De AIVD, MIVD en politie hebben vandaag samen met de FBI en Canadese autoriteiten socialmediabedrijven gewaarschuwd voor het gebruik van de Meliorator-software bij beïnvloedingsoperaties door de Russische overheid.
De diensten omschrijven Meliorator als een 'AI-enabled bot farm generation en management software' voor de verspreiding van 'desinformatie'. Partners van RT, dat eerder bekend stond als Russia Today, zouden via de software fictieve online personen hebben gecreëerd die op X berichten plaatsen, zo claimen de diensten in hun waarschuwing.
Deze berichten zouden 'desinformatie' over verschillende landen verspreiden, waaronder de Verenigde Staten en Nederland.
Alles bij de bron; Security
Vijf studenten van de Hogeschool van Arnhem en Nijmegen (HAN) krijgen wegens een datalek dat zich in 2021 voordeed een schadevergoeding van driehonderd euro.
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Vorig jaar oktober oordeelde de kantonrechter dat de hogeschool een student wegens het datalek een schadevergoeding van driehonderd euro moet betalen. Kort daarna bleek dat meer huidige en voormalige studenten van de HAN overwogen een claim in te dienen tegen de onderwijsinstelling. De claims moesten aan strenge voorwaarden voldoen, wat er uiteindelijk voor zorgde dat in totaal zeven slachtoffers een claim indienden.
De juridische afdeling van de HAN oordeelde dat vijf van hen op basis van de uitspraak van de rechter recht hebben op een vergoeding.
Eén van deze studenten maakt aanspraak op nog eens driehonderd euro. Aanleiding is een datalek in januari van dit jaar, waarbij gedetailleerde medische gegevens van meerdere studenten op de aanwezigheidslijst voor een tentamen terecht waren gekomen.
Alles bij de bron; Security
Op een hackersforum is een databestand met bijna 10 miljard unieke wachtwoorden in plaintext gepubliceerd.
Het nieuwe bestand is gepubliceerd op BreachForums. De datadump heet 'Rockyou2024.txt', wat een verwijzing is naar een eerdere grote publicatie enkele jaren geleden die toen 'Rockyou2021' werd genoemd. Rockyou2021 bevatte al 8,4 miljard unieke wachtwoorden in plaintext, en was gebaseerd op een dataset uit 2009 dat enkele tientallen miljoenen wachtwoorden omvatte. Nu is het bestand dus verder uitgebreid tot bijna 10 miljard wachtwoorden.
Het bestand kan door kwaadwillenden voor uiteenlopenden aanvallen worden gebruikt.
Alles bij de bron; Dutch-IT-Channel
Privacygevoelige informatie, je hebt er al mee te maken als je een offerte of nieuwsbrief verstuurt. Of als je afspraken bijhoudt en contactgegevens van klanten vastlegt. Volgens de privacywet Algemene Verordening Gegevensbescherming (AVG) ben je verplicht deze data goed te beschermen. Maar de wet zegt niks over hoe je dat moet doen. Met deze drie tips kun je aan de slag.
1. Vraag alleen naar de gegevens die je echt nodig hebt, wat je niet hebt, hoef je ook niet te beschermen.
2. Bewaar gegevens niet langer dan noodzakelijk.
3. Sla je gegevens offline op, niet alles hoeft altijd online beschikbaar te zijn. Soms kun je ze ook digitaal offline opslaan. "Vraag je steeds af: wat is veiliger, welk risico loop ik per optie?”
Alles bij de bron; KvK
De ticket-app van de UEFA die verplicht is om tijdens het EK voetbalstadions binnen te komen deelt locatiegegevens van gebruikers met de Duitse politie, zonder dat dit in de beschrijving bij de appstores vermeld staat.
De Bayerischer Rundfunk plaatste onlangs een rapportage online (0:52) waarin de UEFA laat weten hoe locatiegegevens via de app met de autoriteiten worden gedeeld, zodat die kunnen zien waar fans zich precies ophouden.
Volgens de voetbalbond gaat het om geanonimiseerde locatiegegevens die continu via de app worden verstuurd. Dit staat echter nergens in de beschrijving van de app vermeld in de Google Play Store en Apple App Store, zo melden de Duitse websites Heise en Golem. Er wordt alleen vermelding van gemaakt in het privacybeleid.
Fans zijn verplicht om de app te gebruiken, aangezien er geen toegang meer tot wedstrijden verkregen kan worden via geprinte toegangskaarten. Naast de app moeten bezoekers ook bluetooth inschakelen. De tickets worden zowel via qr-codes als draadloze technologie gecontroleerd, zo meldt Der Spiegel.
Op de vraag waarom bluetooth is vereist laat UEFA weten dat het geen 'gevoelige informatie' wil prijsgeven, maar dat de technologie wordt gebruikt om de authenticiteit van kaarten tijdens het toegangsproces te controleren. Het is niet vereist om een internetverbinding te hebben als de toegangskaarten eerder in de app zijn gedownload.
Bron; Security
Vinted heeft verschillende aspecten van de AVG overtreden. Dat concludeert de SDPI, de privacytoezichthouder in Vinted-thuisland Litouwen. De toezichthouder begon een onderzoek naar het kledingplatform na privacyklachten uit verschillende EU-landen.
De privacytoezichthouder stelt onder meer dat het platform niet transparant genoeg is naar gebruikers over de verwerking van hun persoonsgegevens. Daarnaast doet het bedrijf aan 'shadowbanning', waarbij gebruikers zonder kennisgeving worden uitgesloten van het platform.
De manier waarop dergelijke shadowbans worden toegepast, is volgens de SDPI onwettig. Het belemmert gebruikers bijvoorbeeld bij het gebruikmaken van hun privacyrechten onder de AVG.
