Covid gehad? Een vaccin laten zetten? Of je geboortedatum? Via de CovidScan-app, die horeca- en fitnessuitbaters moeten gebruiken om je coronapas te testen, is het kinderspel om gevoelige medische gegevens te achterhalen.
Privacy-activist Matthias Dobbelaere-Welvaert zegt naar de rechtbank te trekken.
Sinds maandag moet ook in Vlaanderen in horeca- en fitnesszaken de coronapas getoond worden. Dat via de CovidSafe-app, of een geprint exemplaar. Het is iemand van de zaak of het evenement die moet scannen, en dat via de officiële CovidScan-app. Dan komt de naam van de persoon tevoorschijn die binnen wil, met een groen of rood scherm.
Maar de applicatie heeft ook een profiel voor douane en politie, om terugkerende reizigers te scannen. Die functie is letterlijk voor iedereen beschikbaar, en toont plots ook heel wat meer info. Dat berichtte Data News eind vorige week. Een proef met een eigen smartphone en eigen QR-code bevestigt dat.
“Een caféuitbater kan plots ook iemands geboortedatum zien, of iemand een vaccin heeft gehad, welk vaccin precies, en wanneer de laatste prik was”, waarschuwt Matthias Dobbelaere-Welvaert, advocaat en bezieler van de ngo Ministry of Privacy. “Ik hoor dat ook een recent herstelcertificaat, en dus ook een besmetting, zichtbaar is. Terwijl dat allemaal niet nodig is.”
“Onze vaccinatiestatus is een medisch gegeven en wordt vanuit de GDPR sterk beschermd. Je kunt je afvragen of de uitbater daar veel mee aan kan, maar ook de werkgevers vragen nu al een tijd dat ook zij het CST mogen invoeren.”
“Je komt dus op een slippery slope terecht waarbij we steeds meer informatie moeten achterlaten. Vorig jaar zijn in horecazaken ook mailadressen en telefoonnummers van klanten gebruikt voor andere doelen dan voor de contacttracing.”
De privacy-activist plant nu een rechtszaak te starten. “De app is gewoon slecht gemaakt."
Alles bij de bron; Gazet-v-Antwerpen
De school-app Scoolio heeft via een onbeveiligde API de privégegevens van 400.000 minderjarige leerlingen gelekt. Het ging om het e-mailadres van leerlingen en bij jonge leerlingen ook van hun ouders, gps-locatie waar de app was geopend, schoolnaam en klas, interesses en gebruikersnaam...
...Wittmann waarschuwde Scoolio op 21 september. De app-ontwikkelaar rolde op 25 oktober een oplossing uit. Volgens Wittmann had Scoolio het lek binnen 72 uur moeten dichten en alle gebruikers moeten informeren, zo laat ze tegenover MDR weten. Scoolio bedankt de onderzoeker op de eigen website voor het melden van de kwetsbaarheid en stelt dat het later dit jaar aanvullende beveiligingsmaatregelen zal doorvoeren.
Alles bij de bron; Security
Privésleutels voor het genereren van valse coronacertificaten die door Europese corona-apps worden geaccepteerd zijn gelekt op internet.
Twee gesigneerde coronacertificaten die op internet circuleren zijn met de privésleutels van de Franse en Poolse corona-apps ondertekend. Hoe de sleutels precies konden lekken is onbekend.
Het ministerie van Volksgezondheid laat weten dat het een onderzoek heeft ingesteld naar het lekken van de private keys.
Alles bij de bron; Security
Volgens schattingen zou een derde van ruim tweehonderd miljoen Netflix-gebruikers zijn inloggegevens doorfluisteren aan ‘familieleden’ – zelfs al zijn ze geen familie. Door wachtwoorden te delen met anderen, deel je de abonnementskosten van het groeiend aantal videodiensten. Hoe meer zielen, hoe lager de prijs. In goed Nederlands: password sharing is het nieuwe filesharing.
Afgezien van de economische impact is het niet zonder risico om wachtwoorden te delen. Je weet niet of anderen wel voorzichtig zijn met je gegevens. Wachtwoorden zijn an sich al zwak – makkelijk te raden, makkelijk te stelen en te misbruiken. In het ergste geval gebruik je het gedeelde wachtwoord ook nog voor andere diensten. Zo’n slordigheid is voer voor hackers....
...De wereld is veranderd in een inlogmaatschappij die vraagt om ijzersterke wachtwoorden, extra verificatie, een telefoon met DigiD en biometrische beveiliging. Voor veel gebruikers – niet alleen ouderen – is dat een hoge drempel.
Zelfstandige wachtwoord-apps ondervinden concurrentie van de webbrowsers. Chrome, Safari, Edge en Firefox werpen zich allemaal op als geheugensteun en helpen gebruikers bij het verzinnen van complexe wachtwoorden.
Je weg vinden tussen die verschillende wachtwoordkluizen en authenticatiegereedschap is niet eenvoudig en het blijft een rotklus.
Alles bij de bron; NRC
Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt heeft nu ook beloningen uitgeloofd voor zerodaylekken in de Windowsapplicaties van vpn-aanbieders.
Er wordt gezocht naar kwetsbaarheden waardoor informatie is te achterhalen, het echte ip-adres van gebruikers zichtbaar wordt en erop afstand code op het systeem van gebruikers is uit te voeren. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten.
Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.
