Privacy Nieuws
RTL Nederland kampt met een mogelijke ransomware-aanval, meldt de eigen cybercrimejournalist Daniel van der Laan. Het mediabedrijf heeft cybersecuritybedrijf Fox-IT ingeschakeld om de digitale aanval tegen te gaan.
RTL vraagt medewerkers om zo veel mogelijk thuis te werken omdat de aanval op het zakelijke netwerk in Hilversum plaatsvindt.
Het is vooralsnog onduidelijk hoe groot de mogelijke ransomware-aanval is en wat de gevolgen zijn. De uitzendingen op de televisiekanalen van RTL en Videoland ondervinden in ieder geval geen problemen.
Of er geld is geëist, is nog niet bekend. “We zijn het aan het onderzoeken en kunnen daar op dit moment nog niets concreets over zeggen”, zegt een woordvoerder van RTL. RTL en zijn securitypartners doen nog onderzoek.
Privacy Nieuws
De Duitse regering heeft dinsdag toegegeven dat haar federale politiedienst gebruik heeft gemaakt van controversiële Israëlische spyware, bekend als Pegasus. Dat vertelden parlementaire bronnen aan persbureau AFP.
De Duitse federale politie BKA kocht de software eind 2019 van de Israëlische NSO Group, zo hoorde een parlementaire commissie achter gesloten deuren van regeringsfunctionarissen.
De bekentenis, aan AFP verteld door bronnen op de bijeenkomst, bevestigde eerdere berichten in de Duitse media als Zeit, Sueddeutsche Zeitung en de regionale omroepen NDR en WDR.
Pegasus, dat de camera of microfoon van een telefoon kan inschakelen en de gegevens kan oogsten, kwam wereldwijd onder de loep te liggen nadat in juli een lijst van ongeveer 50.000 potentiële doelwitten voor toezicht – waaronder journalisten, activisten en politici – was uitgelekt.
De Franse president Emmanuel Macron heeft zijn telefoon veranderd nadat zijn nummer verscheen op een lijst van potentiële doelwitten.
De Duitse parlementaire bronnen zeiden dat het BKA, dat onder het ministerie van Binnenlandse Zaken valt, de Pegasus-software “in een klein aantal gevallen” heeft gebruikt.
Het blijft onduidelijk of Duitse inlichtingendiensten de software ook hebben gebruikt.
De strenge Duitse privacywetgeving staat het verzamelen van gegevens slechts onder zeer specifieke voorwaarden toe, hetgeen het BKA ertoe heeft gebracht een versie van de software aan te schaffen waarin sommige spionagefuncties waren uitgeschakeld, zo hoorde de commissie.
Het is niet bekend welke waarborgen er eventueel waren om ervoor te zorgen dat die opties ongebruikt bleven.
Wetgever Konstantin von Notz van de Groenen noemde de Pegasus-aankoop “een nachtmerrie voor de rechtsstaat” en eiste “een volledige verklaring” van de regering van bondskanselier Angela Merkel.
Amnesty International riep op tot “dringende regels voor overheidsopdrachten die overheidsinstanties verplichten bij hun aankopen ook de mensenrechtendossiers van bedrijven in aanmerking te nemen”.
“Wij willen weten of journalisten zonder hun medeweten zijn bespioneerd en of hun bronnen nog veilig zijn,” voegde Frank Ueberall, voorzitter van de Duitse Federatie van Journalisten (DJV), daaraan toe.
Op de lijst van vermeende doelwitten van Pegasus staan ten minste 600 politici, 180 journalisten, 85 mensenrechtenactivisten en 65 bedrijfsleiders.
Het NSO heeft volgehouden dat zijn software alleen bedoeld was voor gebruik bij de bestrijding van terrorisme en andere misdrijven.
Privacy Nieuws
Een hacker die gegevens van studenten en medewerkers van de Hogeschool van Arnhem en Nijmegen (HAN) heeft gestolen, heeft deze op het internet gezet. Dat meldt RTL Nieuws na inzage in de gegevens.
De hacker eiste losgeld, maar de hogeschool meldde eerder dat niet te gaan betalen. Daarop besloot de persoon, die op internet de schuilnaam masterballz gebruikt, de gegevens online te zetten.
