Selecteer een pagina

Pas op met social media extensies voor Google Chrome en Microsoft Edge

Avast, een ontwikkelaar van antivirussoftware, heeft maar liefst 28 extensies voor Google Chrome en Microsoft Edge ontdekt waar malware in zit. Deze malware is in staat om persoonlijke data te stelen én om je internetverkeer naar malafide adverteerders en phishingwebsites te sturen.

Het gaat voornamelijk om extensies voor sociale media zoals Facebook en Instagram, extensies die bij elkaar overigens zo’n drie miljoen keer zijn gedownload.

De malafide browserextensies zijn in staat om internetverkeer door te sluizen naar partijen met slechte bedoelingen. Dat kan gaan om doorverwijzingen naar irritante advertenties, maar de malware kan je ook doorsluizen naar phishingsites. In die gevallen zit er óók nog een financieel risico aan.

De Avast-onderzoekers hebben daarnaast ontdekt dat de malware in staat is om persoonlijke gegevens zoals geboortedata en mailadressen te stelen. Informatie waar kwaadwillenden wellicht misbruik van kunnen maken.

Tot slot is sommige malware in staat gebleken om aanvullende malware op jouw computer te installeren.

De volledige bevindingen van Avast kun je hier in het Engels nalezen.

Voornamelijk extensies die met sociale media te maken hebben

Het gaat volgens Avast vooral om extensies die je ervaring met sociale media- en videowebsites moeten verrijken. Zo gaat het bijvoorbeeld om een add-on waarmee je Instagram Stories kunt downloaden, maar de malware is ook aangetroffen in extensies waarmee je filmpjes van Facebook lokaal kunt opslaan.

Getroffen gebruikers hebben opgemerkt dat de extensies resulteren in afwijkend internetgedrag: elke klik geeft een signaal aan de server waar degenen achter de malware toegang toe hebben, en vanaf deze server wordt dan een opdracht verstuurd om je naar een andere – kwaadaardige – url te verwijzen in plaats van naar de pagina die je eigenlijk dacht te bezoeken.

Alle kliks worden bovendien gelogd, en per klik geef je dus informatie weg over je surfgedrag.

Maar ook toestelinformatie wordt opgeslagen, net als informatie over welke browser je gebruikt, en zelfs je IP-adres is niet veilig.

Wat is het doel van deze malware?

Volgens Avast is het de ontwikkelaars van deze malafide browserextensies in beginsel maar om één ding te doen: geld.

Algemeen wordt aangenomen dat elke verwijzing naar een extern domein – in de meeste gevallen dus advertenties en in een aantal gevallen regelrecht gevaarlijke, malafide websites met phishinggerelateerde doeleinden – de ontwikkelaars van de extensies geld oplevert.

Avast denkt dat de malware in een aantal gevallen bewust aan de extensie is toegevoegd voordat de extensie beschikbaar is gemaakt.

In andere gevallen zou het kunnen dat de ontwikkelaars hebben gewacht tot de extensie door een representatieve, omvangrijke groep gebruikers is geïnstalleerd, waarna de malware in een update is verwerkt.

Ook zou het kunnen dat de oorspronkelijke ontwikkelaars de extensies van de hand hebben gedaan aan kwaadwillenden.

Het valt op dat het om geavanceerde malware gaat.

Er zijn aanwijzingen dat een aantal van deze extensies al in december 2018 te vinden waren in de Chrome Web Store.

De zogenaamde ‘achterdeurtjes’ – waar mensen met kennis van zaken toegang kunnen krijgen tot de code, simpel gezegd – zijn volgens de onderzoekers goed verborgen.

Ook begint de malware pas een paar dagen na de installatie met afwijkend gedrag, waardoor ze in eerste instantie door de viruscontrole glippen.

Ook heeft de malware de eigenschap om zichzelf te kunnen ‘verstoppen’: wordt bijvoorbeeld opgemerkt dat iemand een malafide domein opzoekt waar de malware naar verwijst, dan wordt de activiteit tijdelijk gestaakt om geen alarmbellen te doen rinkelen.

De app is op basis van jouw internetgedrag in staat om te zien wat je technische kennis en vaardigheden op het gebied van webdevelopment zijn: wordt aangenomen dat je goed op de hoogte bent van cybersecurity, dan doet de malware niks omdat de ontwikkelaars liever niet hebben dat iemand met verstand van zaken gaat rondneuzen.

