Databeveiliging & Dataverlies

De beveiliging van Androidtelefoons blijkt een lachertje. Een hacker heeft ontdekt dat de wachtwoorden gewoon onversleuteld opgeslagen worden.De hacker suggereert dat het misschien toch een beter idee is om de wachtwoorden te encrypteren of toch om te vormen.

Andy Stadler van Android legt in de mail uit dat Android vier e-mailprotocols ondersteunt: POP3, IMAP, SMTP en Exchange ActiveSync. Al die protocols vereisen elke keer dat je verbinding maakt een wachtwoord. Android slaat het wachtwoord voor e-mailaccounts op in een SQLite-databank die onversleuteld in het geheugen van de telefoon terechtkomt.

Android moet dus wel de wachtwoorden ergens opslaan, argumenteert Stadler. En het is geen oplossing om het wachtwoord te versleutelen.

Lees alles bij de bron; zdnet 

Ook in Nederland gaan kranten, bladen en tv-programma’s over wettelijke en morele grenzen om informatie te verkrijgen.....

....een lopend onderzoek van de rijksrecherche naar de praktijken van recherchebureau Cipol uit Doetinchem, dat tegen betaling informatie zou hebben betrokken van ambtenaren bij de belastingdienst en de politie. Veel van de driehonderdvijftig geregistreerde particuliere recherchebureaus in ons land worden gerund door ex-politiemensen, die regelmatig een beroep zouden doen op vroegere collega's die nog binnen het korps werkzaam zijn.

'Alle privégegevens van iemand over wie je álles zou willen weten, zijn te koop,' verzekert voormalig informatiemakelaar Michel Kraay uit Den Haag. Als geen ander was hij bedreven in het ontfutselen van geheimen aan het ambtenarenapparaat. Zich verschuilend achter vindingrijke pseudoniemen, eventueel in combinatie met verdraaide stem of dialect, babbelde hij met gemak honderdvijftig sofinummers op een dag los. UWV, FIOD, het bevolkingsregister, de Rijksdienst voor Wegverkeer, de Dienst Nationale Recherche Informatie, de Sociale Dienst - ze tuinden eensgezind in zijn smoezen en verschaften de persoonlijke details waar hij om vroeg....

Lees alles (zeer uitgebreid) bij de bron; VrijNederland (Thnx-2-Dick)

De Europese Commissie piekert over een betere richtlijn voor datalekken. De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks.

...Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

Wat mist in de voorstellen is een boetebepaling. De huidige notificatieplicht kost ook geld – er is wel uitgerekend dat klanten informeren over een datalek al snel oploopt tot vijf euro per klant – maar te weinig.

Ik ben voor stevige boetes. Voor elk ontdekt datalek wordt een ferme boete in rekening gebracht, gebaseerd op hoe privé of misbruikbaar de gelekte gegevens zijn, vermenigvuldigd met het potentieel aantal getroffenen. Alleen dan zullen bedrijven en instanties zich realiseren hoeveel onze gegevens werkelijk waard zijn. En hopelijk stelt die prijs grenzen aan hun tomeloze verzameldrift.

Lees de volledige column bij de bron; karinspaink  

Bijna 50 websites, met name van de GGD, hebben privégegevens gelekt door een gat in cms cBase2. Daardoor waren gegevens over gevoelige zaken als gezondheid in te zien. Het gaat om 136 databases.

Een Nederlands lid van hackercollectief Anonymous heeft via een eenvoudige SQL-injectie toegang gekregen tot 136 databases. De databases waren allemaal in één keer te kraken omdat alles op dezelfde server stond.

Vanwege de gevoeligheid van de gegevens besloot hij deze niet, zoals de laatste tijd gebruikelijk lijkt, op straat te gooien. In plaats daarvan heeft de hacker de maker van het cms geïnformeerd. De websitebouwer Orangehill heeft daarop de problemen in cBase snel opgelost.

Lees alles bij de bron; webwereld 

Uit fysieke observaties en mystery guest-acties die LVBD Consultancy de afgelopen drie jaar heeft gedaan bij elf overheidsorganisaties blijkt dat ambtenaren zeer slecht scoren op waakzaamheid op dit vlak. Gemiddeld behaalt men een score van 13 op een schaal van 1 tot 100. Van de elf overheidsorganisaties behaalden zeven zelfs een gemiddelde score onder de 5 procent.

