We maken dezer dagen massaal gebruik van de app Houseparty. Ontzettend leuk om met je vrienden te doen, maar een gigantisch drama voor je privacy. Althans, dat is wat experts nu naar buiten brengen.

De applicatie gaat er namelijk flink met je data vandoor en niet alleen wanneer je deze geopend hebt. Houseparty wordt op dit moment “een Trojaans Paard voor privacy” genoemd. 

Volgens Digital Privacy Expert Ray Walsh moeten zij zich ervan bewust zijn dat de applicatie “een verontrustende hoeveelheid persoonlijke informatie” verzamelt. Ray laat weten dat het ook om geolocatie gaat, waarbij Houseparty theoretisch gezien zijn gebruikers op de voet kan volgen.

Eerder werd al bekend dat regeringen gebruik maken van locatiedata vanwege COVID-19. Walsh is bang dat overheden dit dus ook zullen doen met de vele data die Houseparty verzameld heeft.

Gehan Gunasekara, professor commerciële rechten aan de Universiteit van Auckland, laat tegenover Radio New Zealand weten dat Houseparty een Trojaans Paard is op het gebied van privacy. “De app is in de mogelijkheid om iedere stap die je zet in de gaten te houden”, zo laat hij weten. Sterker nog: door het downloaden en het gebruiken van de app, geven we de ontwikkelaars toegang tot heel veel informatie. Waar je precies bent, met wie je contact hebt, hoevaak je contact hebt enzovoorts.

Op Twitter zijn er veel gebruikers die opeens verband leggen tussen het gebruik van Houseparty en veiligheid op het internet. Zo komen er verschillende meldingen binnen over het feit dat accounts gehackt zijn, nadat ze aan de slag gingen met de app. Denk hierbij aan accounts op PayPal, Netflix, Instagram, Spotify en in sommige gevallen zelfs apps van banken.

Er is een manier om Houseparty veiliger te gebruiken. Een manier om ervoor te zorgen dat de applicatie niet zoveel informatie binnen hengelt. Je kunt bijvoorbeeld je locatie-tracking uitzetten voor de applicatie of het gesprek waarin je zit vergrendelen. Maak dus gebruik van de prive-chat.

Het allerbeste advies dat gegeven kan worden is: maak geen gebruik van Houseparty. Het is misschien ontzettend leuk, maar vraag jezelf af of je het allemaal waard vindt.

Alles bij de bron; Want

De Zoom-app voor videobellen is plots overal en nu er door die extra populariteit meer onderzoek naar de app wordt gevoerd, blijkt Zoom zo lek als een zeef.

Vorige week waarschuwde onder meer de Electronic Frontier Foundation voor mogelijke privacyrisico's bij het gebruik van de app. Zo zou de organisator van een gesprek kunnen kijken welke andere programma's er op de computer van zijn mede-thuiswerkers draaien, en kunnen beheerders bijvoorbeeld IP-adres, locatiedata en toestelinformatie krijgen. Een ondertussen aangepaste regel in de privacy policy van het bedrijf zou Zoom bovendien de mogelijkheid geven om gesprekken te analyseren voor marketingdoeleinden. In januari vond Check Point Research dan weer een lek waardoor je meetings van op afstand kon afluisteren en vorig jaar leed de start-up aan een bug waardoor een kwaadwillige van op afstand de webcam kon overnemen. Die werd uiteindelijk gepatcht.

Maar er blijven geraamtes uit de kast vallen. Volgens onderzoek van The Intercept liegt Zoom bijvoorbeeld over zijn beveiligingsmaatregelen. Het bedrijf meldt op zijn website en in een white paper dat de dienst end-to-end encryptie ondersteunt, maar dat zou niet helemaal waar zijn. De dienst die aangeboden wordt, is TLS-encryptie of 'transport encryption', en da's iets anders.

TLS-encryptie is vergelijkbaar met bijvoorbeeld een https-beveiliging van een website. De website in kwestie weet wel dat je er bent, en kan zien wat je klikt, maar de verbinding tussen jou en de website is wel beveiligd. Bij de transportencryptie van Zoom wordt de verbinding tussen jou en Zoom, en je geadresseerde en Zoom, beveiligd. Maar Zoom zelf kan eventueel wel de gegevens zien terwijl ze over zijn servers loopt, al meldt het bedrijf wel dat het de gegevens niet decrypteert terwijl ze in die Zoom cloud zitten. De reden dat Zoom zijn encryptie 'end-to-end' noemt, volgens een woordvoerder in The Intercept, is omdat ze hun eigen servers als 'end points' zien. Dat is een bijzonder creatieve manier om met woorden om te gaan, gezien end points over het algemeen de... eindpunten zijn, dus de toestellen van de gebruiker, niet de server van de dienst die daartussen zit.