Volgens RTL Nieuws worden de gestolen gegevens nu verspreid via een populaire downloaddienst. Het is onduidelijk of de gegevens ook te koop worden aangeboden of dat criminelen ze alleen onderling met elkaar delen.
Het zou gaan om gegevens van honderdduizenden mensen, onder wie veel (oud-)studenten. Onder andere hun volledige namen, e-mailadressen, geboortedatums, telefoonnummers en woonadressen zijn uitgelekt. Ook zouden duizenden wachtwoorden zijn gestolen. Die zijn grotendeels van alumni van de HAN en niet van huidige studenten.
De hogeschool meldt op haar website nog niet te kunnen bevestigen dat de buitgemaakte data zijn gepubliceerd. Wel ligt dat “in de lijn der verwachting”. Volgend de HAN zijn er geen actuele wachtwoorden gestolen.
De school ontdekte het lek vorige week woensdag. De onderwijsinstelling heeft daarop onafhankelijke experts ingeschakeld om de zaak te laten onderzoeken. Ook heeft de HAN aangifte gedaan bij de politie en het lek gemeld bij de Autoriteit Persoonsgegevens (AP).
Privacy Nieuws
Duitsland beschuldigt Rusland van inmenging bij de Duitse Bondsdagverkiezingen, schrijft AP maandag. Een hackergroep zou “cyberaanvallen en misinformatie- en beïnvloedingscampagnes” hebben uitgevoerd in opdracht van de Russische regering, zegt het Duitse ministerie van Buitenlandse Zaken.
Volgens woordvoerder Andrea Sasse zijn er de afgelopen maanden meerdere pogingen gedaan om de persoonlijke inloggegevens van onder anderen deelstaatpolitici en landelijke politici te stelen.
De hackergroep Ghostwriter zou dit onder meer hebben geprobeerd via phishingmails. De groep zou volgens Sasse uit zijn op identiteitsdiefstal.
“Deze aanvallen zouden kunnen dienen als voorbereidingen op nepnieuwscampagnes over de Bondsdagverkiezingen”, zegt de woordvoerder tegen AP.
“De Duitse regering beschikt over betrouwbare informatie dat de acties van Ghostwriter toegeschreven kunnen worden aan actoren van de Russische staat en, in het bijzonder, de Russische militaire inlichtingendienst GRU.”
Het Duitse ministerie van Buitenlandse Zaken eist dat het Kremlin de cyberaanvallen onmiddellijk staakt.
Sasse wil geen commentaar geven op de omvang van de aanvallen of de mogelijke schade.
Ze laat alleen weten dat de aanvallen “volstrekt onaanvaardbaar zijn en dat de Duitse regering erop is voorbereid om verdere maatregelen te nemen”.
De Russische overheid heeft nog niet op de beschuldigingen gereageerd.
Op 26 september gaat Duitsland naar de stembus om een nieuw parlement en een opvolger van bondskanselier Angela Merkel te kiezen.
Privacy Nieuws
Ondanks end-to-endencryptie en de bewering van ceo Marc Zuckerberg dat Whatsapp de berichten van gebruikers niet kan meelezen, blijkt uit onderzoek van de non-profit nieuwsdesk “Pro Publica” dat de privacyrechten van gebruikers in de praktijk toch geschonden worden.
Het moederbedrijf Facebook betaalt naar verluidt meer dan 1 000 werknemers over de hele wereld om privéberichten te doorzoeken, te analyseren en te evalueren. Miljoenen van hen zijn al waargenomen.
Deze contractanten zijn gevestigd in Austin, Dublin en Singapore en zijn verantwoordelijk voor het voorlezen. Naast tekstberichten zullen ook afbeeldingen en video’s worden gemodereerd.
Dit wordt mogelijk gemaakt door de WhatsApp-rapportagefunctie. Dit betekent dat inhoud die eerder als fraude, spam, kinderporno of vermoedelijk terrorisme is gerapporteerd, wordt aangetast – hetzij door de gebruikers zelf, hetzij door het interne algoritme.
De WhatsApp moderators ontvangen niet alleen de gemelde inhoud, maar ook de 4 voorgaande berichten.
Facebook kan niet meeluisteren of meelezen met persoonlijke telefoongesprekken of privéberichten die via WhatsApp worden verstuurd, zo benadrukt het bedrijf.
