvormers voortaan een uniek en sterk wachtwoord in te stellen. En de Europese Unie heeft bepaald dat vanaf 2025 voor alle draadloze apparatuur, niet alleen in het energiesysteem, cybersecurityregels gelden. In 2027 worden die regels nog eens uitgebreid, met onder meer een meldplicht voor fabrikanten die een veiligheidsprobleem ontdekken.
Alles bij de bron; Trouw
De Recall-functie, ontworpen om gebruikers te helpen door hun pc-activiteit op te nemen werd aanvankelijk in mei aangekondigd maar wordt nu naar verwachting in december gelanceerd.
Recall maakt gebruik van de schermopnamemogelijkheden van Windows om gebruikers te helpen bij het eenvoudig terugvinden van eerdere acties of bekeken inhoud. Bezorgdheid over de privacy, geuit door cyberbeveiligingsexperts, leidde er toe dat Microsoft de lancering uitstelde. In tussentijd voerde het tests uit met deelnemers aan het Windows Insider-programma.
De aankondiging volgt op recente controverse rond Recall. Het gaat daarbij om beweringen van YouTubers die menen dat de functie stiekem is geïnstalleerd en geactiveerd op Windows-computers die zijn bijgewerkt met versie 24H2.
Brandon LeBlanc, Chief Product Officer voor Windows, verduidelijkte dat Recall niet verplicht zal zijn. Gebruikers kunnen er dus voor kiezen om het te activeren of deactiveren.
Het is nog niet duidelijk of België en andere Europese landen direct toegang krijgen tot Recall wanneer deze breder wordt uitgerold.
Alles bij de bron; BusinessAM
Afgelopen weken was er veel nieuws over Teens, een tienerversie van Meta's Instagram. Experts zijn daar, terecht, kritisch op: de aanpassingen zijn een papieren tijger die vooral de privacy van kinderen schaden.
Dat er wordt gezocht naar een manier om jongeren te beschermen, is niet gek, want jongeren kampen met telefoonverslavingen en komen steeds extremere content tegen. Maar de oplossingsrichting hoort niet vanuit Meta, een commercieel bedrijf, te komen.
Als alternatief komt er vanuit bezorgde ouders en beleidsmakers de roep om strenge leeftijdsverificatie en leeftijdsbegrenzing, waarbij mensen hun leeftijd moeten aantonen door bijvoorbeeld hun paspoort te uploaden. Een slecht idee, want dat is een enorme inperking van de privacy.
Er zijn veel effectievere oplossingen. Als samenleving moeten we enerzijds blijven inzetten op opvoeding, en anderzijds op het reguleren van sociale media via wetgeving door verslavende elementen te verwijderen en mensen meer controle te geven over hun online omgeving....
...De problemen die sociale media voor jongeren creëren, zoals overmatig gebruik en polarisatie, worden niet aangepakt door strenge vormen van leeftijdsverificatie. Dat zorgt eigenlijk alleen maar voor een privacy inperking en sluit jongeren af van de positieve kanten van sociale media.
Veel effectiever is inzetten op de wortel van het probleem door de verslavende en manipulerende mechanismen van sociale media te reguleren en ouders te steunen in het digitaal opvoeden. Dus zoals Big Tech-criticus Sohsana Zuboff schrijft "laten we deuren dicht doen, maar niet de verkeerde".
Alles bij de bron; Bits-of-Freedom
De Italiaanse Post heeft van 25.000 mensen de gegevens gelekt, omdat het had nagelaten beveiligingsupdates voor bekende en actief misbruikte kwetsbaarheden in Microsoft Exchange Server te installeren.
De gestolen gegevens bestonden onder andere uit gezondheidsinformatie, identificatiegegevens, lidmaatschap van vakbonden, strafbladen en financiële gegevens.
Alles bij de bron; Security
Free, de op één na grootste internetprovider van Frankrijk, heeft de persoonlijke gegevens van klanten gelekt. Bij een aanval die vorige week plaatsvond zijn naam, e-mailadres, adresgegevens, geboortedatum, geboorteplaats, telefoonnummer, abonnementsinformatie en contractgegevens gestolen.
De aanvaller claimt de persoonsgegevens van ruim negentien miljoen klanten te bezitten. Het zou ook om 5,11 miljoen IBAN-nummers gaan, aldus de Franse krant Le Figaro.
Een Franse beveiligingsonderzoeker meldt dat de gegevens op internet te koop worden aangeboden. Het zou om meer dan 43 gigabyte aan data gaan.
Alles bij de bron; Security
Hackers hebben de persoonlijke gegevens van honderd miljoen mensen buitgemaakt na een ransomwareaanval op het Amerikaanse zorgbedrijf Change Healthcare. Het is het grootste datalek van medische gegevens in de geschiedenis van de VS.
Het is de eerste keer dat er een concrete hoeveelheid getroffen slachtoffers van de hack wordt genoemd. TechCrunch schrijft dat de gestolen gegevens variëren per individu.
Change Healthcare heeft eerder bevestigd het om persoonlijke informatie gaat, waaronder namen en adressen, geboortedata, telefoonnummers en e-mailadressen. Daarnaast worden nummers van identiteitsdocumenten genoemd, waaronder social security, rijbewijzen en paspoorten.
Naast de medische gegevens zoals testresultaten, diagnoses en voorgeschreven medicijnen en behandelingen, hebben de hackers mogelijk ook informatie buitgemaakt met betrekking tot de ziektekostenverzekeringen en financiën van de patiënten.
Change Healthcare verwerkt verzekeringen, facturen en declaraties voor honderdduizenden ziekenhuizen, apotheken en andere zorgorganisaties in de VS. Op 12 februari werd het bedrijf het slachtoffer van een ransomwareaanval met grote gevolgen voor de Amerikaanse gezondheidszorg.
UnitedHealth gaf toe dat het datalek mogelijk was door middel van buitgemaakte Citrix-inloggegevens en een gebrek aan tweestapsverificatie van het platform. Na de aanval werden duizenden laptops vervangen en logins aangepast.
Alles bij de bron; Tweakers
De Ierse Data Protection Commission heeft LinkedIn een AVG-boete van 310 miljoen euro opgelegd voor diverse privacyovertredingen. Het zakelijke sociale netwerk zou zonder geldige reden gebruikersgegevens verzameld hebben voor persoonlijke advertenties.
Volgens de DPC had LinkedIn geen 'gerechtvaardigd belang' om de persoonsgegevens van zijn gebruikers te verzamelen voor gedragsanalyse en gepersonaliseerde advertenties. Dat was wel de grondslag waarop het netwerk zich beriep. Daarnaast maakte LinkedIn niet voldoende duidelijk waarom het platform de gegevens van gebruikers verzamelt.
Ook stelt de DPC dat gebruikers geen 'vrije toestemming' konden geven, aangezien ze niet goed werden geïnformeerd. Volgens de autoriteit is 'het verwerken van persoonlijke gegevens zonder goede grondslag een duidelijke en ernstige schending van het fundamentele recht op gegevensbescherming'.
Naast de boete van 310 miljoen euro beveelt de waakhond LinkedIn ook om zijn persoonsgegevensverwerking in lijn te brengen met de Europese privacyregels.
Alles bij de bron; Tweakers