Volgens een rapport in Vice is het bedrijf ook slordig met mailadressen. Aan de grond hier ligt een functie waarbij mensen met hetzelfde maildomein in een 'bedrijfsdirectory' worden gestopt. Vanuit bedrijfsstandpunt is dat handig, want het betekent dat je bijvoorbeeld de profielen van je collega's uit het bedrijfsdomein kan opzoeken, met hun foto' en e-mail. Minder handig is dat als het bedrijfsdomein iets is als 'xs4all.nl', de mail directory van een van de ISP's van Nederland. Mensen die op Zoom inloggen met hun persoonlijke mail kunnen in bepaalde gevallen de namen, adressen en eventueel foto's zien van een reeks andere accounts in dat 'bedrijfsdomein', ook al zijn dat de persoonlijke mails van vreemden.

Zoom heeft de domeinnamen die in het Vice artikel aan bod komen ondertussen op zijn blacklist gezet, en geeft aan dat mensen domeinnamen altijd kunnen laten blacklisten. Zo stopt het domeinnamen als gmail.com, hotmail.com en anderen standaard niet in zo'n directory.

Rtlnieuws meldt ondertussen dat de app van Zoom ook je Windows-wachtwoord kan lekken. De app laat je toe links naar websites te delen, maar je kan daarbij ook naar bestanden op je eigen computer linken. Doe je dat, dan zou Windows automatisch de logingegevens doorsturen naar degene die de link krijgt, aldus RTL, waardoor eventuele aanvallers die in handen kunnen krijgen. Zoom heeft nog niet op dit mogelijk lek gereageerd.

Een en ander heeft er al toe geleid dat de openbaar aanklager in New York, Laetitia James, een onderzoek is gestart naar Zoom, omdat Zoom in de VS hier en daar wordt gebruikt voor scholen en digitale lessen, nu kinderen thuis moeten blijven. James maakt zich zorgen over de privacy van die kinderen, en vraagt zich af of Zoom zich wel netjes aan de regels houdt bij het krijgen van alle nodige toestemmingen voor het vergaren van data.

Alles bij de bron; Knack

De Nederlandse tennisbond KNLTB heeft wegens de verkoop van persoonsgegevens van een paar honderdduizend leden een boete van 525.000 euro gekregen, de hoogste AVG-boete tot nu toe. De boete werd opgelegd door de Autoriteit Persoonsgegevens die eind 2018 een onderzoek naar de handel in persoonsgegevens door de KNLTB startte.

Uit het onderzoek bleek dat de tennisbond persoonsgegevens zoals naam, e-mailadres, telefoonnummer, geboortedatum, geslacht en adresgegevens aan twee sponsoren verstrekte, zodat zij een selectie van KNLTB-leden konden benaderen met tennisgerelateerde en andere aanbiedingen. De ene sponsor ontving persoonsgegevens van 50.000 leden, de andere van meer dan 300.000 leden. KNLTB-leden werden vervolgens per post of telefoon door de sponsors benaderd.

De verkoop van persoonsgegevens zonder toestemming van de persoon in kwestie is doorgaans verboden. De KNLTB verklaarde tegenover de Autoriteit Persoonsgegevens dat het een gerechtvaardigd belang had om die gegevens te verkopen. De toezichthouder is het daarmee niet eens en stelt dat de KNLTB geen grondslag had om de data aan de sponsoren te geven. Daarmee heeft de tennisbond de AVG overtreden, zo stelt de AP.

Alles bij de bron; Security

De Immigratie- en Naturalisatiedienst (IND) heeft een aantal brieven voor Britten in Nederland per ongeluk naar het verkeerde adres gestuurd, bevestigt een woordvoerder na berichtgeving door de NOS. Volgens de omroep werd vervolgens in een aantal gevallen ook een tweede brief, waarin de ontvanger over het datalek werd geïnformeerd, in de verkeerde enveloppen gestopt.