Om welke extensies gaat het precies?

Het gaat voornamelijk om extensies die te maken hebben met grote sociale mediakanalen en -platformen. Bij elkaar zijn ze zo’n drie miljoen keer gedownload en belangrijker nog, op het moment van schrijven kun je de extensies nog altijd downloaden.

Avast heeft de bevindingen gedeeld met Google en Microsoft; beide bedrijven bevestigen dat ze ermee aan de slag gaan.

In de tussentijd raadt Avast aan om de malafide extensies te verwijderen en de virusscanner even grondig op malware te laten zoeken. Wordt er wat aangetroffen, dan kun je dat door je virusscanner laten verwijderen.

Dit zijn de extensies waar het om gaat. Via Avast kun je de exacte links naar de betreffende extensies in de Store(s) achterhalen. Heb je één (of meerdere) van deze extensies geïnstalleerd? Dan weet je dus wat je te doen staat.:

  • App Phone for Instagram (zowel voor Chrome als Edge)
  • DM for Instagram
  • Direct Message for Instagram (zowel voor Chrome als Edge)
  • Downloader for Instagram
  • Instagram App with Direct Message DM
  • Instagram Download Video & Image
  • Invisible mode for Instagram Direct Message
  • Odnoklassniki UnBlock. Works quickly.
  • Pretty Kitty, The Cat Pet
  • SoundCloud Music Downloader
  • Spotify Music Downloader
  • Stories for Instagram (zowel voor Chrome als Edge)
  • The New York Times News
  • Universal Video Downloader (zowel voor Chrome als Edge)
  • Upload photo to Instagram™ (zowel voor Chrome als Edge)
  • VK UnBlock. Works fast.
  • Video Downloader for FaceBook™ (zowel voor Chrome als Edge)
  • Video Downloader for YouTube
  • Vimeo™ Video Downloader (zowel voor Chrome als Edge)
  • Volume Controller
  • Zoomer for Instagram and FaceBook

Thuiswerken brengt hoog AVG veiligheidsrisico met zich mee

Door COVID-19 werken mensen massaal thuis. Voor werkgevers brengt dat een hoog AVG veiligheidsrisico met zich mee.

Uit onderzoek blijkt dat veel werknemers het veiligheidsbeleid van hun bedrijf omzeilen om productiever te zijn.

Thuiswerken heeft zowel voor- als nadelen voor de medewerkers zelf. Maar bedrijven zouden hun werknemers in het thuiskantoor nog meer moeten aanzetten tot het naleven van veiligheidsrisico’s, zo blijkt uit een studie.

Veel bedrijven zijn van plan om ook na het mogelijke einde van de pandemie door te gaan met de thuiskantoren.

Thuiskantoor: veiligheidsvoorschriften omzeild

Een onderzoek onder 2.000 thuiswerkers in Duitsland, Frankrijk, Groot-Brittannië en de VS, uitgevoerd door een marktinstituut in opdracht van de beveiligingsspecialist Cyber-Ark, moet bij privacymanagers en ICT-specialisten alle alarmbellen doen afgaan.

59 procent van de ondervraagden zei dat ze de veiligheidsvoorschriften van het bedrijf omzeilen om de productiviteit te verhogen. Zo sturen ze bijvoorbeeld bedrijfsdocumenten naar hun persoonlijke e-mailadressen of geven ze wachtwoorden door aan collega’s.

1,5 miljoen klanten Nederlandse Loterij moeten hun wachtwoord wijzigen

Ruim 1,5 miljoen klanten van de Nederlandse Loterij hebben via e-mail het verzoek gekregen om hun wachtwoord te wijzigen. Het gaat om klanten die online onder meer meespelen in de Staatsloterij, Lotto, Toto en EuroLoterij.

Recent hebben er volgens de Nederlandse Loterij verdachte inlogpogingen plaatsgevonden op bijna 12.000 accounts van spelers. Nederlandse Loterij heeft de accounts direct geblokkeerd en de desbetreffende klanten hierover geïnformeerd met het verzoek om een nieuw, uniek en sterk wachtwoord aan te maken.

De cyberaanvallen zijn door Nederlandse Loterij gemeld bij de Autoriteit Persoonsgegevens en de Kansspelautoriteit. Daarnaast doet Nederlandse Loterij aangifte bij de politie en vraagt haar spelers dat laatste ook te overwegen.

