Selecteer een pagina

Stel je voor dat hackers met een Trojaans paard in de postkamer komen

De postkamer is voor cybercriminelen een heel interessante ruimte vol persoonsgegevens. Bij iedere AVG awareness training is daar aandacht voor. Zorg er voor dat onbevoegden geen toegang krijgen tot de postkamer.

Slimme hackers lukt het ondanks streng toezicht dan toch nog. Via een trojaans paard. Een pakket met een dubbele bodem dat met een pakketdienst naar een bedrijf wordt gestuurd.

Alle post belandt eerst in de postkamer. Wie zich nu voorstelt dat er een enorm pakket wordt afgeleverd waarin een hacker zich heeft verstopt heeft te veel of te weinig fantasie.

Wie denkt dat het verhaal absurd is onderschat de vindingrijkheid van hackers. Want dit verhaal is echt gebeurd. Bij meerdere bedrijven.

Gelukkig voor die bedrijven betrof het slechts een test van Xforce hackspecialisten van IBM.

Het Xforce team heeft nagedacht over hoe hackers toegang kunnen krijgen tot bedrijfsnetwerken zonder toegang tot een bedrijf. Ze bedachten een moderne trojan horse.

De IBM hackers pakten een minicomputer met een mobiele telefoonmodule en WLAN-antenne in een onopvallend pakket met een dubbele bodem en saaie papieren als camouflage en stuurden het voor testen naar externe bedrijven die IBM de opdracht hadden gegeven voor veiligheidstests.

Het resultaat: De pakketten belanden zoals verwacht eerst in de postkamer van de bedrijven. De hackers konden vervolgens op afstand via hun mobiele telefoon de wifi installatie in het pakket besturen en zich toegang verschaffen tot de interne, slecht beveiligde WLAN-netwerken van de bedrijven.

De verzending van dergelijke pakketten naar privéadressen van hooggeplaatste managers bracht ook de gewenste toegang tot hun thuisnetwerk met zich mee.

“Stel je voor hoeveel pakketten een bedrijf elke dag ontvangt en dan in een of andere inbox terechtkomt”, aldus IBM-veiligheidsonderzoeker Charles Henderson.

Wordt het WiFi signaal van je smartphone op straat, in winkelcentra of op stations getraceerd? Dat mag niet zomaar…

Ooit van wifitracking gehoord? Wist je dat marketeers aan de hand van het wifi-signaal van je smartphone weten hoe vaak jij op bepaalde plekken bent geweest? Over privacy gesproken…

Sommige gemeenten monitoren het winkelend publiek in het centrum aan de hand van wifi-signalen van smartphones.

Sommige supermarkten volgen je ook als jij je winkelmandje bij hun in de zaak vult.

En op stations wordt aan de hand van wifisignalen gemeten hoeveel mensen bepaalde reclameborden hebben gezien.

Mag dat zo maar?

Nee, dat mag niet zo maar. Zodra er persoonsgegevens worden verwerkt komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. De Autoriteit Persoonsgegevens (AP) geeft toelichting.

Het volgen van mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is voor bedrijven slechts in zeer weinig gevallen toegestaan, meldt de AP.

Wifitracking en ook andere digitale middelen om personen te volgen zijn slechts onder zeer strikte voorwaarden toegestaan. Het betreft vrijwel altijd een verwerking van persoonsgegevens, waardoor deze volgmethode onder de privacyregels valt.

Bedrijven kunnen het digitaal volgen van mensen in de (semi-)openbare ruimte in theorie op drie wettelijke gronden baseren. Naast toestemming zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst. Bedrijven moeten dan wel aan strikte voorwaarden voldoen.

Ze kunnen echter ook op andere manieren zonder persoonsgegevens en digitale volgapparatuur hun doelen bereiken. De AP heeft na vragen een nadere uitleg over deze normen op haar website gepubliceerd.

Wifitracking

Het gaat onder meer om de toepassing van wifitracking, waarbij het signaal van mobiele telefoons wordt gebruikt om groepen mensen in de gaten te houden.

In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken.

“Het is een groot goed om je in het openbaar onbespied te wanen. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden”, aldus AP-bestuursvoorzitter Aleid Wolfsen. “Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”

De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking.

Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid.

In beide gevallen is het dan altijd de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn. Het vragen van toestemming aan mensen die in het gebied lopen is in theorie een laatste mogelijkheid, maar is in de praktijk vooralsnog niet uitvoerbaar. 

Ook als de gegevens gepseudonimiseerd worden verwerkt en bewaard, is de Algemene verordening gegevensbescherming van toepassing.

83 procent van de WiFi-routers is onveilig. Firmware kwetsbaar. 186 lekken per router

83 procent van de Wifi-routers is onveilig, blijkt uit onderzoek van het American Consumer Institute.186 wifi-routers van 14 verschillende fabrikanten werden geanalyseerd met een programma dat de firmware scant.

De firmware van 155 routers bevatte kwetsbaarheden. Gemiddeld ging het om 186 beveiligingslekken per kwetsbare router. De lijst met onderzochte routers vind je hier.

De kwetsbaarheden bevinden zich vooral in de opensource-onderdelen van de routerfirmware.

Hoewel de betreffende opensourceprojecten deze beveiligingslekken patchen, worden de patches niet altijd door de routerfabrikanten in hun producten doorgevoerd.

Verder blijkt dat veel fabrikanten geen gebruiksvriendelijke manier bieden voor het updaten van de routerfirmware.

Volgens het American Consumer Institute moeten fabrikanten meer doen om opensourcekwetsbaarheden binnen hun producten te vinden en verhelpen.

Tegenstrijdig Europees beleid. Nu subsidie voor volgens GDPR ‘onveilige’ openbare WiFi hotspots

Bij Privacy Awareness trainingen, die in het kader van de Europese privacywet GDPR momenteel bij tal van organisaties gegeven worden, wordt voortdurend op de gevaren van datalekken door surfen via openbare WiFi hotspots gewezen.

Ondertussen heeft de EU nu subsidie beschikbaar voor de aanleg van nieuwe openbare WiFi hotspots. Gemeenten kunnen 15.000 Euro subsidie per WiFi hotspot krijgen.

Dat lijkt op tegenstrijdig verwarrend Europees beleid. Waarom subsidieert de EU openbare hotspots die ondernemers in verband met veiligheidrisico’s van de GDPR niet zouden moeten gebruiken?

En dan is er nog een pijnlijk betrouwbaarheidsdingetje voor de EU. De link in de officiële tweet van de Europese commissie voert naar de website WiFi4EU.eu. Er worden technische problemen gemeld.