Het nieuws zorgt opnieuw voor opschudding. Nog maar een paar jaar geleden beweerde Mark Zuckerberg dat de end-to-end encryptie WhatsApp-berichten zo veilig maakte dat niemand behalve de ontvangers – zelfs het bedrijf zelf niet – ze kon lezen.
Privacy Nieuws
Gebruikers van Google Maps moeten voortaan instemmen met het delen van hun locatie tijdens de navigatie om de app te kunnen gebruiken. Weigering van toestemming kan leiden tot beperkt gebruik van de app.
Om in de toekomst Google Maps te kunnen gebruiken, zullen iOS- en Android-gebruikers ermee moeten instemmen hun locatie te delen. Hiermee wil Google de betrouwbaarheid van real-time verkeersinformatie vergroten.
Iedereen die de mobiele app Google Maps op zijn smartphone opent, krijgt een pop-upvenster te zien waarin om toestemming voor het gebruik van gegevens wordt gevraagd.
De gebruikers moeten ermee instemmen dat de kaartendienst gegevens verzamelt om de exacte locatie van de bestuurder te bepalen en zo de snelste routes te kunnen weergeven.
De verzamelde gegevens zijn de GPS-locatie en de te rijden route. Het bedrijf stelt echter duidelijk dat de informatie anoniem wordt verzameld en niet aan andere accounts wordt gekoppeld.
Google zegt de gegevens te willen verzamelen om de betrouwbaarheid van real-time verkeersinformatie te vergroten.
Het feit dat Google locatiegegevens verzamelt, is niet nieuw. Tot nu toe werd de locatie standaard gedeeld. Gebruikers die nu bezwaar maken tegen het delen van de locatie kunnen de app echter slechts beperkt gebruiken.
Om de gratis app te kunnen gebruiken, moet nu als het ware een tegenprestatie worden geleverd. In het pop-upvenster dat verschijnt, wordt echter niet uitgelegd wat de gevolgen zijn van het weigeren van toestemming.
Zonder toestemming kan de navigatie slechts in zeer beperkte mate worden gebruikt: Dit betekent dat er zonder toestemming geen live feedback en aankondigingen van de route door middel van spraakoutput zullen komen. In plaats daarvan zal het slechts een gids van de route zijn, die stap voor stap uitlegt waar de bestuurder moet afslaan en na welke afstand.
Privacy Nieuws
Tweeduizend Amsterdammers hebben zich inmiddels bij hun gemeente gemeld omdat hun persoonsgegevens op een harde schijf van de gemeentelijke dienst Belastingen staat die begin april 2021 werd gestolen. Op deze harddisk staan gegevens van in totaal 30 duizend Amsterdammers.
De harde schijf van de gemeentelijke dienst Belastingen werd op 7 april ontvreemd uit een computer die wordt gebruikt voor het scannen van inkomende poststukken.
Betrokkenen konden na de diefstal bellen met de gemeente om uit te laten zoeken om welke documenten het in hun geval ging.
30 duizend belastingplichtigen
De schijf bevat volgens de gemeente documenten uit de periode juli vorig jaar tot en met maart 2021 die per post zijn gestuurd door ongeveer 30 duizend belastingplichtigen. “Het gaat om uiteenlopende documenten, waaronder bezwaren, aangiftes en verzoeken om kwijtschelding, waarbij bijvoorbeeld contactgegevens, kopieën van ID-bewijzen en zorgpolisbladen kunnen zijn meegestuurd. Welke informatie is opgeslagen op de schijf verschilt van geval tot geval”, reageert verantwoordelijk wethouder Everhardt in het Parool.
Tien nieuwe ID-bewijzen
Alle betrokkenen kregen een brief waarop zij op de hoogte werden gesteld van de diefstal. In de brief zijn de Amsterdammers gewezen op het risico dat de gestolen gegevens kunnen worden gebruikt voor fraude, zoals het opmaken van valse facturen.
De gemeente heeft bij alle mensen die naar aanleiding van de diefstal contact hebben opgenomen, gecontroleerd op de aanwezigheid van kopieën van ID-bewijzen.
In totaal is in tien gevallen (gratis) een nieuw ID-bewijs verstrekt. Hiermee hoopt de gemeente identiteitsfraude te voorkomen.
