Onderzoekers van een Nederlandse IT-beveiliger hebben in de software van veel Zyxel-netwerkapparatuur een hardgecodeerd backdoor-account ontdekt dat administrator-rechten heeft. Dit is net voor kerst gedeeltelijk geopenbaard en gedeeltelijk gefixt. Het eerder bewust achtergehouden wachtwoord, wat niet valt te wijzigen, ligt nu ook op straat. En nog niet alle getroffen Zyxel-producten hebben een fix gekregen.

...Het is niet de eerste keer dat Zyxel op deze manier de fout in gaat, memoreert ZDNet. In 2016 werd ook een backdoor ontdekt in Zyxel-apparatuur die te benaderen was met elke gebruikersnaam in combinatie met het wachtwoord "zyad5001". Dat verhoogde de rechten van de betreffende gebruiker tot toegang tot het root-niveau.

In feite gaat het nu om een nog ernstigere fout van het bedrijf. In 2016 moest een aanvaller nog een accountnaam weten van iemand met toegang tot de apparatuur. Nu staan gebruikersnaam en wachtwoord gewoon in platte tekst in de firmware. In 2016 ging het nog vooral om apparatuur bedoeld voor thuisgebruik terwijl deze misser zit in cruciale apparatuur zoals firewalls en routers voor grote netwerken.

Alles bij de bron; AGConnect

Apps van verschillende supermarktketens delen stiekem data met Facebook, zo stelt de Consumentenbond op basis van eigen onderzoek naar de apps en websites van supermarkten. De apps van Coop, Deen, Jumbo, Jan Linders, Picnic en Spar blijken bij een eerste onderzoek te communiceren met Facebook zonder klanten hier 'aan de voorkant' over te informeren. Zo kan Facebook zien wie bij welke supermarkt boodschappen doet, wanneer dat gebeurt en met welke telefoon. Op deze manier delen de apps stiekem informatie met Facebook, aldus de Consumentenbond.

Verder blijkt dat Coop, Dirk, Jan Linders, Plus en Spar kwetsbaar zijn voor bruteforce-aanvallen op gebruikersaccounts. Een aanvaller kan onbeperkt het wachtwoord van klanten raden. Bij zes supermarkten, Coop, Hoogvliet, Jan Linders, Picnic, Plus en Spar, is het mogelijk om te kijken of een opgegeven e-mailadres bij de supers is geregistreerd. Verder plaatsen de websites van Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic en Spar zonder toestemming advertentiecookies.

De Consumentenbond waarschuwde de supermarktketens in november en deed begin december een hertest. De bruteforce-aanvallen blijken nog steeds mogelijk. Volgens de supers kunnen ze vanwege de coronacrisis en kerstdrukte dit probleem pas later oplossen. Coop, Deen, Dirk, Hoogvliet, Jan Linders en Spar blijken nog steeds zonder toestemming advertentiescookies te plaatsen. Supermarktketens Deen, Jumbo, Jan Linders en Spar sturen nog steeds data door naar Facebook. Jumbo zegt hier in het eerste kwartaal van 2021 mee te stoppen.

De apps en websites van Albert Heijn, Aldi en Lidl houden zich wel netjes aan de privacyregels. Ook zijn deze voldoende beveiligd, zo stelt de Consumentenbond. "De slechte beveiliging en de manier waarop de supermarkten met de privacy van hun klanten omspringen geeft al te denken, maar de laconieke reactie op onze bevindingen is ronduit zorgelijk", zegt Sandra Molenaar, directeur Consumentenbond.

Bron; Security

Het gaat om twee afzonderlijke boetebesluiten. In het kader van het ene boetebesluit krijgt Google LLC 60 miljoen euro boete, waar voor Google Ireland nog eens een boete van 40 miljoen euro bijkomt. Het andere boetebesluit gaat over een boete van 35 miljoen euro voor Amazon Europe Core.

