Digitale Schandpaal

Waarom je niet zomaar deurbel-camerabeelden online kan gooien

Het is woensdagavond rond 18.00 uur, wanneer een paar jongens vlak voor de deur staan. Eentje belt aan, een ander wacht op de stoep. De deurbelcamera begint meteen te lopen en neemt ook het geluid op.

"Je vroeg wat te doen als ze opendoen, en na wat geroezemoes 'gewoon beroven'", schrijft de dochter van de eigenaren op Facebook. Ze zet de beelden erbij met een oproep: wie herkent deze jongens?

En juist dát moet je niet zomaar doen, waarschuwt politiewoordvoerder Sven Strijbosch. "Het is leuk als je snel resultaat boekt door te namen en shamen, maar als deze jongens echt wat gedaan hebben kan het ook averechts werken. Een rechter kan dit namelijk meewegen in een strafbepaling." De politie kan overigens niet verbieden om de beelden te delen.

De beelden uit Apeldoorn zijn inmiddels van sociale media verwijderd. De persoon die herkenbaar in beeld kwam, heeft contact opgenomen.

Maar beelden die eenmaal online staan, zijn vaak lastig onder controle te houden. Zo vind je op platforms als Dumpert regelmatig oude filmpjes van camerabeelden waarin mensen zich misdragen, of een misdaad begaan. Als daarbij mensen herkenbaar in beeld zijn, wordt hun privacy geschonden. En - stelt de Autoriteit Persoonsgegevens - dat mag je dus niet zomaar delen. Ook de deurbelcamera's vallen daaronder: die mogen in principe alleen eigen terrein filmen.

Bovendien, zegt de politie, helpt het dus in de rechtszaal vaak niet als beelden nog rondzwerven. "Wij roepen regelmatig op tot het delen van beelden met ons, omdat wij een intern proces starten: we delen het met collega's, achter de schermen, om te kijken of er intern herkenning is. Als dat niet het geval is, dan kan soms overgegaan worden tot het delen via opsporingsprogramma's." Maar dat gebeurt weloverwogen. "Een officier van justitie moet daar toestemming voor geven."

De politie maakt veel gebruik van beelden. "Beeld is vaak goud waard in zaken. En er is steeds meer, omdat mensen dashcams, deurbelcamera's en mobiele telefoons hebben waarmee ze ontzettend veel filmen." Er wordt daarom dankbaar gebruik van gemaakt, ook als je niets hoort. "Als wij onderzoek doen, kan het soms overkomen alsof het lang duurt en we niets doen. Maar alle stappen correct doorlopen, dat duurt even. Maar als het rond is, dan heb je wel een goede rechtszaak waarin het bewijs overeind blijft."

Alles bij de bron; OmroepGelderland

Bits of Freedom nomineert vier politici voor de Big Brother Awards

Vier politici zijn genomineerd voor een Big Brother Award van Bits of Freedom:

Hanke Bruins Slot - minister van Binnenlandse Zaken
"Vanwege het faciliteren van de grenzeloze datahonger van de geheime diensten en het afbreken van het toezicht op diezelfde diensten."
Femke Halsema - burgemeester van Amsterdam
"Vanwege de structurele en indringende inmenging in de levens van kinderen en jongvolwassenen in de Top 400 door de gemeente Amsterdam."
Ylva Johansson - Eurocommisaris
"Vanwege het wetsvoorstel van de Europese Commissie om vertrouwelijkheid op het internet op te heffen."
Dylan Yeşilgöz-Zegerius - minister van Justitie en Veiligheid
"Voor de poging van het ministerie van Justitie en Veiligheid om de illegale surveillancepraktijken van de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) te legaliseren."

Bits of Freedom heeft van alle genomineerden een uitgebreide beschrijving online gezet over de reden achter de nominatie. Bits of Freedom heeft de genomineerden geselecteerd vanuit een lijst aanbevelingen en tips. De stichting kijkt daarbij naar onder andere hoe ernstig de overtredingen waren, hoe lang die duren en hoe de privacyschender daar zelf mee omgaat.

Uit de genomineerden wordt een 'winnaar' gekozen op basis van publieksstemmen. Kiezers kunnen vanaf woensdag stemmen op vier genomineerden voor de Big Brother Awards. Daarnaast kiest een jury van experts ook een eigen winnaar.

De awards vinden plaats op 13 februari. Stemmen is mogelijk via bigbrotherawards.nl.

Alles bij de bron; Tweakers

Ierse privacytoezichthouder aangeklaagd over beslissing datalek Facebook

De Ierse privacytoezichthouder DPC is aangeklaagd over de beslissing dat het lekken van de gegevens van 110 miljoen Europese Facebook-gebruikers geen datalek is dat Meta verplicht om gedupeerden te informeren.

Vorig jaar april startte de Data Protection Commission (DPC) een onderzoek naar een datalek bij Facebook waardoor de persoonsgegevens van 533 miljoen gebruikers op straat kwamen te liggen.