Tot op heden zijn geen tekenen van fraude gesignaleerd. Het politieonderzoek naar de diefstal loopt nog.
Privacy Nieuws
Het Israëlische beveiligingsbedrijf Wiz en het Amerikaanse cybersecurityagentschap CISA raden alle klanten van de clouddienst Microsoft Azure aan hun digitale sleutel te veranderen, meldt persbureau Reuters.
Wiz ontdekte onlangs een ernstig lek in de Cosmos DB-database van Microsoft Azure. Hiermee kon het bedrijf bij sleutels komen die de toegang tot de databases van duizenden bedrijven beheren.
Het lek werd eerder deze maand gedicht nadat Microsoft was ingelicht door Wiz. Volgens Wiz heeft het lek waarschijnlijk twee jaar bestaan.
Microsoft ontkent de risico’s waar Wiz voor waarschuwt. Microsoft schrijft in een e-mail aan 3.300 klanten van Azure dat het “geen aanwijzingen heeft dat externen buiten de onderzoeker (Wiz, red.) toegang hadden”.
Onder die klanten zijn grote Amerikaanse bedrijven, waaronder olie- en gasconcern ExxonMobil en frisdrankconcern Coca-Cola.
Hoe Microsoft zeker weet dat niemand ongeautoriseerde toegang had tot de databases, zegt het bedrijf niet.
CISA vindt dat zorgelijk. Daarom raadt het agentschap alle Azure-gebruikers aan hun sleutel te veranderen, dus niet alleen de 3.300 klanten die zijn ingelicht door Microsoft.
Ami Luttwak, technologie-expert bij Wiz, sluit zich bij het advies aan. “Het is onmogelijk om volledig uit te sluiten dat het lek is misbruikt”, zegt Luttwak tegen Reuters.
Privacy Nieuws
De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. Je zou denken dat deze wet dan ook geldt voor ambassades van Europese landen in het buitenland. Bijvoorbeeld in Afghanistan. Nergens anders is het belang van het beschermen van persoonlijke gegevens actueel belangrijker dan in Kabul.
Als de gegevens van Afghanen die voor NAVO-strijdkrachten hebben gewerkt in handen komen van de Taliban kan dat voor deze mensen en hun families dodelijk zijn.
Afghanen die voor de Britten hebben gewerkt verkeren daarom nu in doodsangst.
Personeelsleden van het Britse Ministerie van Buitenlandse Zaken hebben documenten met de contactgegevens van Afghanen die voor hen werken, alsmede de CV’s van plaatselijke bevolking die solliciteerde, open en bloot achtergelaten op de grond van de Britse ambassade in Kaboel die door de Taliban in beslag is genomen.
De papieren met de namen van zeven Afghanen werden dinsdag door het Britse dagblad The Times gevonden toen Taliban-strijders patrouilleerden in de ambassade.
Telefoontjes van de krant naar de nummers op de documenten brachten ook nog eens aan het licht dat sommige Afghaanse werknemers en hun gezinnen dagenlang aan de verkeerde kant van de luchthaven waren gestrand nadat hun gegevens in de haast van de evacuatie van de ambassade op 15 augustus in het vuil waren achtergelaten.
“De terugtrekking van onze ambassade werd in grote haast gedaan omdat de situatie in Kabul verslechterde. Alles werd in het werk gesteld om gevoelig materiaal te vernietigen”, vertelde een woordvoerder van het Britse ministerie van Buitenlandse Zaken aan persbureau Reuters.
De uitleg lijkt misschien logisch, maar is natuurlijk absurd. Groot Brittannië is een land met een rijke oorlogsgeschiedenis. Het land zou als geen ander de risico’s moeten kennen die ontstaan als gevoelige gegevens in handen van de vijand komen.
Los van de privacywet zou ieder NAVO-land toch draaiboeken moeten hebben waarin staat dat in geval van een aftocht gevoelige gegevens meteen moeten worden vernietigd.
Het open en bloot achterlaten van deze gegevens staat in het geval van de noodlottige Afghanen feitelijk gelijk aan een oorlogsmisdaad. De Britten leveren de mensen die hen hebben geholpen feitelijk op een presenteerblaadje uit aan de Taliban.