Zo gaan ambtenaren gemiddeld slordiger om met mobiele gegevensdragers als USB-sticks en pda's dan medewerkers van bedrijven. De ambtenaren scoren daarin 38 procent terwijl bedrijfsmedewerkers 80 procent scoorden op een schaal van 100.

Lees alles bij de bron; automgids 

BrowserID is een nieuw systeem dat internetgebruikers alleen met hun e-mailadres op websites laat inloggen en uiteindelijk gebruikersnamen en wachtwoorden moet vervangen. Het systeem gebruikt asymmetrische cryptografie en digitale handtekeningen om de browser de identiteit van de gebruiker te laten bevestigen. Vervolgens zouden identiteitproviders via het tekenen van een key-e-mail pair voor de identiteit van de gebruiker garant kunnen staan.

De Australische privacyexpert Roger Clarke waarschuwt gebruikers voor het systeem, dat volgens hem de privacy bedreigt en niet goed is doordacht. "Het BrowserID initiatief lijkt weer één van de vele en ernstige gebrekkige identiteitsmanagementsystemen, gebouwd rondom digitale handtekeningen en gebaseerd op ondoordachte en privacy-bedreigende aannames over technologie en menselijke behoeften."

Clarke adviseert internetgebruikers dan ook om het systeem van Mozilla te vermijden.

Lees alles bij de bron; security 

Bij de iPad en iPhone kan een kwaadwillende via een trucje meekijken en het wachtwoord achterhalen. Ook andere apparaten met aanraakscherm zijn vast niet immuun voor die slimmigheid.


De methode om af te kijken welk wachtwoord een iPhone- of iPad-eigenaar invoert, is ontwikkeld door de Zuid-Afrikaanse beveiligingsspecialist Haroon Meer. Hij bedacht zich dat het oplichten van aangeklikte letters op het virtuele toetsenbord mogelijkheden bood om het wachtwoord te lezen. En hij ontwikkelde vervolgens een app, de shoulderPad, om te bewijzen dat het echt kon.

Een uitgebreidere beschrijving van zijn hack geeft Meer in de publicatie On Screen Keyboards Considered Harmful Today (PDF). Met de titel van zijn publicatie geeft Meer al aan dat hij verwacht dat ook andere merken smartphones en tablets gevoelig zijn voor deze vorm van afkijken, maar hij heeft dat niet beproefd.

Lees alles bij de bron; automgids 

 

Digitale schaduw is de data die anderen over u creëren. Deze data blijkt veel groter te zijn dan alle data die mensen zelf aanmaken en groeit ook veel sneller. De digitale schaduw is uw passieve digitale footprint die deels ongemerkt wordt opgebouwd.

Hoewel er groeiende mogelijkheden zijn om de data van de digitale schaduw over u zelf te kunnen vinden en inzien, zal een belangrijk deel moeilijk of zelfs nooit toegankelijk zijn of worden. Voorbeelden zijn beeldinformatie van camera's in een winkel, winkelcentrum of bij een pinautomaat. Maar denk ook aan medische data naar aanleiding van onderzoeken of foto's van jezelf, ongemerkt geplaatst door derden op Facebook of Hyves.

Het IDC rapport vermeldt dat 75% van alle gegevens worden geproduceerd door individuen en dat 80%  op enig moment een verantwoordelijkheid is van een zakelijke onderneming. Dit kan een internetprovider zijn, een dienstverlener die digitale diensten uitvoert of een werkgever waar bedrijfs- en persoonlijke informatie steeds meer door elkaar heen lopen. 

Dat betekent ook dat data van uw digitale schaduw - uw onbewuste ‘digital footprint' - op enig moment de onbewuste verantwoordelijkheid van die onderneming zal zijn. Gegeven de groeiende aandacht voor privacy en de toenemende kans op het onbewust lekken van allerlei persoonlijke informatie via allerhande netwerken, kan de verantwoordelijkheid voor die onbewuste digitale schaduw van derden weleens oncomfortabel gaan worden.

Lees alles bij de bron; documentwereld

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha