De Cypriotische privacytoezichthouder heeft surveillancebedrijf WiSpear Systems een AVG-boete van 925.000 euro opgelegd wegens het verzamelen van mac-adressen en imsi-nummers van personen zonder hun toestemming. Het bedrijf kwam in 2018 al in het nieuws wegens de ontwikkeling van een speciale "surveillancetruck" waarmee smartphones binnen een straal van vijfhonderd meter zouden zijn te compromitteren en er toegang tot communicatie van bijvoorbeeld chatapps kan worden verkregen.
Volgens de Cypriotische privacytoezichthouder heeft WiSpear Systems als onderdeel van presentaties en tests over langere tijd zonder toestemming van betrokkenen hun mac-adressen en imsi-nummers verzameld. Zowel mac-adressen als imsi-nummers zijn unieke nummers, aldus de toezichthouder. Imsi-nummers zijn opgeslagen op de simkaart van de telefoon en worden door het toestel naar het netwerk van de provider gestuurd.
"Deze data, gecombineerd met de geografische locatie van een toestel op verschillende tijden kan tot de identificatie van de gebruiker van het toestel leiden", laat de toezichthouder weten, die stelt dat WiSpear artikel 5.1 van de AVG heeft overtreden. Daarin staat dat de verwerking van persoonsgegevens ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant moet zijn.
Alles bij de bron; Security
Het onderzoek van het Agentschap Telecom naar de mogelijkheid om ongewenste toegang tot de aftapvoorziening van KPN te krijgen zal later dan verwacht klaar zijn, zo laat de toezichthouder vandaag weten.
Het onderzoek werd ingesteld naar aanleiding van berichtgeving in de Volkskrant op basis van een geheim intern rapport dat Huawei vanuit China ongeautoriseerde toegang had tot de kern van het mobiele netwerk van KPN. Daardoor zou het afluisteren van telefoongesprekken door Huawei mogelijk zijn geweest en had het in strijd met de wet inzicht in de database met afgetapte telefoonnummers.
Sinds april is het Agentschap Telecom bezig met het onderzoek, dat antwoord moet geven op de vraag of vandaag de dag ongewenste toegang tot de KPN-tapvoorziening mogelijk is. Deze voorziening zorgt ervoor dat er na een justitieel bevel kan worden afgetapt.
Alles bij de bron; Security
De federale regering wil politie en justitie toegang geven tot de whatsappberichten van verdachten. ‘De voorgestelde wetgeving is de gevaarlijkste van alle Europese lidstaten’, zegt onder meer cryptograaf Bart Preneel (KU Leuven).
“Het is eigenlijk een aanpassing van een Europese richtlijn die gaat over het bijhouden van metadata. Het gaat daarbij over wie u belt of gebeld heeft, waar u bent of welke websites u raadpleegt. Die richtlijn is vernietigd door het Europees Hof. Nu probeert men die wet aan te passen. Zo wil men bijvoorbeeld enkel in gebieden met hoge misdaadcijfers dergelijke gegevens bijhouden.
Daarbij is er een vrij verrassend stuk wetgeving aan toegevoegd. Zo zouden berichtendiensten zoals WhatsApp, Signal of Facebook op vraag van politie en justitie de inhoud van de communicatie van verdachte personen moeten vrijgeven, waardoor het mogelijk wordt om die gesprekken af te luisteren of mee te lezen.”
"Het is gevaarlijk om achterpoorten toe te laten zoals nu wordt voorgesteld. Zo’n achterdeur verzwakt het systeem voor alle gebruikers. Eenmaal die er is, kan die evengoed misbruikt worden door criminelen om gegevens van onschuldige burgers te stelen. Of door niet-bevriende landen of autoritaire regimes - China, Rusland, Iran, Noord-Korea - om burgers in de gaten te houden.
Bovendien is die achterdeur niet nuttig. Wie iets van plan is of iets te verbergen heeft, gaat andere kanalen zoeken. Dus nu tref je de hele bevolking, en ook de overheid zelf, overigens. De Europese Commissie gebruikt bijvoorbeeld Signal. En nu zou de Belgische overheid Signal verplichten zo’n achterdeur in zijn systeem te bouwen. Het is dus een opmerkelijke discussie. De voorgestelde Belgische wetgeving is de gevaarlijkste van alle Europese lidstaten.”
Alles bij de bron; deMorgen
Google-topman Sundar Pichai zou hebben verzwegen dat de privémodus van de Chrome-browser data van gebruikers verzamelt. Dit beweren de aanklagers in een grote rechtszaak tegen het techbedrijf donderdag op basis van een mailwisseling tussen Pichai en Lorraine Twohill, het marketinghoofd bij Google.