Je zou de situatie zelfs kunnen vergelijken met de kwalijke rol die Nederlandse militairen hebben gespeeld in Srebrenica.
Privacy Nieuws
Big Brother Elon Musk is watching you! Automobilisten die trots in een Tesla rijden worden voortdurend gemonitord. Alle data die door de geavanceerde software, sensoren en camera’s van hun elektrische auto worden verzameld blijken desgevraagd ook door de fabrikant aan justitie te worden verstrekt.
Dat blijkt uit een recent praktijkvoorbeeld in Berlijn, waar de bestuurder van een Tesla door de rechter werd veroordeeld op basis van data die Tesla aan justitie had verstrekt. De Duitse publieke omroep ZDF dook in deze rechtzaak.
Volgens officier van justitie Andreas Winkelmann zou zonder de rijgegevens die Tesla verstrekte het onderzoek naar het misdrijf “niet zo diepgaand mogelijk zijn geweest”.
De Tesla-rijder was met 160 km/u door Berlijn gereden, had een verkeerslicht geramd en probeerde vervolgens een vluchtmisdrijf te plegen.
Uiteindelijk werd de chauffeur veroordeeld, moest hij een hoge boete betalen en een jaar lang zijn rijbewijs inleveren.
Gelet op de ernst van de overtreding ben je enerzijds geneigd om tevreden te zijn met de veroordeling. Tegelijkertijd is het echter goed om te beseffen hoeveel data Tesla en andere autofabrikanten inmiddels over ons gedrag verzamelen. En hoe groot de impact op ons persoonlijke leven kan zijn als deze data in ‘verkeerde’ handen terecht komt.
Moderne auto’s zijn eigenlijk rollende computers. Overal in de voertuigen zijn sensoren en camera’s geïnstalleerd om allerlei gegevens te verzamelen. Dankzij deze systemen worden auto’s steeds slimmer, veiliger en zuiniger. En dankzij deze techniek wordt het ook mogelijk om handsfree te rijden op de automatische piloot.
Maar deze innovatie technische ontwikkelingen hebben ook een keerzijde, leert het praktijkvoorbeeld in Berlijn. We verliezen de controle over onze persoonlijke levenssfeer.
Wat gebeurt er met de gegevens die de moderne auto’s verzamelen? Aan wie worden deze gegevens verstrekt? Hoe zit dat met de privacywetgeving? Wat kan en mag justitie eigenlijk allemaal opvragen? Wie is eigenaar van deze gegevens? Mag of moet een autofabrikant als Tesla deze gegevens zo maar aan justitie verstrekken?
Tesla zegt dat “opnames gemaakt door de dashcam en sentinel mode (…) onder geen enkele omstandigheid worden doorgegeven aan Tesla”. Daarmee wordt gesuggereerd dat de gegevens dus worden opgeslagen in de auto en je zou kunnen veronderstellen dat de eigenaar van de auto dan alle zeggenschap heeft.
Er schuilt echter een addertje onder het gras. Iedere 30-seconden wordt automatisch data opgeslagen in het geval van veiligheidskritische gebeurtenissen. Tesla kan deze gegevens inzien en gebruiken om de software en systemen te analyseren en te verbeteren.
De gegevens worden geacht te worden geanonimiseerd, maar ook hier zijn er een aantal uitzonderingen. Dit verklaart ook waarom de Berlijnse onderzoekers de relevante ongevalvideo’s en rijgegevens van Tesla konden bemachtigen.
Het voertuig registreerde een hoop gegevens: Niet alleen kan worden nagegaan hoe de bestuurder en de passagier in de auto zaten of wanneer zij de portieren openden, maar ook de stand van het gaspedaal en de versnelling op het moment van de botsing.
Het Duitse voorbeeld staat niet op zich. In de VS hebben de autoriteiten ook al toegang tot uitgebreide gegevens van Teslas om een ongeval te reconstrueren. Het verkrijgen van videobeelden is ook geen probleem. Video’s worden automatisch doorgestuurd naar Tesla via mobiele radio zonder de bestuurder te informeren.
