Hacker legt alle automatiseringsystemen van Baltimore al een maand lang plat

Het computernetwerk van de Amerikaanse metropool Baltimore is al een maand lang volledig verlamd. Van de waterrekening tot de aankoop van een huis… Niets werkt meer.

Sinds begin mei zijn bijna alle computersystemen in de stad stilgelegd, zelfs e-mails en telefoons zijn dood. De administratie moet het doen met noodoplossingen en papier.

De inwoners van de stad werden op 7 mei voor het eerst ingelicht via Twitter. Vanwege de hack lukte dat niet via mail. Uit de tweet blijkt dat de gemeente op dat moment nog niet de enorme impact van de cybercrime aanval in de gaten had:

“We negeren je niet. Onze e-mail service werkt niet. We werken eraan.”

Werknemers van de stad in de Amerikaanse staat Maryland hadden wel gemerkt dat sommige systemen zich vreemd gedroegen. De IT-beveiligers ontdekten al snel dat tientallen stadsservers door een Trojaan waren versleuteld – en haalden het systeem van het net. Sindsdien kan het hele bestuurlijke en ambtelijke apparaat niets meer doen.

Of het nu gaat om de betaling van de waterrekening, een parkeerkaart of de overdracht van een huis aan een nieuwe eigenaar: alles ligt al wekenlang braak in Baltimore.

Er komen geen e-mails meer binnen, zelfs de telefoonsystemen waren deels buiten werking.

Om op de een of andere manier te kunnen werken, creëerden de medewerkers privé-e-mailadressen voor hun werk, waarna de administratie na jaren weer overging op papier om op de een of andere manier verder te kunnen werken.

Gelukkig zijn de politie, de brandweer en de gezondheidszorg niet getroffen.

De gevolgen zullen waarschijnlijk nog enige tijd aanhouden.

Hoewel het voor de autoriteiten inmiddels mogelijk is om een deel van de dagelijkse werkzaamheden te hervatten, zijn de problemen in Baltimore nog steeds niet opgelost. De stad moet met spoed fors investeren om de computersystemen weer veilig te kunnen gebruiken. De redding van de rest van het systeem zou ongeveer vijf miljoen euro moeten kosten, en tegen het einde van het jaar wordt nog eens vijf miljoen euro verwacht.

Het dagblad Baltimore Sun meldt dat er nog eens tien miljoen euro verloren is gegaan door het gebrek aan inkomsten.

Burgemeester wil niet betalen

Burgemeester Bernard C. Young, bekend als “Jack”, was pas enkele dagen in functie toen het losgeldbriefje arriveerde: de aanvaller eiste 13 Bitcoin, wat overeenkomt met ongeveer 90.000 euro.

Individuele systemen zouden worden vrijgegeven voor drie Bitcoin. Maar burgemeester Young weigerde om te betalen. “Wij betalen geen misdadigers voor hun slechte daden”, verklaarde de burgemeester aan de Baltimore Sun.

Het was immers niet bekend of de systemen na betaling überhaupt weer vrijgegeven zouden worden.

In plaats daarvan heeft Young de NSA en de FBI gewaarschuwd en externe consultants ingeschakeld om de problemen op te lossen.

Al snel werd duidelijk dat de hackers het aanvalsgereedschap “Robbinhood” gebruikten, dat al in andere hoogwaardige zaken werd gebruikt.

De verdenking dat ook een gestolen NSA cyberwapen was gebruikt kon niet worden bevestigd door de deskundigen Eric Sifford en Joe Stewart. Zij legden in een blogbericht uit dat hier geen aanwijzingen voor zijn gevonden in de onderzochte programmaonderdelen.

UPS

En iemand anders ontkent het gebruik van NSA-tools: de hacker zelf. Blijkbaar gefrustreerd door de niet-betaling, vroeg hij enkele dagen geleden via Twitter aan burgemeester Young en verschillende gemeenteraadsleden om eindelijk het bedrag te betalen.

Hij zou zelfs een aantal van de servers gratis ontgrendelen, zo bood de hacker aan. Hij wilde laten zien dat het echt mogelijk was om de gegevens te redden. Hij kon bewijzen dat het de dader was met interne documenten van het stadsbestuur, die door de deskundigen als echt werden beschouwd.

Ondertussen is het account door Twitter geblokkeerd. Niet vanwege de hack, maar omdat de vermeende hacker burgemeester Young racistisch beledigde.