Sinds de coronamaatregelen van kracht zijn, zegt de Nederlandse Loterij een toename van verdachte inlogpogingen op accounts van klanten te zien.

Bij de inlogpogingen wordt gebruikt gemaakt van credential stuffing. Hierbij misbruiken internetcriminelen elders gestolen inloggegevens en proberen daarmee in te loggen.

Een uniek en sterk wachtwoord helpt om te voorkomen dat internetcriminelen slagen in hun pogingen. De Nederlandse Loterij verzoekt klanten daarom om hun wachtwoord te wijzigen.

Internetcriminelen hebben geen toegang gehad tot de persoonlijke Wallet en er is geen (prijzen)geld buitgemaakt. Wel hebben internetcriminelen persoonlijke gegevens kunnen inzien.

“We doen er alles aan om de persoonlijke gegevens van onze klanten zo goed mogelijk te beschermen”, meldt woordvoerder Sander van de Voore van de Nederlandse Loterij. “Klanten spelen hierin zelf ook een belangrijke rol. Bijvoorbeeld door het gebruik van unieke en sterke wachtwoorden voor online account.”

Gratis veilig Zoom alternatief Jitsi Meet voldoet wel aan de privacywet

De gratis versie van videoconferencingdienst Zoom wordt tijdens de Corona crisis veel gebruikt voor online vergaderingen. Daarmee overtreden organisaties de Algemene Verordening Gegevensbescherming (AVG). Zoom voldoet niet aan de Europese privacywet.

De Amerikaanse startup heeft beterschap beloofd, maar in de praktijk lijkt er weinig te veranderen.

Zoom wil de videochats end-to-end gaan versleutelen en heeft voor dit doel de New York encryptie startup Keybase gekocht. De versleuteling wordt straks echter enkel aangeboden aan betalende Zoom-klanten. Zij moeten 14 Euro per maand gaan betalen.

Maar zelfs dan zijn er nog enkele beperkingen. Deelnemers kunnen bijvoorbeeld niet via een smartphone meedoen aan de vergaderingen. En ook het opnemen van de videoconferentie in de cloud werkt niet.

Jitsi Meet gratis alternatief voor Zoom

Veel organisaties zoeken vanwege de provacyproblemen met Zoom naar alternatieve videochat tools die de zaken wel op orde hebben. Zoals de open source freeware software Jitsi Meet. Deze videochat tool focust juist op privacy en anonimiteit.

Met Jitsi Meet kunt u een vergadering direct in de browser starten zonder dat u een account hoeft aan te maken of software hoeft te installeren.

Face-to-face gesprekken zijn in Jitsi Meet al end-to-end versleuteld, terwijl het gebruikte WebRTC-communicatieprotocol een dergelijke versleuteling voor meerdere deelnemers nog niet toestaat.

Toch is het mogelijk om een aparte server te gebruiken om de gegevens beter te beschermen dan een server die publiekelijk door Jitsi wordt geleverd. Bovendien is de broncode van de tool openbaar toegankelijk en dus transparant.

Ontkennen helpt niet. Facebook en Google weten zelfs wie anoniem pornosites bezoekt

De kans dat u de sites Xhamster, Redtube, Pornhub en Youporn bezoekt is redelijk groot. En als dat het geval is zijn Facebook en Google op de hoogte. Zelfs als u anoniem denkt te surfen.

Volgens het online magazine “Vice” is een op de acht websites die worden bezocht een pornosite. Deze sites verdienen goud geld met de persoonlijke gegevens van hun ‘anonieme’ bezoekers.

Veel bezoekers proberen zichzelf te beschermen door de incognitomodus in de browser te gebruiken, maar dat heeft geen enkel beschermend effect. Volgens blogger Brett Thomas is het voor marketingbedrijven schrikbarend eenvoudig om de identiteit van pornokijkers en de video’s die ze bekijken te achterhalen.

Thomas denkt dat de porno-industrie aan de vooravond van het volgende grote schandaal op het gebied van gegevensbescherming zou kunnen zorgen.

Hoe pornosites hun gebruikers bespioneren

De meeste porno- en internetsites maken gebruik van zogenaamde “tracking tools” die een individuele, digitale voetafdruk van de gebruiker creëren. Bijvoorbeeld om te weten welke zoekopdrachten de gebruiker invoert of naar welke films hij of zij kijkt.