Volgens Digital Rights Ireland heeft de DPC een oneerlijke procedure gevolgd in het voordeel van Facebook.

"De beslissing van de Data Protection Commission is onhoudbaar", zegt TJ McIntyre van Digital Rights Ireland. "De data van meer dan honderd miljoen Europeanen is nog steeds via internet te downloaden omdat Facebook privégegevens lekte: echte namen, telefoonnummers, geboortedata en e-mailadressen, een potentiële goudmijn voor fraudeurs. Dat is onder de AVG persoonlijke data, verkregen door misstanden bij Facebook, dat de getroffen gebruikers nog steeds blootstelt aan allerlei risico's."

De DPC ligt al jaren onder vuur omdat het op de hand van grote techbedrijven zou zijn die hun hoofdkantoor in Ierland hebben en het is een feit dat de DPC meerdere malen door Europese privacytoezichthouders is teruggefloten omdat aan Amerikaanse techbedrijven opgelegde boetes te laag waren. Na ingrijpen van Europese privacytoezichthouders legde de DPC uiteindelijk veel hogere boetes op.

Alles bij de bron; Security

Apple krijgt 8 miljoen euro boete voor gerichte advertenties in Franse App Store

De Franse privacytoezichthouder CNIL heeft Apple wegens gerichte advertenties in de Franse App Store een boete van acht miljoen euro opgelegd.

Wanneer gebruikers van iOS 14.6 de App Store bezochten werden verschillende identifiers, waaronder die voor het kunnen tonen van gepersonaliseerde reclame, automatisch door Apple gelezen, zonder dat het eerst toestemming van gebruikers had gekregen.

Vanwege hun advertentiedoel waren deze identifiers niet noodzakelijk voor de werking van de App Store. Daardoor mogen ze alleen met toestemming van gebruikers worden gelezen of geplaatst.

Daarnaast moesten gebruikers volgens CNIL een groot aantal handelingen verrichten om deze instelling uit te schakelen. Ook was de optie geen onderdeel van de initiële installatie van de iPhone.

Alles bij de bron; Security

Ierse privacywaakhond onderzoekt Twitter-datalek 5,4 miljoen gebruikers

De Ierse privacywaakhond Data Protection Commission onderzoekt of Twitter met het datalek van 'een of meerdere datasets' enkele bepalingen van de AVG heeft geschonden.

Eerder dit jaar werden de persoonsgegevens van de Twitter-gebruikers voor 30.000 dollar te koop aangeboden op een hackforum. De data werd verkregen via een api-kwetsbaarheid, die in januari door Twitter werd verholpen.

Daarnaast onthulde beveiligingsexpert Chad Loder dat er mogelijk nog meer persoonlijke gegevens zijn verzameld met behulp van de eerder opgeloste api-bug, zoals accountnamen, bio's, schermnamen, Twitter-ID's en verificatiebadges.

Alles bij de bron; Tweakers

Meta bekent geen schuld in Cambridge Analytica-schandaal en schikt voor 725 miljoen dollar

Meta heeft in een rechtszaak over het Cambridge Analytica-schandaal een schikking van 725 miljoen dollar getroffen. Volgens de klagers is het de grootste schikking ooit in een privacyzaak.

Meta heeft als onderdeel van de schikking, die nog door de rechter moet worden goedgekeurd, geen schuld bekend en stelt dat het dit doet in belang van de community en aandeelhouders.

De klagers in de zaak stellen dat Facebook de privacywetgeving heeft geschonden door gegevens van gebruikers met derde partijen te delen, waaronder Cambridge Analytica. Een hoogleraar van de Universiteit van Cambridge had een app ontwikkeld genaamd "This is your digital life" om persoonlijkheidsgegevens van Facebookgebruikers vast te leggen. De persoonlijke informatie die Facebookgebruikers via de quiz-app verstrekten kwam uiteindelijk in handen van Cambridge Analytica.

De app verzamelde niet alleen gegevens van de 270.000 mensen die van de app gebruikmaakten, maar ook van al hun vrienden. Zodoende kreeg Cambridge Analytica de data van 87 miljoen mensen in handen zonder dat die hiervan wisten of hier toestemming voor hadden gegeven. De data werd vervolgens voor politieke profileringsdoeleinden ingezet en gedeeld met derde partijen.

Verder stellen de klagers dat tussen de 250 miljoen en 280 miljoen gebruikers door het schandaal zijn getroffen, wat neerkomt op alle Amerikaanse gebruikers in de periode van mei 2007 tot december 2022. Meta heeft als onderdeel van de schikking, die nog door de rechter moet worden goedgekeurd, geen schuld bekend en stelt dat het dit doet in belang van de community en aandeelhouders.