De aanpak van de hacker is ongewoon, benadrukken experts volgens “Ars Technica”.

Normaal gesproken zouden dergelijke aanvallers voorkomen dat zij het bewijs van indringing in het systeem leveren en zelfs in het openbaar commentaar geven op het systeem. Zij vermoeden dat de dader een ander motief voor zijn daad heeft. Ze vermoeden dat hij de hack van de stad ziet als een reclamecampagne om de kracht van zijn chantage-instrument te laten zien. Om zich te kunnen verhuren aan derden.

Privacywet heeft geen effect. ‘123456’ nog steeds populairste wachtwoord

Wachtwoorden verzinnen en herinneren is voor veel mensen een drama. Zodra je denkt dat je het veiligste wachtwoord aller tijden hebt gevonden, verschijnt de waarschuwing: Het is te kort, bevat geen speciaal teken, er ontbreekt een nummer.

Veel mensen worden gek van die meldingen. Ze ergeren zich er mateloos aan. Negeren vervolgens 1, 2, 3 alle waarschuwingen voor cybercrime en gebruiken gewoon een standaard gemakkelijk te onthouden – en te kraken – wachtwoord. Onder het mom van: ‘dat zien we dan wel weer’ of – tegen beter weten in – ‘ik heb niets te verbergen’.

Een jaar na de invoering van de privacywet lijken alle awareness campagnes vrijwel geen impact te hebben gehad. Het British National Cybersecurity Center (NCSC) heeft een lijst met de 100.000 populairste wachtwoorden gepubliceerd, gebruikmakend van gegevens van wereldwijde gegevenshacks.

Hoor jij bij de risicogroep?

Het wachtwoord “123456” leidt de lijst. De combinatie van cijfers kwam 23 miljoen keer voor in de verzamelde gegevens.

De tweede plaats gaat naar de creatieve uitbreiding: “123456789”.

Ook populair, en bijzonder gemakkelijk te onthouden, is het wachtwoord van 3,6 miljoen mensen: “wachtwoord”.

Opvallend waren ook de namen van verschillende muziekgroepen zoals “Blink 182”, “50cent” en “Eminem”.

Superman en Batman zijn populairder onder superhelden dan Spiderman.

Romantiek wordt van plaats 14 met “iloveyou” – even later volgen “prinses”, “kusme”, “onelove” en “titanic”.

De onderzoekers ontdekten ook dat namen allesbehalve geschikt zijn. “Ashley’ is de meest voorkomende vrouwelijke voornaam, terwijl ‘Michael’ triomfeert in de mannelijke wachtwoord variant. Ik ben benieuwd naar de Nederlandse voornamen die populair zijn als wachtwoord.

Voor het onderzoek werkte de Britse organisatie samen met de Australische cyberbeveiligingsexpert Troy Hunt, bekend van de website “Have I Been Pwned? Zo kunnen gebruikers testen of hun e-mailadres in verband met datalekken wordt weergegeven.

Awareness waarschuwing

Staat jouw wachtwoord in de hitlijst van cybercriminelen? Wordt dan eindelijk wakker. Houd je zelf niet langer voor de gek. Je laat de sleutel van je huis, fiets of auto toch ook niet gewoon in het slot zitten? Zorg eindelijk eens voor dat je onveilige wachtwoorden vervangen worden door veilige inloggegevens. Liefst ook double optin. Moeilijk? Welnee. Gebruik goede wachtwoord management software als ‘Last Pass’ of ‘Bitwarden’. Dan wordt het verzinnen en onthouden van moeilijke wachtwoorden een fluitje van een cent.

Ik kan 5.000 Euro per dag verdienen, meldt een onbekende via Whatsapp. Te mooi om waar te zijn…

Pieppiep. Er komt via Whatsapp een bericht binnen. Ik kan 5.000 Euro per dag verdienen met thuiswerk, meldt een onbekende afzender. Als ik meer wil weten moet ik op een link klikken. Het aanbod is verleidelijk.

Dat weet de onbekende afzender ook. Waarschijnlijk een cybercrimineel die via social engineering probeert om mij te bewegen op de link te klikken.

Het is al het tweede bericht binnen twee weken.

Ik ben uiteraard nieuwsgierig. Niet vanwege het aanbod, maar beroepsmatig. Hoe ziet de website waarmee de cybercrimineel mij in de val wil lokken er uit?

Ik klik niet. Uiteraard niet. Ik ken de risico’s.