"Door een vergissing is de huisnummertoevoeging weggevallen bij waarschijnlijk circa 6.800 brieven", bevestigt IND-woordvoerder Steffart Buijs over de eerste lichting brieven. "Hierdoor is een onbekend aantal brieven op het verkeerde postadres bezorgd." De brief werd in totaal verstuurd naar bijna zevenduizend Britten die in Nederland wonen.

De Tsjechische privacytoezichthouder is een onderzoek naar antivirusbedrijf Avast gestart wegens de verkoop van gebruikersgegevens aan derde partijen. Avast had een dochteronderneming genaamd Jumpshot die gegevens van Avast-gebruikers verwerkte. Vervolgens werd de, volgens Avast geanonimiseerde data, aan klanten verkocht. Het ging onder andere om Google en Microsoft. Die konden zo zien hoe mensen van het internet gebruikmaken. Vanwege de ophef die ontstond besloot Avast het bedrijf Jumpshot te sluiten.

Nu blijkt dat de Tsjechische privacytoezichthouder een voorlopig onderzoek naar de verkoop van de gegevens is gestart. "Op het moment verzamelen we informatie over de zaak. Er is een vermoeden van een ernstige en uitgebreide schending in de bescherming van de persoonlijke data van gebruikers. Gebaseerd op de onderzoeksresultaten zullen er verdere stappen worden ondernomen en het publiek zal te zijner tijd worden geïnformeerd", aldus Janu. 

Alles bij de bron; Security

De Ierse Data Protection Commission (DPC) is dinsdag een onderzoek gestart naar hoe Google en Tinder omgaan met data van gebruikers. De toezichthouder gaat bij zowel Tinder als Google kijken of de bedrijven een wettelijke basis voor de verwerking van gebruikersdata hebben en of de bedrijven transparant zijn over de verwerking van de gegevens.

Bij Google wordt specifiek gekeken naar de verwerking van locatiedata. Bij Tinder wordt ook gekeken of het bedrijf voldoet aan dataverzoeken van gebruikers.

Eerder deze maand bleek uit onderzoek van de Noorse consumentenbond dat de populaire datingapps Grindr, OkCupid en Tinder gevoelige gebruikersdata als locatiedata en seksuele voorkeuren doorverkopen aan adverteerders, zonder gebruikers daar goed over in te lichten.

Alles bij de bron; NU

Sonos heeft excuses aangeboden voor het tonen van e-mailadressen van honderden klanten, schrijft de BBC. De e-mailadressen waren als cc toegevoegd aan een massamail en waren daardoor voor alle ontvangers zichtbaar. Deze mail werd naar meer dan 450 mensen gestuurd.

Alleen in plaats van alle ontvangers in de bcc te plaatsen, waarbij de mailadressen voor de ontvangers niet zichtbaar zijn, waren deze in het cc-veld van de e-mail toegevoegd. Dat betekende dat alle ontvangers elkaars e-mailadressen konden zien.

Alles bij de bron; NU

Avast gaat het verzamelen van gebruikersdata via de virusscanner opt-in maken. Een update die gebruikers om toestemming vraagt zal worden uitgerold. Dat laat de virusbestrijder weten na ophef over het verzamelen en verkopen van gebruikersdata.

Vorig jaar werd bekend dat Avast miljoenen verdient aan gebruikers die de extensies van Avast of AVG hebben geinstalleerd. AVG is al enige tijd onderdeel van Avast. De verzamelde data, die volgens Avast niet naar personen is te herleiden, wordt geanalyseerd door het bedrijf Jumpshot, waar Avast een meerheidsbelang in heeft. Vervolgens wordt de data aan klanten verkocht. Het gaat dan om investeerders en "brand managers". Die kunnen zo zien hoe mensen van het internet gebruikmaken. Onder andere Google en Microsoft zijn klant Jumpshot.

Naar aanleiding van alle commotie heeft Avast nu wel besloten verschillende aanpassingen door te voeren.

"In juli 2019 hebben we een expliciete opt-in-keuze voor alle nieuwe downloads van onze desktop-antivirus getest die het legacy opt-out-mechanisme zal vervangen, en we zijn bezig om dit onder al onze bestaande gebruikers uit te rollen die proactief zullen worden gevraagd om hun keuze te maken", aldus de verklaring van Avast. 

Alles bij de bron; Security