Ook vraagt Vinted ten onrechte om specifieke redenen wanneer gebruikers verzoeken voor het verwijderen van hun persoonsgegevens indienden bij het platform. Als dergelijke verzoeken worden geweigerd, geeft het platform daar ook onvoldoende uitleg voor.
De SDPI heeft besloten het kledingplatform hierom een boete van 2,385 miljoen euro op te leggen. Vinted gaat in beroep tegen het besluit.
Alles bij de bron; Tweakers
In 2023 kwam de toeslagenaffaire in een nieuwe fase met de verhoren van de parlementaire enquêtecommissie Fraudebeleid en Dienstverlening. Tegelijk werd pijnlijk duidelijk dat er nog bitter weinig veranderd is.
...in 2023 bleek dat verschillende overheidsorganisaties gewoon doorgingen met het gebruik van ondoordachte algoritmes. Enkele voorbeelden:
De Dienst Uitvoering Onderwijs (DUO) gebruikte voor het opsporen van fraude met studiebeurzen een algoritme dat zonder enige onderbouwing discriminatoir van aard was.
Het UWV gebruikte illegaal een algoritme om fraude met WW-uitkeringen op te sporen.
Enkele gemeenten gebruikten tegen beter weten in op onrechtmatige wijze de ‘fraudescorekaart’.
Er zijn vragen over de inzet van gezichtsherkenning door de politie en over het functioneren van het Team Openbare Orde Inlichtingen (TOOI) van de politie.
Aleid Wolfsen, voorzitter AP: “Dit is hoogstwaarschijnlijk nog maar het topje van de ijsberg. De datahonger van de overheid lijkt nog nauwelijks ingedamd."
Alles bij de bron; Durtch-IT-Channel
Bunq-bank heeft een kort geding aangespannen tegen NRC Handelsblad dat berichtte over medewerkers van de bank die zonder beletsel stiekem kunnen gluren op de rekeningen van klanten.
In het stuk wordt ingegaan op de privacy van zowel klanten als medewerkers van Bunq. Wie bij Bunq werkt kan zonder problemen de rekeningen inzien die er lopen, ook van collega’s.
In een brief aan NRC neem media-advocaat Christiaan Alberdingk Thijm alle ruimte om de ‘kwaadaardige bedoelingen’ van NRC te benoemen, maar in de sommatie komt het uiteindelijk neer op twee punten.
Een eerste is dat NRC de 'feitelijke onjuistheden' verwijdert en aangehaalde teksten uit de Slack-discussie verwijdert. Deze is vertrouwelijk volgens Bunq en ‘buiten de juiste context gepubliceerd’. Daarnaast wil Bunq dat de namen van medewerkers die deelnamen aan een interne Slack-discussie uit het stuk worden gehaald, omdat hun privacy daarmee is geschonden.
NRC heeft aan deze eis inmiddels gevolg gegeven. Volgens adjunct-hoofdredacteur Melle Garschagen gaat het overigens niet om namen van medewerkers, maar om gebruikersnamen op Slack.
Alles bij de bron; Adformatie
Datingapp Grindr moet een boete van omgerekend 5,7 miljoen euro betalen omdat het gegevens van gebruikers met advertentiebedrijven deelde, wat in strijd met de AVG gebeurde.
Grindr kreeg de boete door de Noorse privacytoezichthouder opgelegd omdat het van juli 2018 tot en met april 2020 locatiegegevens, ip-adressen, advertentie-ID, geslacht en leeftijd van gebruikers voor advertentiedoeleinden met meerdere derde partijen deelde, zonder dat het hiervoor een gerechtvaardigd belang had.
De dating-app ging vorig jaar tegen de boete in beroep, maar zonder succes. Een commissie van beroep oordeelde dat de toestemming die gebruikers gaven voor het verzamelen en delen van hun gegevens niet vrijwillig, specifiek of geïnformeerd was. Grindr tekende daarop beroep aan bij een Noorse rechtbank, maar wederom zonder succes.
"De regering werkt aan het onderzoeken van een verbod op surveillance-gebaseerde marketing. De Grindr-zaak laat zien hoe belangrijk het is om structurele veranderingen door te voeren tegen een industrie die leeft van de commerciële surveillance van mensen", zegt Lise Blyverke van de Noorse consumentenbond.
Alles bij de bron; Security
Bij de ransomware-aanval op de Belgische afvalverwerker Limburg.net zijn in totaal de gegevens van zo'n 293.000 klanten gestolen, waaronder hun rijksregisternummer, de Belgische tegenhanger van het burgerservicenummer. Dat heeft het bedrijf in een update over het incident bekendgemaakt.
In eerste instantie werd nog over 279.000 slachtoffers gesproken, maar uit verder onderzoek blijkt dat er ook data uit andere jaren is gestolen.
Eind juni werd het onderzoek naar de aanval afgerond en werd er meer duidelijk over de totale omvang van de gegevensdiefstal.
"Naast voornoemde gegevens, blijkt nu dat er ook bankrekeningnummers en rijksregisternummers uit andere jaren gestolen werden. In totaal gaat het om 292.734 personen. Alle betrokken personen worden persoonlijk verwittigd via brief. Personen die geen brief ontvangen zijn niet getroffen", aldus Limburg.net.
De criminelen achter de aanval wisten toegang te krijgen tot een RDP-server van de organisatie. "Nadat multifactorauthenticatie (MFA, meervoudige verificatie van de gebruiker) in eerste instantie de aanval kon weren, vonden de hackers een weg naar binnen via een andere toegangspoort waar geen MFA van toepassing op was.", aldus de afvalverwerker. Die voegt toe dat er bewust is besloten geen losgeld te betalen.
Alles bij de bron; Security