- Gegevens
- Hoofdcategorie: Internet en Telecom
De makers van de TriangleDB-spyware, die volgens antivirusbedrijf Kaspersky jarenlang is gebruikt om iPhone-gebruikers te bespioneren, maakten misbruik van een onbekende hardwarefunctie van Apple-chips, zo stelt de virusbestrijder in een nieuwe analyse. Het bestaan van de spyware werd eerder dit jaar door Kaspersky onthuld, nadat het bedrijf er zelf slachtoffer van was geworden.
IPhones werden door middel van zero-click exploits, zonder enige interactie van slachtoffers, met de spyware geïnfecteerd. Eenmaal actief werden slachtoffers onder andere via de microfoon van de telefoon afgeluisterd. De afgelopen maanden maakte Kaspersky meerdere details over de spyware en gebruikte kwetsbaarheden bekend, die inmiddels door Apple zijn verholpen.
Gisteren presenteerde de virusbestrijder tijdens het Chaos Communication Congress dat de aanvallers ook misbruik maakten van een onbekende hardwarefunctie van door Apple ontworpen chips. Daardoor konden de aanvallers data naar onbekende hardwareregisters van de chip schrijven die niet door de firmware werden gebruikt.
Kaspersky vermoedt dat de functie waarschijnlijk voor debugging of testdoeleinden door Apple-engineers of de fabriek is gebruikt, of per ongeluk is toegevoegd. "Omdat deze feature niet door de firmware wordt gebruikt, hebben we geen idee hoe de aanvallers wisten hoe ze er gebruik van moesten maken", zegt onderzoeker Boris Larin.
...
Eerder dit jaar kwam Kaspersky met een tool waarmee gebruikers kunnen kijken of ze doelwit van de spyware zijn geweest. Daarnaast laat de virusbestrijder weten dat de Lockdown Mode van Apple waarschijnlijk bescherming tegen de aanval biedt, waarbij wordt gewezen naar het gebruik van de onzichtbare iMessage. De Lockdown Mode wordt echter pas sinds een jaar aangeboden en de spyware is volgens de onderzoekers al ruim daarvoor ingezet.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
443 online handelaren zijn in de afgelopen twee maanden door Europol en partners gewaarschuwd dat creditcard- of betaalkaartgegevens van klanten zijn gestolen. De handelaren zijn actief in zeventien landen.
De waarschuwingen zijn het gevolg van een actie van Europol samen met partners die twee maanden duurde.
De actie was specifiek gericht op digitale skimming, waarbij creditcard- of betaalkaartgegevens worden gestolen van klanten van online winkels. Aanvallers onderscheppen hierbij data gedurende het uitcheckproces bij webwinkels, zonder dat klanten of webwinkels hiervan iets merken. In veel gevallen blijft de diefstal dan ok onopgemerkt.
De Europol-actie is onderdeel van het bredere EMPACT-programma van EU, dat staat voor 'European Multidisciplinary Platform Against Criminal Threats' gericht op het bestrijden van cybercriminaliteit.
Vorige maand werd als onderdeel van EMPACT als een Oekraïense ransomware-bende opgerold.
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
Verschillende Joodse instellingen eisen opheldering van de AIVD over wie opdracht heeft gegeven voor de jarenlange spionage van Holocaust-overlevenden in de jaren na de oorlog.
Uit onderzoek van Het Parool blijkt dat Joodse Amsterdammers die betrokken waren bij het Nederlands Auschwitz Comité werden bespioneerd door de voorloper van de AIVD, de Binnenlandse Veiligheidsdienst (BVD). De veiligheidsdienst bestempelde ze decennialang als ‘extremisten’ en potentieel gevaar voor de democratie.
De BVD infiltreerde het comité en deed uitvoerig verslag van Holocaustherdenkingen. De dienst reisde zelfs Auschwitzoverlevenden achterna voor herdenkingsbijeenkomsten in het buitenland. De dossiers vermelden wat het Auschwitz Comité tijdens vergaderingen besprak: van alledaagse regelzaken – wie schrijft een brochure? – tot aan het opzetten van politieke acties....
....Niet alleen Joodse instellingen, ook politici hebben met verbijstering gereageerd. Kamerlid Derk Boswijk noemt het ‘een krankzinnig verhaal’ en Pieter Omtzigt vindt de spionagepraktijken ‘bizar’ en zegt ‘graag een uitleg’ te willen.