Alles bij de bron; Security
Volgens security bedrijf WizCase kon er 100GB aan data ingekeken worden. Daarin troffen de onderzoekers 500 miljoen records aan met informatie over de persoonlijke gegevens van 1 miljoen klanten en informatie over geïnstalleerde software op apparaten van ongeveer 300.000 QuickFox-klanten. Alle uitgelekte data dateert uit de periode tussen juni 2021 en september 2021. Het securitybedrijf kreeg toegang tot de data zonder dat het daarvoor inloggegevens of een wachtwoord moest ingeven.
De persoonlijke gegevens betroffen namen, e-mailadressen, telefoonnummers, apparaattypen en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld waren opgeslagen. Ook de originele IP-adressen van de vpn-gebruikers waren terug te vinden. Aan de hand daarvan kon WizCase zien dat het merendeel van de getroffen klanten zich in de Verenigde Staten, Japan, Indonesië en Kazachstan bevindt.
QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase.
QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn. WizCase nam contact op met QuickFox, maar heeft geen antwoord gekregen. Volgens Security.nl is het lek inmiddels gedicht.
Alles bij de bron; Tweakers
Welk bedrijf uit de buurt is gehackt, slachtoffer van een datalek of beboet voor schending van de privacywet. Dat kunt u opzoeken in een online overzicht op de website datalekt.nl. Dat geeft een actueel overzicht van incidenten die sinds 2016 hebben plaatsgevonden en via de media of privacytoezichthouder Autoriteit Persoonsgegevens (AP) in de openbaarheid zijn gekomen.
Het online overzicht is een initiatief van onderzoeksjournalist en schrijfster van het boek ‘Komt een vrouw bij de h@cker’, Maria Genova en cybersecurity-expert Joram Teusink van Mite3 Cybersecurity.
De kaart geeft zeker geen compleet beeld. ‘De meeste hacks en datalekken worden niet openbaar gemaakt. Dat bekent dat in werkelijkheid heel Nederland rood kleurt en dat er geen enkele sector is waar deze cyberincidenten niet plaatsvinden’, waarschuwen de makers.
Alles bij de bron; Computable
Zo'n 650.000 WordPress-sites lopen risico om door kwaadwillenden te worden overgenomen. Onderzoekers van Jetpack ontdekten twee kwetsbaarheden in de plug-in WP Fastest Cache .
WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd.
Jetpack waarschuwde de ontwikkelaar van WP Fastest Cache op 29 september. Vervolgens verscheen op 11 oktober versie 0.9.5 waarin de kwetsbaarheden zijn verholpen. Sinds het uitkomen van de nieuwe versie is WP Fastest Cache zo'n 354.000 keer gedownload, wat inhoudt dat nog zo'n 650.000 WordPress-sites niet zijn bijgewerkt met de nieuwste versie van de plug-in.
Alles bij de bron; Security
De Gegevensbeschermingsautoriteit GBA onderzoekt een mogelijk beveiligingslek bij het valideren en lezen van Covid Safe Tickets via de CovidScan-applicatie. Dat meldt de GBA zelf. Mogelijk zijn er 39.000 personen getroffen.
Het probleem situeert zich bij een gecodeerde lijst, zegt de Gegevensbeschermingsautoriteit. Die zogenaamde ‘suspension list’ is gecodeerd, maar kan via een sleutel die zich in de CovidScan-app bevindt, toch uitgelezen worden.
“In deze fase van het scanproces van het Covid Safe Ticket werd door een burger een potentiële beveiligingsfout opgemerkt”, zegt de GBA in een persmededeling. Deze persoon slaagde erin de beveiligingssleutel te gebruiken om de gecodeerde lijst zelf te kunnen lezen. Op die manier is het dus ook voor hackers in theorie mogelijk om te controleren welke gevaccineerde personen op welk moment toch positief hebben getest, terwijl gezondheidsgegevens de hoogst mogelijke vorm van privacy zouden moeten genieten.
“De Gegevensbeschermingsautoriteit neemt dit zeer ernstig, gezien de bijzonder gevoelige aard van gezondheidsgegevens”, klinkt het nog. De GBA zal de zaak verder opvolgen, maar kan geen verdere commentaar geven of er een onderzoek is opgestart, en wat er in tussentijd met de CovidScan-app moet gebeuren. Volgens onze informatie is het lek op dit moment ook nog niet gedicht.
Alles bij de bron; deMorgen
Sommige voormalige werknemers van OnlyFans hebben nog steeds toegang tot de gegevens van gebruikers van de dienst. Het gaat om het gebruik van Zendesk, een softwarepakket voor klantenservice. Werknemers van OnlyFans zouden soms nog lang na hun dienstverband toegang hebben tot deze softwareomgeving, aldus een ex-werknemer van het bedrijf.
Motherboard wist via de inloggegevens van meerdere oud-werknemers binnen te komen in de softwareomgeving. Via Zendesk zijn tickets in te zien van zowel betalende klanten als mensen die het platform gebruiken om hun content te plaatsen.
Via deze tickets vallen veel privégegevens in te zien, afhankelijk van waarom de gebruikers contact opnemen met OnlyFans. Zo zouden ex-werknemers toegang hebben tot creditcardgegevens, rijbewijzen, volledige namen, selfies met paspoort of ID-kaart en andere zeer persoonlijke informatie.
Alles bij de bron; RTL