Deze trackingtools zijn bijvoorbeeld gekoppeld aan de “share”-buttons voor Facebook of Twitter en de talrijke reclamebanners op pornosites, die de gegevens doorgeven aan de adverteerders en, op de achtergrond, aan de social media-platforms en Google.

Maar hoe kunnen de gegevens aan een persoon worden toegewezen? Volgens het magazine Vice werkt dat als volgt: De browser op de computer heeft individuele instellingen, zoals geïnstalleerde plug-ins, lettertypes of taal, die worden geregistreerd door de tracking tools. Met deze individuele informatie en het aan elke internetgebruiker toegewezen IP-adres is een zeer nauwkeurige identificatie mogelijk.

“Als je porno op het net bekijkt, mag je verwachten dat je surfgedrag en de titels van de video’s die je consumeert vroeg of laat openbaar worden en ook met je naam geassocieerd kunnen worden”, vat Brett Thomas in zijn blog samen.

Hackers zijn ook geïnteresseerd

Pornosite Xnxx stuurt gegevens over het bezoekgedrag van zijn klanten naar Google, naar een analysebedrijf “Addthis” en naar een advertentienetwerk met de naam “Pornvertising” – zelfs wanneer u in privémodus surft.

Het surfgedrag van bezoekers van pornosites wordt dus her en der op het web geregistreerd. Als deze gegevens in verkeerde handen vallen kunnen grote problemen ontstaan voor de pornokijkers.

Volgens Thomas is de publicatie van pornovoorkeuren door amateur-hackers een steeds groter wordend gevaar, omdat de gegevens over verschillende platformen worden verspreid. Hackers zouden het kunnen verkopen of gebruikers ermee kunnen chanteren.

Sommige mensen denken nu dat de consequenties wel mee zullen vallen. Dat uitlekken van gegevens over het bezoek aan pornosites hooguit pijnlijk is. Beschamend. Dat is in het vrije Westen misschien zo, maar elders in de wereld kunnen er heel andere consequenties aan kleven. In sommige landen worden mensen met bepaalde seksuele voorkeuren onderdrukt en vervolgd.

Thuisbezorgd klanten slachtoffer van hacker die op hun kosten bestellingen plaatst

Een aantal Thuisbezorgd-klanten is slachtoffer geworden van fraude met bestellingen. Een hacker heeft toegang gekregen tot hun accounts en op hun kosten bestellingen geplaatst, meldt Tweakers.

Het is niet duidelijk hoeveel klanten precies getroffen zijn. Volgens een woordvoerder van het platform gaat het om een “zeer beperkt aantal gevallen”.

De woordvoerder benadrukt dat er geen sprake is van een datalek bij Thuisbezorgd zelf, maar dat cybercriminelen wachtwoorden hebben gebruikt die al eerder zijn buitgemaakt bij een hack op een andere website.

De bestellingen zijn met het PayPal-account van de klanten afgerekend. Anders dan bij iDEAL of bij creditcards wordt bij betalingen via PayPal niet altijd om een verificatiecode gevraagd.

Volgens Thuisbezorgd werden gebruikers die ooit toestemming hebben gegeven voor zogenoemde Recurring Payments (herhaaldelijke betalingen) niet om een dubbele bevestiging gevraagd. Ook al hadden de gebruikers wel tweestapsverificatie ingeschakeld voor hun PayPal-account.

Overigens is dit voor alle geautoriseerde sites bij PayPal zo en is dit niet iets wat specifiek alleen op Thuisbezorgd.nl van toepassing is.

Thuisbezorgd heeft de functie inmiddels voor alle gebruikers uitgeschakeld. “Dit leidt helaas wel tot een vermindering van het gebruiksgemak. We zullen de optie weer activeren zodra we deze vorm van fraude kunnen tegengaan.”

Ook vertelt de woordvoerder dat Thuisbezorgd de opgelopen schade zal vergoeden, al raadt hij gedupeerden wel aan om eerst bij PayPal aan te kloppen. Thuisbezorgd roept ze daarnaast op om aangifte te doen.

Thuisbezorgd werkt aan tweestapsverificatie

Thuisbezorgd werkt aan een extra beveiligingsslag om dit soort incidenten te voorkomen. Het bedrijf wil zo snel mogelijk tweestapsverificatie invoeren.