Alles bij de bron; Parool
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Bank of Ireland heeft kredietbureaus verkeerde data over de schulden van duizenden klanten gestuurd, die hierdoor bijvoorbeeld geen hypotheek, lening of telefoonabonnement konden afsluiten of creditcards aanvragen.
De Britse privacytoezichthouder ICO heeft de bank nu een berisping gegeven, omdat het in strijd met de privacywetgeving heeft gehandeld. Die verplicht dat organisaties ervoor moeten zorgen dat de persoonlijke data die ze hebben kloppend is. De fouten die de Bank of Ireland UK maakte konden bij duizenden mensen voor ellende zorgen", zegt Natasha Longson van de ICO.
Het probleem deed zich alleen bij klanten voor waarvan de schuld was verkocht aan incassobureaus.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Google biedt adverteerders sinds 2019 de mogelijkheid om reclame te maken in Google Nieuws. Dat is een op interesse gepersonaliseerd nieuwsoverzicht dat je kunt opvragen via de website van Google. Je krijgt het nieuwsoverzicht ook te zien als je op het hoofdscherm van veel Android-smartphones naar rechts veegt.
Maar de advertentiemogelijkheid in dat nieuwsoverzicht wordt misbruikt voor oplichting. Op dezelfde manier kunnen advertenties ook misbruikt worden om je door te laten klikken naar desinformatie en beïnvloedingscampagnes.
De in het nieuwsoverzicht aangetroffen advertenties zijn ingekocht door Chinese partijen. Wie op de advertentie klikt, krijgt een nagemaakt nieuwsartikel in de stijl van NU.nl of het AD te zien....
....Google erkent dat het opsporen, herkennen en verwijderen van malafide advertenties een kat-en-muisspel is. Het bedrijf ziet dat malafide adverteerders telkens nieuwe manieren bedenken om de controles van Google te omzeilen. Daardoor is het voor Google erg moeilijk om ertegen op te treden.
De zoekgigant wijst daarom op de mogelijkheid om schadelijke advertenties te melden. Dat kun je doen door bijvoorbeeld op het infosymbooltje in een advertentie te klikken.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Privégegevens van mensen die via KLM en Air France reisden, zoals telefoonnummers en e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig voor onbevoegden te achterhalen, zo stelt de NOS op basis van eigen onderzoek.
Het datalek werd veroorzaakt door de links met vluchtinformatie die de luchtvaartmaatschappijen via sms naar passagiers stuurden. Die bestonden slechts uit zes tekens en er was verder geen authenticatie vereist om de gelinkte vluchtinformatie te bekijken, waardoor een aanvaller kon proberen om geldig tekencombinaties via een script te achterhalen. Van elke honderd tot tweehonderd adressen die automatisch waren te proberen was er dan één geldig.
Uit het onderzoek bleek dat de codes te kort waren en er te veel werkende codes waren.
Na te zijn ingelicht op vrijdagmiddag werd het probleem bij zowel KLM als Air France binnen een paar uur verholpen. Van hoeveel mensen de gegevens zijn gelekt wil KLM niet zeggen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Amerikaanse wetgevers hebben donderdag een wetsvoorstel goedgekeurd waardoor onder meer de controversiële ‘Section 702’ van de Foreign Intelligence Surveillance Act (FISA) de komende vier maanden van kracht blijft.
Voor Amerikaanse inlichtingendiensten blijft het met de goedkeuring van het wetsvoorstel mogelijk om communicatie van buitenlanders in het buitenland te onderscheppen en te analyseren met als bedoeling om terroristische aanslagen en bedreigingen voor de nationale veiligheid te voorkomen. Deze mogelijkheid was zonder goedkeuring op 1 januari verlopen.
Privacyorganisaties en burgerbewegingen reageren teleurgesteld op het besluit en maken zich grote zorgen over deze mogelijkheid en stellen dat de verzamelende gegevens van burgers voor andere doeleinden kunnen worden gebruikt.
In Europa maakt privacyorganisatie Noyb zich al langere tijd zorgen om ‘sectie 702’ waardoor gegevens van Europese burgers volgens de organisatie niet goed genoeg beschermd zijn.
“Het fundamentele probleem met FISA 702 werd door de VS niet aangepakt, omdat de VS nog steeds van mening zijn dat alleen Amerikaanse personen grondwettelijke rechten waard zijn”
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Zo'n vijftigduizend WordPress-sites bevatten een kritieke kwetsbaarheid. De sites in kwestie maken gebruik van Backup Migration, een plug-in waarmee beheerders een back-up van hun WordPress-site kunnen maken, de site naar een andere host kunnen migreren of een lokale back-up kunnen herstellen.