Misschien activeer ik via de link een script dat een virus instaleert.

De dader zou ook kunnen proberen om via phishing mij inloggegevens te ontfutselen.

Ik krijg het bericht binnen op mijn iPhone. Die is goed beveiligd. Waarschijnlijk loop ik geen risico als ik toch even op de link klik. Zal ik het doen? Even kijken?

Nee. Want ook met een iPhone loop ik risico. Bovendien bevestig ik zodra ik op de link klik dat ik open sta voor gevaarlijke verleidingen. Dan kan ik nog meer spam verwachten.

Facebook moet in Italië 10 miljoen Euro boete betalen wegens overtreding van Europese privacywet

Facebook is in Italië veroordeeld tot een boete van tien miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Italiaanse mededingingsautoriteit AGCM.

AGCM beschuldigt Facebook van een agressieve handelspraktijk omdat de mogelijkheid om op andere sites en applicaties in te loggen met Facebook-accountgegevens vooraf is ingesteld zonder de uitdrukkelijke toestemming van de gebruiker.

De door Facebook geplande opties voor het deselecteren van de functie voldoen niet aan de eisen van de ACG.

Datalek bij Quora. Gegevens van 100 miljoen gebruikers liggen op straat

Quora, een populaire site waar gebruikers vragen kunnen stellen en antwoorden kunnen geven, heeft een groot datalek gemeld. Cybercriminelen hebben gegevens van 100 miljoen Quora gebruikers buitgemaakt.

Quora meldt dat het datalek op 30 november 2018 is ontdekt. Quora heeft alle gebruikers uitgelogd en dwingt alle accounts om het wachtwoord te resetten.

Welke gegevens zijn er gelekt bij Quora?

  • Accountinformatie, zoals naam, e-mailadres, versleuteld (hashed) wachtwoord, gegevens geïmporteerd uit gekoppelde netwerken wanneer de gebruikers daarvoor toestemming hebben gegeven.
  • Publieke inhoud en acties, zoals vragen, antwoorden, commentaar, opmerkingen, upvotes
  • Niet-openbare inhoud en acties, zoals antwoordverzoeken, downvotes, directe berichten.
  • Vragen en antwoorden die anoniem zijn geschreven worden niet beïnvloed door deze schending, omdat Quora de identiteit van mensen die anonieme inhoud plaatsen niet opslaat.

De overgrote meerderheid van de geraadpleegde inhoud was al openbaar op Quora, maar het lekken van account- en andere privacygevoelige informatie is ernstig.

7 Europese consumentenbonden klagen Google aan wegens schending AVG. Google registreert onrechtmatig waar jij bent geweest

Consumentenorganisaties in Nederland, Polen, Griekenland, Noorwegen, Slovenië, Zweden en Tsjechië klagen Google aan wegens onrechtmatige monitoring van de locatie van gebruikers. De zeven organisaties hebben hun krachten gebundeld. Ze hebben ieder bij hun eigen nationale Autoriteit Persoonsgegevens (AP) een klacht ingediend tegen de internetgigant.

Google schendt volgens de consumentenorganisaties op grote schaal de Algemene Verordening Gegevensbescherming (AVG).

Google volgt zijn gebruikers via “Locatiegeschiedenis” en “Web & App Activity”, instellingen die in alle Google-accounts zijn geïntegreerd. Voor degenen die gebruik maken van Android-smartphones, waaronder Samsung en Huawei-telefoons, is tracking bijzonder moeilijk te vermijden.

De klachten zijn gebaseerd op nieuw onderzoek van de Noorse consumentenbond Forbrukerradet, die lid is van de Europese consumentenorganisatie BEUC.

De consumentenorganisaties beschuldigen Google van ,,bedrieglijke praktijken” om gebruikers ertoe te brengen om in diverse Google applicaties het trackingsysteem te activeren waarmee Google kan bepalen waar iemand zich bevindt.

Volgens de consumentenorganisaties overtreedt Google de Algemene Verordening Gegevensbescherming ook omdat het bedrijf
geen “eenvoudige informatie” heeft verstrekt over wat het opgeven van de gegevens werkelijk met zich meebrengt en “de consument in het ongewisse laat over het gebruik van zijn persoonlijke gegevens.

“Locatiegegevens kunnen veel onthullen over mensen, waaronder religieuze overtuigingen (naar plaatsen van aanbidding), politieke gezindheid (naar demonstraties), gezondheidsproblemen (regelmatige ziekenhuisbezoeken) en seksuele geaardheid (bezoek aan bepaalde bars)”, zeggen de consumentenorganisaties.