91 procent van mensen weet dat hergebruik van wachtwoorden onveilig is, maar doet het toch

91 procent van de mensen weet dat het hergebruik van wachtwoorden onveilig is, maar tweederde doet het toch. LogMeIn’s LastPass heeft de resultaten gepubliceerd van zijn derde wereldwijde onderzoek, “The Psychology of Passwords”.

Mensen blijken zich nog altijd niet te beschermen tegen cyberveiligheidsrisico’s, ook al weten ze dat ze dat wel moeten doen.

Veilige logins zijn belangrijker dan ooit in het thuiskantoor. Het wachtwoordgedrag van de gebruikers is de afgelopen jaren echter niet verbeterd. Integendeel, het is eerder slechter geworden.

Het derde globale onderzoek “Psychology of Passwords” toont dat cognitieve dissonantie overheerst: veiligheidsbewust denken blijkt niet te worden vertaald in actie door gebruikers.

Ongewijzigd gedrag creëert nieuwe online beveiligingsproblemen

Het bewustzijn van hackeraanvallen en privacyschendingen neemt jaar na jaar toe, maar het consumentengedrag met betrekking tot wachtwoorden blijft grotendeels ongewijzigd.

91 procent van de ondervraagden weet dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico is. Echter, 66 procent gebruikt nog steeds hetzelfde wachtwoord.

Naarmate mensen meer tijd online doorbrengen, is de evolutie van cyberveiligheidsbedreigingen en ongewijzigde wachtwoordhygiëne een zorg voor de accountbeveiliging.

Het derde wereldwijde rapport, “The Psychology of Passwords”, werd gepubliceerd voor de World Password Day op 7 mei 2020.

LastPass heeft voor het onderzoek in maart 2020 wereldwijd 3.250 volwassenen van 18 tot 60 jaar met meerdere online accounts ondervraagd.

De belangrijkste resultaten in detail:

  • Wereldwijde cyberdreigingen blijven omhoogschieten, maar het wachtwoordgedrag blijft onveranderd
  • Wachtwoordgedrag is grotendeels ongewijzigd gebleven ten opzichte van dezelfde studie uit 2018 – wat tot uiting komt in enig risicovol gedrag.
  • 53 procent van de respondenten heeft de afgelopen 12 maanden hun wachtwoord niet gewijzigd, ook al zijn de gegevensinbreuken openbaar gemaakt.
  • De meerderheid van de mensen is zich er ook van bewust dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico. Toch gebruikt 66 procent van de mensen meestal of zelfs altijd hetzelfde wachtwoord op verschillende platforms.

Veiligheidsbewust denken kan niet worden vertaald in actie

De resultaten laten ook tegenstrijdigheden zien, waarbij de respondenten één ding zeggen en er iets anders voor terugdoen.

  • 77 procent voelt zich geïnformeerd over de beste wachtwoordpraktijken, maar toch probeert meer dan de helft (54 procent) de wachtwoorden te onthouden.
  • Bijna een op de drie (27 procent) schrijft ze zelfs ergens op.
  • Evenzo is 80 procent bezorgd dat hun wachtwoorden kunnen worden gecompromitteerd, maar 48 procent verandert nooit hun wachtwoord tenzij het wordt opgevraagd.

Angst voor vergetelheid is de belangrijkste reden voor het hergebruik van wachtwoorden

De meeste respondenten (66 procent) gebruiken hetzelfde wachtwoord voor meerdere accounts, een stijging van 8 procent ten opzichte van de resultaten van 2018. Waarom?

De angst om inloggegevens te vergeten blijft de belangrijkste reden voor het hergebruik van wachtwoorden (60 procent), gevolgd door de wens om alle wachtwoorden te kennen en te controleren (52 procent).

Een echte paradox: gebruikers willen het overzicht houden over hun wachtwoorden, maar met het herhaalde gebruik van hetzelfde wachtwoord ontlopen accounts hun controle op het gebied van beveiliging tegen hackers.

Bewustwording en gebruik van Multifactor Authenticatie (MFA) neemt toe

Het goede nieuws is dat Multifactor Authenticatie (MFA) alom bekend is en gebruikt wordt. Gelukkig zegt 54 procent dat ze MFA gebruiken voor hun persoonlijke accounts. Slechts 19 procent van de respondenten wist niet wat MFB was. Een belangrijke stap in de richting van goede wachtwoordbeveiliging.