Privacy Nieuws
Microsoft heeft donderdag duizenden van zijn cloud computing-klanten, waaronder enkele van ’s werelds grootste bedrijven, gewaarschuwd dat indringers de mogelijkheid zouden kunnen hebben om hun belangrijkste databases te lezen, te wijzigen of zelfs te verwijderen, volgens een kopie van de e-mail en een cyberbeveiligingsonderzoeker.
De kwetsbaarheid zit in Microsoft Azure’s vlaggenschip Cosmos database. Een onderzoeksteam van beveiligingsbedrijf Wiz ontdekte dat het toegang kon krijgen tot sleutels die de toegang controleren tot databases van duizenden bedrijven.
Wiz Chief Technology Officer Ami Luttwak is een voormalig chief technology officer bij Microsoft’s Cloud Security Group.
Omdat Microsoft deze sleutels niet zelf kan wijzigen, stuurde het de klanten donderdag een e-mail met de boodschap dat ze nieuwe sleutels moesten aanmaken.
Microsoft stemde ermee in Wiz 40.000 dollar te betalen voor het vinden van de fout en het melden ervan, aldus een e-mail die het naar Wiz stuurde.
Woordvoerders van Microsoft gaven niet onmiddellijk commentaar.
In de e-mail die Microsoft naar klanten stuurde, staat dat het de kwetsbaarheid had verholpen en dat er geen aanwijzingen waren dat er misbruik van het lek was gemaakt. “We hebben geen aanwijzingen dat externe entiteiten buiten de onderzoeker (Wiz) toegang hadden tot de primaire read-write key”, aldus een kopie van de e-mail die door persbureau Reuters werd ingezien.
“Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen. Het is een langdurig geheim,” vertelde Luttwak aan Reuters. “Dit is de centrale database van Azure, en we waren in staat om toegang te krijgen tot elke klantendatabase die we wilden.”
Luttwak’s team ontdekte het probleem, dat de naam ChaosDB kreeg, op 9 augustus en bracht Microsoft op 12 augustus op de hoogte.
De onthulling komt na maanden van slecht beveiligingsnieuws voor Microsoft. Het bedrijf werd gehackt door dezelfde vermoedelijke Russische overheidshackers die SolarWinds infiltreerden en die hier Microsoft broncode stalen.
Een recente fix voor een printerfout die computerovernames mogelijk maakte, moest herhaaldelijk worden overgedaan.
En een fout in Exchange e-mail leidde vorige week tot een dringende waarschuwing van de Amerikaanse overheid dat klanten patches moeten installeren die maanden geleden zijn uitgegeven omdat ransomware bendes er nu misbruik van maken.
Privacy Nieuws
De woonadressen van zzp’ers moeten in het Handelsregister van de Kamer van Koophandel (KVK) worden afgeschermd. Daarvoor pleit de Autoriteit Persoonsgegevens (AP) in een advies aan demissionair staatssecretaris Mona Keijzer van Economische Zaken en Klimaat.
Adressen moeten alleen beschikbaar blijven voor bepaalde beroepsgroepen en instanties.
Op dit moment kan iedereen in het (online) register de woonadressen van zzp’ers opzoeken. Dat heeft soms tot gevolg dat mensen worden gestalkt of bedreigd.
“Je zal maar zzp’er zijn in de psychiatrie, en bang zijn dat een cliënt je thuis opzoekt”, zegt AP-voorzitter Aleid Wolfsen. “En het is toch onacceptabel als een journalist of activist denkt: ik publiceer dit artikel niet, want ik word al bedreigd en straks staan ze bij mij voor de deur.”
Ook wijst Wolfsen op het gevaar dat met de persoonsgegevens identiteitsfraude kan worden gepleegd.
De AP ziet geen noodzaak voor het openbaar houden van woonadressen. Het Handelsregister is bedoeld om mensen en bedrijven te kunnen opzoeken en zo zeker te zijn dat iemand bevoegd is namens een bedrijf te spreken of handelen.
Omdat zzp’ers dat altijd doen, gaat dat argument bij hen niet op. Bovendien beschikken bedrijven waarmee wordt samengewerkt via facturen al over de adressen van de zzp’ers.
Het systeem moet worden omgedraaid, stelt de AP aan Keijzer voor. De adressen moeten alleen nog ingezien kunnen worden door bepaalde beroepsgroepen en instanties zoals advocaten, notarissen, deurwaarders en in bepaalde gevallen journalisten.