Gro Mette Moen, waarnemend hoofd van de eenheid, digitale diensten in de Noorse Consumentenbond, zegt dat Google zeer gedetailleerde en uitgebreide persoonlijke gegevens verwerkt zonder de juiste juridische gronden, en die gegevens verkrijgt door manipulatietechnieken.

Hij voegde eraan toe dat Google registreert waar gebruikers naartoe gaan, en hoe ze zich verplaatsen, en deze gegevens kunnen worden gecombineerd met andere informatie, zoals wat gebruikers zoeken en de websites die ze bezoeken.

“Dergelijke informatie kan op zijn beurt weer worden gebruikt voor zaken als gerichte reclame die bedoeld is om ons te beïnvloeden wanneer we ontvankelijk of kwetsbaar zijn.”

Een gedetailleerd rapport zei er verscheidene manieren Google trucs zijn gebruikers in het delen van hun plaats zijn.

In de eerste plaats gebeurt dit door middel van een misleidende click-flow, die gebruikers er bij het opzetten van een Android-toestel toe aanzet om de “Locatiegeschiedenis” in te schakelen zonder dat ze daarvan op de hoogte zijn. Dit is in strijd met de wettelijke verplichtingen van het GDPR om geïnformeerde en vrijelijk toestemming te vragen.

Vervolgens worden de standaardinstellingen voor “Web & App Activity” verborgen achter extra klikken en standaard ingeschakeld.

Google geeft ook misleidende en onevenwichtige informatie, beweert de groep, aangezien gebruikers onvoldoende informatie krijgen wanneer zij keuzes krijgen voorgelegd en misleid worden over de gegevens die worden verzameld en hoe deze worden gebruikt. Bijvoorbeeld, informatie over hoe locatiegegevens worden gebruikt voor reclame wordt verdoezeld achter extra kliks.

Apple verwijdert diverse fitness apps uit de Appstore. Gebruikers werden misleid via Touch-ID

Tegen het einde van het jaar denken veel mensen na over hun goede voornemens voor volgend jaar. Veel mensen willen dan afvallen. Bijvoorbeeld met trainingsprogramma dat ze kunnen downloaden op hun smartphone. Cybercriminelen spelen daar op in.

iPhonegebruikers kwamen daar onlangs achter nadat ze apps van de ontwikkelaar Oleg Usupov hadden geinstalleerd.

De betreffende apps zagen er dankzij gekochte waarderingen van 5 sterren aantrekkelijk uit.

In de app kregen gebruikers de opdracht om hun vingerafdruk te scannen om persoonlijk advies te krijgen.

In werkelijkheid deden ze een in-app aankoop via de Touch ID-knop, die kon oplopen tot wel honderd euro. De omschrijving in de App Store beloofde een in-app aankoop van slechts 99 cent.

Veel iPhonegebruikers gaan er van uit dat de Apple Appstore veilig is. Apple zegt zich immers te onderscheiden van Android omdat het bedrijf in tegenstelling tot de concurrent een zorgvuldig review proces heeft dat er juist voor zou moeten zorgen dat kwaadaardige apps niet in de Apple appstore zouden moeten kunnen komen. Iedere app wordt immers vooraf getoetst.

Dat is bij de gewraakte fitnessapps dan niet zorgvuldig gebeurd.

Apple ontdekte het bedrog pas nadat er op Reddit uitgebreid over werd gesproken.

Meer valkuilen

Er is daarnaast al geruime tijd stevige kritiek over gratis apps die je kunt opwaarderen met in-app aankopen.

Mensen die niet zo handig zijn met hun smartphone denken gratis gebruik te maken van de app, maar worden in werkelijkheid na het installeren van de app pop-up-schermen misleid tot het afsluiten van dure abonnementen.

In het pop-up-scherm worden ze verleid tot het nemen van een gratis proefabonnement. Het kruisje om het pop-upscherm te sluiten is nauwelijks zichtbaar of verdwijnt na een paar seconden. Minder handige gebruikers denken in zo’n geval dat ze geen keuze hebben of vergeten om hun in-app abonnement op te zeggen.