Meer dan negentigduizend WordPress-sites hebben de plug-in geïnstalleerd.
Op 7 december kwam de ontwikkelaar van de plug-in met versie 1.3.8, waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat zo'n veertigduizend websites de update hebben geïnstalleerd, wat inhoudt dat nog zo'n vijftigduizend WordPress-sites kwetsbaar zijn.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Mensen die via hun PlayStation-account een Discovery-serie kochten, kunnen die vanaf 2024 niet meer kijken. De aankopen worden van accounts af gehaald en niemand krijgt geld terug.
Deskundigen hebben daarom moeite met de koopknop bij digitale aankopen, Dirk Visser, hoogleraar intellectueel eigendomsrecht aan de Universiteit Leiden, vindt de term in dit geval verkeerd. "Als je online een film aanschaft, koop je eigenlijk toestemming om herhaaldelijk te streamen", zegt hij.
Juridisch gezien gelden regels voor het kopen van fysieke dingen. "In een digitale omgeving is het fundamentele punt dat die niet bestaan", zegt ICT-jurist Arnoud Engelfriet.
"Je kunt een mp3-bestand niet op je voet laten vallen. In plaats daarvan betaal je om gebruik te kunnen maken van digitale producten. Het woord 'koop' is daarbij wel misleidend als blijkt dat het later teruggehaald kan worden door de aanbieder."
Als consument ga je met allerlei voorwaarden akkoord via het platform of de site waar je de aankoop doet. Dat doe je vaak als je een account aanmaakt. "Een ellenlang contract bij elke aankoop wil je ook niet hoeven doornemen", zegt Engelfriet. "Vaak is het zo dat gekke, onverwachte situaties in de kleine lettertjes worden opgenomen, omdat ze zo uitzonderlijk zijn."
"De kleine lettertjes mogen de grote ook niet tegenspreken. Dus als een reclame onbeperkt internet belooft, kan de aanbieder bijvoorbeeld niet zeggen dat daar toch uitzonderlijke beperkingen aan vastzitten. Onbeperkt is onbeperkt."
Iets voor altijd kopen betekent dus ook iets voor altijd kopen. Het is dan maar net onder welke voorwaarden een aankoop in de regels van een platform wordt beschreven. En dus blijkt het probleem toch vooral bij de betekenis van het woord 'kopen' te liggen.
"Als je iets digitaal koopt, verwacht je daar jaren plezier van te hebben", zegt Visser. "In principe betaal je nu voor onbepaalde tijd, behalve als de verkoper de toegang terugtrekt. Ik noem dat een wanprestatie: iets beloven te leveren wat je niet kunt waarmaken."
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Na dagenlang intensief onderhandelen is er een voorlopig akkoord bereikt over Europese regels om kunstmatige intelligentie (AI) te reguleren. Dat meldt de Franse Eurocommissaris Thierry Breton.
De wetgeving, die de AI Act wordt genoemd, wordt gezien als een cruciale stap om meer grip te krijgen op kunstmatige intelligentie en moet 'de grondrechten, democratie, rechtsstaat en het milieu' beschermen tegen bepaalde AI-toepassingen. Systemen worden opgedeeld in risicoklassen: hoe hoger het risico, hoe strenger de vereisten.
Een aantal vergaande AI-toepassingen, zoals het ongericht opbouwen van databases met (beveiligings)beelden voor gezichtsherkenning, wordt verboden. Dit geldt ook voor systemen die punten geven of straffen voor bepaald gedrag.
Ook is het werkgevers of onderwijsinstellingen niet toegestaan om emoties te herkennen met kunstmatige intelligentie. Voor politiediensten geldt in sommige gevallen een uitzondering op de regels, bijvoorbeeld in de zoektocht naar slachtoffers of daders bij zware misdrijven.
Over de AI Act is de afgelopen dagen zeer intensief onderhandeld en is de eerste ter wereld in zijn soort. Verwacht wordt dat de wet pas op zijn vroegst in 2025 van kracht wordt. Het Europees Parlement moet nog over de wet stemmen.
Hoewel AI jaren wordt toegepast in onze maatschappij, heeft de komst van AI-tools als ChatGPT de urgentie van wetgeving enorm vergroot.
Alles bij de bron; NOS