In het geval van Google constateerde de CNIL op 16 maart tijdens een online onderzoek op Google.fr dat er automatisch cookies op de computer van een bezoeker van deze site werden geplaatst zonder dat er ook maar enige handeling van de bezoeker voor nodig was. Meerdere van deze cookies werden voor advertentiedoeleinden gebruikt, stelt de toezichthouder.

Bij Amazon gaat het om een soortgelijke situatie. De Franse privacywaakhond voerde tussen 12 december 2019 en 19 mei 2020 diverse onderzoeken uit op de website Amazon.fr. Daarbij constateerde de CNIL dat er automatisch cookies op de computer van een bezoeker werden geplaatst zonder dat de bezoeker daar invloed op had. Ook hier werden verscheidene van deze cookies voor advertentiedoeleinden gebruikt, meldt de toezichthouder.

De toezichthouder neemt het Google onder meer kwalijk dat het mechanisme om advertentiecookies te blokkeren, deels niet goed werkte. Gebruikers konden advertentiepersonalisatie weliswaar deactiveren, maar een van de advertentiecookies werd alsnog opgeslagen op de computers van de gebruikers en bleef actief.

Alles bij de bron; Tweakers

De Nationale Politie heeft een programma ontwikkeld dat het lekken door agenten van vertrouwelijke politie-informatie naar criminelen moet tegengaan. Het gaat om een methode die „opvallend zoekgedrag binnen de politiesystemen in een vroegtijdig stadium moet detecteren”. Alle politiemedewerkers zijn afgelopen vrijdag via het intranet geïnformeerd over de plannen. 

Vanaf het voorjaar wordt het computerprogramma geleidelijk in gebruik genomen, eind volgend jaar wordt „het zoekgedrag van alle 65.000 medewerkers gemonitord”. Afgelopen anderhalf jaar heeft bij de politie Amsterdam het controlesysteem ‘Atypische signalen’ al proefgedraaid.

De politie zegt „oneigenlijk gebruik van politie-informatie” op alle niveaus aan te willen pakken. Als voorbeelden worden genoemd: uit voorzorg het nieuwe vriendje van je dochter natrekken, uit nieuwsgierigheid het strafblad van een bekende Nederlander bekijken of tegen betaling informatie lekken over lopende onderzoeken.

Alles bij de bron; NRC

In en rond Meppel wordt ene Bianca naar eigen zeggen al acht maanden bedreigd naar aanleiding van een foto van Bianca en haar verloofde op facebook. 

In de tekst daaronder, vol spelfouten, staat dat ze ouderen van hun sieraden en geld beroven, inclusief werkwijze. Degene die het bericht heeft geplaatst vraagt of iedereen het op Facebook wil delen. Inmiddels is de teller al boven de 50.000 delers uitgestegen.

Pogingen om de foto offline te krijgen, mislukten telkens, ondanks pogingen de foto bij facebook te rapporteren. Bij de politie deed ze meerdere keren aangifte maar ‘daar hoor ik niks meer over’. Bianca is ten einde raad. 

Alles bij de bronnen; Cops-in-Cyberspace & SteenwijkerCourant

GGD-medewerkers hebben ongeoorloofd de dossiers ingezien van zeker twee bekende Nederlanders die een coronatest lieten doen. Eén van hen is de Rotterdamse burgemeester Ahmed Aboutaleb, blijkt uit informatie die het AD kreeg toegestuurd. 

In de dossiers die zijn ingezien staan onder meer BSN-nummers, 06-nummers en thuisadressen. 

De GGD meldt dat er melding van inbreuk is gedaan bij de Autoriteit Persoonsgegevens. ,,GGD GHOR Nederland heeft de personen in kwestie benaderd en geïnformeerd over het feit dat hun dossier is ingezien. Tegen de medewerkers die deze inbreuk hebben gepleegd is actie ondernomen.”

De privacyschendingen zijn gepleegd in de database CoronIT, een database met uitslagen en privégegevens van mensen die een coronatest willen ondergaan. Maar liefst 15.000 GGD’ers en medewerkers van de helpdesk en corona-afsprakenlijn hebben toegang tot dat systeem. 