Respondenten zijn ook zeer tevreden over de biometrische authenticatie met behulp van vingerafdrukken of gezichtsherkenning om in te loggen op apparaten of accounts. 65 procent zegt meer vertrouwen te hebben in vingerafdrukken of gezichtsherkenning dan in traditionele tekstpassages. Deze kunnen immers slechts in beperkte mate worden nagebootst en de toegang tot het individu echt op maat maken. Een op tekst gebaseerd wachtwoord kan daarentegen snel worden ontcijferd.

“In een tijd waarin de COVID 19-pandemie ervoor zorgt dat een groot deel van de wereldwijde beroepsbevolking thuis werkt en mensen meer tijd online doorbrengen, zijn de cyberdreigingen waarmee consumenten te maken krijgen op een historisch hoog niveau. Individuen lijken niet te reageren op de bedreigingen die uitgaan van zwakke wachtwoorden en blijven gedrag vertonen dat hun informatie in gevaar brengt”, zegt John Bennett van LogMeIn, het bedrijf dat eigenaar is van LastPass. “Met een paar eenvoudige stappen kunt u het wachtwoordgedrag verbeteren en de veiligheid van online accounts verhogen, of het nu gaat om persoonlijke of professionele accounts. Maak van World Password Day 2020 het keerpunt voor het veranderen van uw wachtwoordgedrag.”

Enquêtemethodologie:

Het onderzoek naar “Password Psychology” werd door het onafhankelijke panelonderzoeksbureau L#ab42 in opdracht van LastPass uitgevoerd tussen 5 en 15 maart 2020.

In totaal zijn er wereldwijd 3.250 volwassenen in de leeftijd van 18 tot 60 jaar met meerdere online accounts ondervraagd.

De deelnemers kwamen uit de Verenigde Staten, Duitsland, Brazilië, Australië, Singapore en het Verenigd Koninkrijk. De resultaten werden, voor zover mogelijk, vergeleken met de in 2018 in opdracht van LastPass uitgevoerde enquête “Psychology of Passwords”.

Datalek bij Tadaah. Identiteitsbewijzen en VOG-verklaringen honderden zorgmedewerkers op straat

Door een datalek bij bemiddelingsplatform Tadaah zijn identiteitsbewijzen van honderden medewerkers uit de zorg en kinderopvang vrij toegankelijk geweest. Dat blijkt uit onderzoek van RTL Nieuws.

Tadaah is een organisatie die zelfstandigen in de zorg en kinderopvang in verbinding brengt met opdrachtgevers

Het gaat om de identiteitsbewijzen van achthonderd mensen, die een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah hebben gestuurd.

Naast identiteitsbewijzen waren VOG’s (Verklaring Omtrent Gedrag), verzekeringen en diploma’s voor iedereen in te zien.

In totaal gaat het volgens RTL-nieuws om duizenden gelekte gevoelige documenten. Deze documenten stonden op een onbeveiligde en publiekelijk toegankelijke server en waren daardoor voor iedereen te vinden.

RTL Nieuws heeft het datalek gemeld bij Tadaah, het lek is inmiddels gedicht. “Het is een menselijke fout”, zegt Eike Dehling, één van de oprichters van Tadaah tegen het tv-programma. “Dit mag gewoon niet gebeuren.”

Tadaah heeft het lek gemeld bij de Autoriteit Persoonsgegevens.

Microsoft en Interpol waarschuwen zorgsector voor dreigende ransomware aanvallen

Cybercriminelen richten hun pijlen tijdens de Corona crisis volgens Microsoft en Interpol nadrukkelijk op de zorgsector. Microsoft heeft in april tientallen ziekenhuizen gewaarschuwd voor dreigende ransomware-aanvallen. De hackers proberen binnen te komen in de ict-cystemen via kwetsbare gateway- en VPN-software.

“Meerdere ransomware-groepen die zich gedurende enkele maanden toegang tot de doelnetwerken hebben verzameld en deze hebben onderhouden, hebben in de eerste twee weken van april 2020 tientallen ransomware-implementaties geactiveerd”, staat in een rapport van het Microsoft’s Threat Protection Intelligence Team.

Getroffen partijen zijn onder meer hulporganisaties, aanbieders van educatieve software, overheidsinstellingen, productiebedrijven, medische factureringsbedrijven, transport en daarnaast tal van niet-kritische bedrijven en organisaties.

Hoewel Microsoft geen extra commentaar gaf op de vraag of de aanvallen die in de eerste twee weken van april werden waargenomen al dan niet succesvol waren, vroeg SearchSecurity het bedrijf of de exfiltratie van gegevens de reden is voor de vertraagde inzet van ransomware.