Pichai zou al in 2019 op de hoogte zijn geweest van de vermeende dataverzameling. Twohill adviseerde de topman toen om de zogenoemde Incognito-modus "niet als privé te bestempelen, omdat dat leidt tot misvattingen over de bescherming die de modus biedt". Volgens de aanklagers heeft Pichai toen besloten om niets met de waarschuwing te doen, omdat hij niet wilde "dat de modus onder de loep werd genomen".
Google is in juni aangeklaagd in de Verenigde Staten omdat Chrome de privacy van gebruikers zou schenden. Google zou ook de gegevens van mensen die gebruikmaken van de privémodus van de internetbrowser verzamelen, en volgens de aanklagers is dat illegaal.
Alles bij de bron; NU
Op de telefoons van vijf Franse ministers is Pegasus-spyware aangetroffen. Dat meldt onderzoekssite Mediapart donderdag. Pegasus is ontwikkeld door de Israëlische NSO Group. Volgens de organisatie wordt de software alleen gemaakt om overheden en inlichtingendiensten te helpen bij het opsporen van criminaliteit.
Sporen van de spionagesoftware zijn aangetroffen op de telefoons van de Franse ministers Jean-Michel Blanquer (Onderwijs), Jacqueline Gourault (Ruimtelijke Ontwikkeling), Julien Denormandie (Landbouw), Emmanuelle Wargon (Huisvesting) en Sébastien Lecornu (Overzeese Gebiedsdelen).
Volgens The Guardian zijn er geen directe aanwijzingen dat de telefoons van de Franse ministers zijn gehackt. Daardoor is niet met zekerheid te zeggen of de ministers ook met de software in de gaten zijn gehouden.
Alles bij de bron; NU
Ministers Kajsa Ollongren van Binnenlandse Zaken en Koninkrijksrelaties en Sigrid Kaag van Buitenlandse Zaken vinden het gebruik van Pegasus-software om advocaten, politici, mensenrechtenverdedigers en journalisten af te luisteren onaanvaardbaar. Dat melden zij in antwoord op Kamervragen van de SP. Hoeveel Nederlanders ermee gehackt zijn, is niet bekend.
Op de vraag of Nederlandse instellingen gebruikmaken van Pegasus-software moesten de ministers het antwoord eveneens schuldig blijven. “In het algemeen geldt dat het Nederlandse instellingen niet is toegestaan binnen te dringen in geautomatiseerde werken. Uitzonderingen zijn gemaakt voor justitie en politiediensten ter opsporing van strafbare feiten, en voor inlichtingen- en veiligheidsdiensten ter bescherming van de nationale veiligheid. Deze organisaties kunnen onder omstandigheden en omgeven door waarborgen bijzondere bevoegdheden inzetten.”
Ollongren en Kaag delen de kritiek van de EU dat gebruik van het Pegasus-software onaanvaardbaar is.
Alles bij de bron; AGConnect
Een rechtszaak tegen Apple in de Verenigde Staten over privacyschendingen door spraakassistent Siri gaat door, zo heeft een Amerikaanse rechter bepaald. Volgens de klagers nam Siri geregeld privégesprekken op doordat de spraakassistent onbedoeld werd geactiveerd. Apple zou deze gesprekken met derde partijen hebben gedeeld, waaronder adverteerders.
De spraakassistent zou alleen bij bijvoorbeeld "Hey, Siri" moeten worden geactiveerd. Klagers stellen echter dat Siri ook zonder het activatiewoord actief werd en opnames maakte. Zo claimt één Siri-gebruiker dat hij na een privégesprek met zijn arts over een bepaalde behandeling gerichte advertenties voor deze behandeling ontving. Twee andere gebruikers claimen dat hun gesprek over sportschoenen, zonnebrillen en een restaurantketen ervoor zorgde dat ze hiervoor reclame te zien kregen.
Apple had een Amerikaanse rechter gevraagd om de massaclaim te verwerpen, maar de rechter bepaalde dat de klagers mogen bewijzen dat Siri door onbedoelde activaties geregeld privégesprekken opnam en dat Apple die opnames met derden deelde. Daarmee zou Apple de Amerikaanse afluisterwetgeving hebben overtreden, alsmede de privacywetgeving van Californië, meldt Reuters.
Volgens de Amerikaanse burgerrechtenbeweging ACLU is de rechtszaak een teken dat mensen gaan beseffen hoeveel informatie spraaktechnologie verzamelt. "Deze rechtszaak laat zien dat mensen eindelijk beseffen dat Siri niet voor ons werkt, maar voor Apple", aldus Nicole Ozer van de ACLU.