Het is niet de eerste keer dat er wat mis gaat met CoronIT, het systeem waarin de testuitslagen van coronatests in te zien zijn. Door een storing in de database raakten GGD’en en het RIVM eerder belangrijke gegevens van het bron- en contactonderzoek kwijt. ,,Dit is een hoofdpijndossier, we balen ervan’’, erkende een medewerker van het RIVM destijds. 

Alles bij de bron; AD

Facebook kreeg in 2018 naar aanleiding van het schandaal al een boete van de Britse privacywaakhond ICO. De boete kwam uit op 500.000 pond. Maar volgens de groep achter de massaclaim - die zichzelf 'Facebook You Owe Us' noemt - was dat niet voldoende. "Minder dan 0,01 procent van je jaarlijkse omzet in boetes betalen - kleingeld voor Facebook - is duidelijk een straf die niet bij de misdaad past", aldus vertegenwoordiger Alvin Capio tegenover de BBC....

....Het schandaal rondom Cambridge Analytica is de afgelopen jaren nog regelmatig opnieuw aan de orde gekomen. Meest recent omdat de voormalige CEO van het bedrijf - Alexander Nix - in Groot-Brittannië een verbod heeft gekregen om een leidende positie te bekleden in het bedrijfsleven. Deze diskwalificatie geldt voor de komende zeven jaar. Het verbod is opgelegd vanwege het aanbieden van "potentieel onethische diensten" aan mogelijke klanten. 

Alles bij de bron; AGConnect

In een groeiend aantal binnensteden gebruiken winkeliers een databank om niet veroordeelde winkeldieven te registreren en een collectief winkelverbod op te leggen. Hoe wenselijk is dat?

...Tot een jaar geleden was het dagelijks raak in het centrum van Kampen: winkeldieven ‘roofden’ de winkels leeg. Daarom zijn de ondernemers uit Kampen vorig jaar gestart met een databank voor winkeldieven, in samenwerking met het aan de overheid gelieerde Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Wie in een van de ruim vijftig aangesloten winkels in Kampen steelt, komt – nadat de winkelier aangifte doet – in een afgeschermd systeem te staan met naam en foto. Ga je vaker in de fout? Dan volgt een winkelverbod voor een of alle deelnemende winkels met een looptijd van een jaar.

Het lijkt te werken: in Kampen is het aantal winkeldiefstallen sinds de invoering van de databank meer dan gehalveerd, ziet voorzitter Helleman...

...Hoewel de database bij deelnemers zorgt voor verbluffende resultaten, knaagt het. Want spelen winkeliers niet voor eigen rechter? En is de privacy van niet veroordeelde winkeldieven voldoende gewaarborgd?  

Het is een heel ingrijpend middel, vindt Sven Brinkhoff, hoogleraar straf(proces)recht aan de Open Universiteit, waarbij winkeldieven al bij één aangifte als schuldige in het systeem belanden. “Je bestempelt iemand als schuldig in een prille fase. Je zult maar onterecht op dit soort lijsten staan. Dat kan allemaal netjes in een protocol zijn geregeld, maar een zwak punt hierbij is dat de verantwoordelijkheid voor de naleving lijkt te liggen bij de lokale ondernemers.”

Privacydeskundige  Bart Schermer hamert erop dat dit soort systemen goed in de gaten moet worden gehouden. “In dat geval ben ik niet tegen zwarte lijsten zoals deze, maar het moet een heel streng systeem zijn. Het is een paardemiddel.” Alleen bij goedkeuring door de AP kan het worden ingezet, vindt Schermer.

Hoogleraar Brinkhoff signaleert dat initiatieven als een particuliere databank voor winkeldieven onderdeel zijn van een bredere maatschappelijke trend waarbij burgers steeds vaker aan ‘burgeropsporing’ doen. “We zien het ook bij buurt-appgroepen, burgerwachten en particuliere rechercheurs. Naming and shaming ligt op de loer. Daar moet je heel voorzichtig mee zijn.”

Alles bij de bron; Trouw