Verschillende ransomwarebendes, zoals Maze, zijn begonnen met het stelen van de gegevens van de slachtoffers alvorens deze te versleutelen en dreigden vervolgens gevoelige gegevens op het internet te publiceren om de slachtoffers te dwingen het losgeld te betalen.

“Gegevensexfiltratie is een zeer gangbare praktijk voor ransomware-groepen, maar de belangrijkste reden voor het uitstellen van ransomware is dat aanvallers vaak wachten op momenten dat ze weten dat ze het lastigst zijn voor de doelwitten en dat ze dus waarschijnlijker losgeld zullen betalen”, meldt SearchSecurity.

Microsoft raadt organisaties in de zorg verschillende stappen aan om hun kwetsbaarheid voor ransomwarebedreigingen te verkleinen, waaronder het implementeren van multifactorauthenticatie voor RDP- en virtuele desktopaccounts, het randomiseren van beheerderswachtwoorden en het patchen van netwerkapparaten of -diensten die aan het openbare internet zijn blootgesteld.

Wereld Wachtwoord Dag 2020: 8 tips om wachtwoorden sterk en hackers weg te houden

Het is 7 mei 2020 World Password Day. Uit diverse onderzoeken blijkt dat deze dag belangrijk is. Veel mensen beseffen dat ze verkeerd bezig zijn, maar weten niet hoe ze hun wachtwoord gedrag kunnen verbeteren. We hebben 9 tips voor u. Het toverwoord is ‘Layer Up’.

Wat betekent ‘Layer Up’? De term betekent in principe het toevoegen van een andere beveiligingslaag aan je wachtwoorden.

Je kunt een 2FA-laag of een dynamische IP-laag toevoegen aan je wachtwoord om het veel veiliger te maken.

Het eerste wat je echter moet doen is een sterk wachtwoord maken. Sommige mensen hebben de neiging om hun naam, de naam van hun vriendje, de naam van hun ouders, in feite de naam van hun huisdier, een paar keer als wachtwoord te hebben. Dat is duidelijk niet de manier waarop een wachtwoord moet worden gegeven hoe makkelijk ze te raden zijn.

Een wachtwoord moet bijvoorbeeld een mix zijn van heel veel speciale tekens: Bp}H;eF:{*@y(D2I8?2d|G~yf8`8.

Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.

8 tips voor een veilig wachtwoord

  1. Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.
  2. Maak uw wachtwoord zo lang mogelijk, om het extreem vervelend te maken voor een brute kracht aanvaller om uw wachtwoord te kraken. (Let op, wachtwoorden van ongeveer drie letters kunnen in minder dan een seconde worden gekraakt.)
  3. Gebruik geen woord dat in het woordenboek staat of letters die opeenvolgend op een toetsenbord staan.
  4. Schrijf eerst een willekeurige zin op en voeg dan letter voor letter een hoofdletter, een cijfer of een symbool toe.
  5. Gebruik geen voor de hand liggende gegevens zoals uw naam, geboortedatum, plaats waar u woont in het wachtwoord. Dat alles kan gemakkelijk online worden ontdekt.
  6. Om uw online identiteit veilig te bewaren, moet u uw wachtwoorden regelmatig wijzigen. En gebruik nooit meer hetzelfde wachtwoord.
  7. Enable two-factor authenticatie. Dit zal u helpen, zelfs als uw wachtwoord wordt gecompromitteerd. De hacker heeft namelijk de OTP nodig die u op uw smartphone ontvangt.
  8. Bewaar niet één wachtwoord voor al uw accounts, want dat wordt de hoofdsleutel van uw leven, die bij verlies ernstige gevolgen zal hebben.

Whatsapp voldoet volgens toezichthouders nog altijd niet aan de AVG. Mag niet gebruikt worden

Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!

Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.

Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.

Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.

Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.

De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.

“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”

Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.

Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.

Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.

Whatsapp voldoet zeker niet aan de AVG”

“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”

Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.

“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”

Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”

Veel cookiebanners van mediasites voldoen niet aan de AVG. Richtlijnen zijn aangescherpt

Op 5 mei 2020 heeft het Europees Comité voor gegevensbescherming (EDSA) de richtlijnen voor toestemming voor het gebruik van cookies geactualiseerd.