Alles bij de bron; Security
Belgische inlichtingendiensten mogen de omstreden Pegasus-spyware inzetten, zo stelt de Belgische minister van Justitie Vincent Van Quickenborne. Onlangs liet een samenwerkingsverband tussen Forbidden Stories, Amnesty International en verschillende mediabedrijven weten dat journalisten, activisten en politici wereldwijd via de Pegasus-spyware zijn bespioneerd.
Via de Pegasus-spyware is het mogelijk om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware, ontwikkeld door de NSO Group, wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
Ondanks felle kritiek van beveiligingsexperts en mensenrechtenorganisaties stelt Van Quickenborne dat de Pegasus-spyware legaal in België kan worden ingezet.
Op de vraag of de Belgische inlichtingendienst Staatsveiligheid klant is van NSO Group reageert de minister dat de dienst met allerlei aanbieders contact heeft gehad en dat er naar allerlei nieuwe technieken en technologieën wordt gezocht om aan de wettelijke opdrachten te kunnen voldoen.
Het Belgisch federaal parket is een onderzoek gestart naar mogelijke spionage van Belgische telefoontoestellen via de Pegasus-spyware. Dit naar aanleiding van recente berichtgeving van Amnesty en publicaties in de pers, meldt De Tijd. Het strafonderzoek bevindt zich echter nog in een beginfase.
Alles bij de bron; Security
Met behulp van spionagesoftware Pegasus, ontwikkeld door het Israëlische bedrijf NSO Group, houden autoritaire regimes journalisten, activisten en advocaten in de gaten. Maar we moeten ons realiseren dat ook de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is...
...Sinds een paar jaar mag de Nederlandse overheid, uiteraard alleen om zware criminelen te hacken, gebruikmaken van hacksoftware. Deze software koopt zij in. Of ze zakendoet met de NSO Group is niet bekend, maar anders zeker wel met haar concurrenten. Hiermee betaalt de Nederlandse overheid bedrijven om actief te zoeken naar zero-days, om deze vervolgens níét te melden aan de makers. ....
Tijdens de behandeling van de wet over hacksoftware (Wet Computercriminaliteit III) is er wel bij dit probleem stilgestaan, maar de gekozen oplossing is onbevredigend. Er is in de wet geregeld dat een zero-day gemeld moet worden aan de maker van de software, en dat dit alleen na rechterlijke goedkeuring kan worden uitgesteld. Op zich een redelijk compromis, maar het werkt alleen voor zero-days die de overheid zelf vindt. Als zij een kant-en-klaar spionagesoftwarepakket koopt, is onbekend welke kwetsbaarheden dat pakket benut.
Het kan dus best zijn dat de Nederlandse overheid haar hackbevoegdheid zelf correct gebruikt, maar door hacksoftware in te kopen, financiert zij bedrijven die hun businessmodel ervan hebben gemaakt om de veiligheid van het gehele internet te verzwakken. Nederland zou daarom dus geen hacksoftware op basis van zero-days meer moeten gebruiken.
In een tijd waarin criminelen juist langs elektronische weg moeten worden opgespoord is dat geen populair standpunt, maar het is wel noodzakelijk. Het Pegasusschandaal is immers precies waarvoor gevreesd werd bij de invoering van de hackbevoegdheid: onschuldige mensen worden gehackt met kwetsbaarheden die bij de overheid reeds bekend waren, maar die voor het gemak van het boevenvangen niet gedicht zijn.
Alles bij de bron; NRC
Wie twijfelt of zijn smartphone gehackt is en besmet met Pegasus, de spionagesoftware van de Israëlische NSO Group, kan dit controleren met een tool.
De zogeheten Mobile Verification Toolkit (MVT) is ontwikkeld door de onderzoekers van Amnesty International die de malware Pegasus grondig hebben onderzocht en onthuld. De tool werkt op zowel iPhones als Android-apparatuur.
De toolkit controleert de volledige back up op zogeheten indicators of compromise (IOC’s) die NSO gebruikt om Pegasus op een systeem te zetten. Ook een versleutelde iPhone-back up kan gecontroleerd worden door de toolkit; die ontsleutelt de back up volledig zonder dat een complete nieuwe kopie gemaakt moet worden.
Voor gebruik van de toolkit moeten wel de IOC’s van Amnesty geladen worden. Die staat op de GitHub-pagina van Amnesty.
Alles bij de bron; AGConnect