Alles bij de bron; Security

Fail; Wachtwoordmanager kan door kritiek lek wachtwoorden lekken

Een kritieke kwetsbaarheid in de wachtwoordmanager Passwordstate maakt het mogelijk voor aanvallers om de wachtwoorden van gebruikers te stelen. Alleen het weten van een gebruikersnaam is voldoende, authenticatie of interactie van gebruikers is niet vereist.

Het is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Organisaties moeten die op een eigen server installeren. Via de wachtwoordmanager kunnen medewerkers wachtwoorden opslaan en delen.

Passwordstate biedt verschillende API's om met de wachtwoordenkluis te communiceren. Onderzoekers van Modzero ontdekten dat het mogelijk is voor een ongeauthenticeerde aanvaller om de authenticatie van de API te omzeilen. Alleen het weten van een gebruikersnaam is voldoende om opslagen wachtwoorden, one-time passwords, wachtwoordenlijsten en andere 'secrets' van de gebruiker op te vragen. "Vanwege de ontbrekende end-to-end encryptie van wachtwoorden, zijn wachtwoorden via deze aanval in cleartext te achterhalen", aldus de onderzoekers.

Click Studios, de ontwikkelaar van Passwordstate, heeft inmiddels een beveiligingsupdate uitgebracht.

Alles bij de bron; Security

Epic Games schikt voor half miljard dollar om privacyschending kinderen

Epic Games heeft een schikking van 520 miljoen dollar (490 miljoen euro) getroffen, meldt de Amerikaanse concurrentiewaakhond FTC maandag. De gameontwikkelaar van het populaire schietspel Fortnite werd beschuldigd van onder meer het schenden van privacyregels voor kinderen.

Het bedrijf zou informatie van spelers onder de dertien jaar hebben verzameld, zonder ouders op de hoogte te stellen of toestemming te verkrijgen. Ook heeft Epic Games volgens de FTC spraak- en tekstchat bij het populaire computerspel standaard ingeschakeld voor kinderen en tieners. Dat zou ervoor gezorgd hebben dat kinderen werden gepest, bedreigd en lastiggevallen.

Daarnaast werd het bedrijf beschuldigd van het in de val lokken van consumenten met bepaalde technieken om ze te laten betalen voor extra opties in het spel. Mensen die de aankoop wilden annuleren, werden daarbij belemmerd. Dat zou tot honderden miljoenen dollars aan onbedoelde aankopen hebben geleid.

Epic Games geeft de beschuldigingen niet toe, maar ontkent ze ook niet.

Alles bij de bron; NU

Misschien zijn Eufy-camera's niet zo privacyvriendelijk als je denkt

De beelden die Eufy-camera's maken, worden toch niet alleen offline bewaard zoals de fabrikant het beloofd. Eufy stuurt beelden en gevoelige gegevens naar servers van Amazon zonder dat gebruikers ervan op de hoogte zijn.

Eufy heeft er altijd als een van de weinige spelers in de industrie voor gekozen om videobeelden van gebruikers volledig offline te verwerken en dat in combinatie met een eigen Homebase-server voor elke klant.

Het is die schijnbaar privacyvriendelijke aanpak van Eufy die nu openlijk in vraag wordt gesteld. Beveiligingsconsultant Paul Moore schreef op 23 november op Twitter dat camera's en videodeurbellen videofragmenten uploaden naar cloudservers zonder dat cloudfunctionaliteiten zijn ingesteld. Gebruikers werden er ook niet van op de hoogte gebracht. Het gaat ook nog verder dan dat, want Eufy's camera's sturen daarnaast gegevens over gezichtsherkenning naar servers van Amazon.

In een reactie heeft Eufy informatie in deze aantijgingen grotendeels bevestigd en inmiddels heeft het in zijn iOS-app ook in kleine letters verwoord dat fragmenten inderdaad naar de cloud worden verstuurd, maar alleen als gebruikers pushmeldingen met bijbehorende thumbnails hebben aanstaan. Die kleine letters zijn ontdekt door ZDNet.

Mogelijk is er nog meer aan de hand, dezelfde Paul Moore beweert samen met een andere onderzoeker dat het ook mogelijk is om live beelden te streamen van Eufy-camera's via een simpele tool zoals VLC Media Player. Er is ook van encryptie geen sprake, ook al is dat ook één van de privacybeloften waar Eufy mee uitpakt.

Redacteurs van The Verge bevestigen de bevindingen alvast, zij hebben via de cloud en met VLC beelden van hun eigen camera's gestreamd.

Alles bij de bron; AndroidWorld

Meta krijgt AVG-boete van 265 miljoen euro wegens groot datalek

De Ierse privacytoezichthouder DPC heeft Meta een AVG-boete van 265 miljoen euro opgelegd wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen.

Het ging om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, in sommige gevallen e-mailadres, relatiestatus en andere informatie. De data was door middel van scraping verzamelt. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen.

Alles bij de bron; Security