De EDSA stelt dat deze actualisering bedoeld is om juridische duidelijkheid te verschaffen over met name twee fenomenen:

  • De geldigheid van de door de betrokkene gegeven toestemming bij interactie met zogenaamde “cookie-walls”.
  • De veronderstelde toestemming die wordt gegeven door het scrollen op een website.

Internetgebruikers zullen waarschijnlijk merken dat de voorheen gebruikelijke, smalle cookie-meldingen op websites, die meestal met een “Ok” konden worden weggeklikt, geleidelijk aan plaats maken voor zogenaamde “cookie-inhoudsbanners”.

Deze paradigmaverschuiving is waarschijnlijk te wijten aan de interpretatie van de Algemene Verordening Gegevensbescherming (AVG) door de toezichthoudende autoriteiten van de jurisprudentie van het Europese Hof van Justitie (arrest Planet49).

Veel websitebeheerders vragen nu nog via een cookiebannee aan bezoekers of zij akkoord gaan met cookietracking om “de gebruikerservaring te verbeteren” met enkel een “Ja”-knop en niet met een “Nee/Weigeren”-knop.

In plaats daarvan kan de onwillige gebruiker slechts op een “Instellingen” knop klikken, waarachter uitgebreide tekst – die hem vaak niet zal interesseren – en aankruisvakjes verborgen zijn.

De meeste websites voldeden tot dusver gewoon niet aan de AVG. Terwijl artikel 7, lid 3, zin 3 AVG, op zich toch heel duidelijk is:

“Intrekking van de toestemming moet net zo eenvoudig zijn als het geven van toestemming.”

Bij het doornemen van de EDSA-richtlijnen wordt al snel duidelijk dat die een samenvatting en verduidelijking zijn van reeds bekende vanzelfsprekende feiten, die door veel website-exploitanten niet worden gevolgd.

Internetgebruikers worden steeds vaker geconfronteerd worden met dubbelzinnige, onbegrijpelijke, verwarrende of gewoonweg vervelende cookiebanners, zoals de variant die beschreven wordt met “instellingen opslaan” in plaats van “afwijzen”.

De gepubliceerde richtlijnen moet daarom worden gezien als een poging om duidelijkheid te brengen in het ontwerp van de cookie banners en om een einde te maken aan bijzonder fantasierijke omzeilingen van de DSGVO-eisen.

Met name de zogenaamde “cookie-muren” en “toestemming door gebruik” of “toestemming door scrolling” die in de richtlijn worden behandeld, vertegenwoordigen slechts vaak voorkomende ontwerpen waarin de website-exploitanten een vermeende “toestemming” van de gebruiker krijgen om het volgen van de gebruiker te “rechtvaardigen”.

Het is dan ook niet verwonderlijk dat de richtlijnen van de EDSA inhoudelijk nauwelijks vernieuwingen bevatten.

De bijgewerkte richtlijnen maken nogmaals duidelijk dat toestemming niet kan worden afgedwongen.

Weg met de koekjesmuren

De grootste verandering is de expliciete verklaring dat “cookie walls” regelmatig voorkomen dat effectieve toestemming wordt verkregen. De EDSA stelt dat de toegang tot een webservice niet afhankelijk mag worden gemaakt van toestemming voor het plaatsen van zogenaamde cookies.

Met name veel mediasites blokkeren de toegang tot artikelen door een paginagrote banner voor de neus van de lezer te plaatsen, met de mogelijkheid om ofwel tracking te accepteren (“Lees meer met reclame”) of een abonnement te nemen. Deze gang van zaken is echter in strijd met de AVG.

Geen impliciete toestemming door scrollen

Met betrekking tot de vermeende toestemming door het gebruik van de website of het scrollen, zoals vaak te vinden in oudere cookiewetgevingen, stelt de EDSA in het kort:

“Acties zoals scrollen of vegen door een website of soortgelijke gebruikersactiviteiten voldoen in geen geval aan de eis van een duidelijke en positieve actie”.

Ook dit is eigenlijk een vanzelfsprekendheid, die uit overweging 32 van de AVG zou moeten blijken: “Toestemming moet worden gegeven door middel van een duidelijk bevestigend besluit…”

Of de herziene EDSA-richtlijn zal leiden tot meer juridisch conforme toestemming op het internet is nog maar de vraag. Veel organisaties houden zich weloverwogen niet aan de wet, omdat zij weten dat er amper gecontroleerd wordt en de kans op boetes klein is.