Koop voor Sinterklaas en Kerst alleen ‘slim’ speelgoed dat is goedgekeurd. Voorkom dat kinderen worden afgeluisterd en gevolgd

Een leerrobot. Of een pratende pop. Kinderen vinden het prachtig. Ouders soms ook. De verleiding is groot om dit ‘slimme’ speelgoed met Sinterklaas of Kerst kado te geven. Dat is prima, maar controleer dan wel goed of het speelgoed officieel is goedgekeurd.

Voorkom dat er speelgoed wordt gekocht dat stiekum met camera’s, microfoons en gps via internet gegevens doorspeelt naar dubieuze netwerken.

Het moet eerst duidelijk zijn wat er met de gegevens uit de kinderkamer gebeurt en wie toegang heeft tot het nieuwe speelgoed van de kinderen.

Om te voorkomen dat er onopgemerkt of permanent video- en geluidsopnamen worden gemaakt en verzonden is het belangrijk dat de microfoon en camera ook kunnen worden gedeactiveerd. In ieder geval in de besturingsapp, maar bij voorkeur ook met schakelaars op het speelgoed.

Het is verstandig om de website van de fabrikant te bezoeken. Als het goed is kun je daar de gebruiksaanwijzingen alvast doornemen.

En natuurlijk ook de privacy disclaimer van de producent. Daar moet zijn vermeld waar de gegevens over het gebruik van het spel of de spelinformatie wordt opgeslagen. De server van de betreffende provider dient bij voorkeur in een EU-land te staan.

Daarnaast moeten ouders in de privacyverklaring aandacht besteden aan de argumenten die de fabrikant geeft voor het verzamelenen van informatie. Is het echt nodig om het speelgoed te kunnen laten functioneren?

Het maken van profielen op basis van gebruiksinformatie en het gebruik ervan voor gepersonaliseerde reclame voor kinderen is bijvoorbeeld verboden.

Zelfs als een stuk speelgoed niet rechtstreeks via WLAN met het internet is verbonden, moeten gebruikers er rekening mee houden dat gegevens via een besturingstoepassing naar de fabrikant kunnen stromen.

Ook de toegang tot speelgoed in een netwerk moet naar behoren worden beveiligd.

Bij Bluetooth-verbindingen, bijvoorbeeld de verbinding tussen een besturingsapp op de smartphone en het speelgoed, betekent dit dat het mogelijk moet zijn om deze verbinding te beschermen door het invoeren van een verwisselbare pincode, zodat vreemden het speelgoed niet kunnen kapen of in contact kunnen komen met het spelende kind.

Vaak is echter alleen een eenvoudige PIN-code ingesteld, die niet kan worden gewijzigd.

Of nog erger: het speelgoed maakt via Bluetooth automatisch verbinding met smartphones of tablets in de buurt.

Om ervoor te zorgen dat de verbinding kan worden beschermd, adviseren consumentenorganisaties de ouders ook hier om de website en gebruiksaanwijzingen van de fabrikant te raadplegen alvorens tot aankoop over te gaan.

Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?

Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.

Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet

 

Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?

Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.

Lees zijn bio op de site van PM Partners maar:

Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.

Waarom heeft CEO fraude niets te maken met de AVG?

Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.

Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.

CEO-fraude.

Social engineering.

Die woorden komen toch echt aan bod bij iedere security awareness training.

Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.

Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?

Jeroen Terstegge antwoordt meteen:

Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.

 

 

Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.

Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:

  • Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
  • AVG = persoonsgegevens…
  • Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).

 

Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.

Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.

De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.

Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.

Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.

Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.

Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:

Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.

 

Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.

De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.

Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.

Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.

Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.

En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.

Maar dat is mijn bescheiden mening.

No hard feelings, Jeroen.

Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.

Wat gebeurt er (niet meer) als het internet in heel Nederland plat wordt gelegd? Dit college van professor Aiko Pras moet je zien!

Dit artikel kun je dankzij internet lezen. Waar je ook bent. Als je even geen dekking hebt voor je smartphone vind je dat hoogst irritant. Als je wifi thuis langzaam is scheldt je op je provider. Maar wat doe je als het hele internet plat ligt?

Professor Aiko Pras van de Universiteit Twente legt het uit in een online college. Hij neemt je mee op een vliegreis die dankzij een grote internetstoring niet door kan gaan. Al snel kom je er dan achter hoe kwetsbaar onze moderne samenleving dankzij internet is geworden.

Dan begrijp je ook hoe belangrijk die irritante bureacratisch ogende Algemene Verordening Gegevensbescherming (AVG) is. Het internet is zo sterk als de zwakste schakel. En wij zijn als gebruikers allemaal een schakel. Als jij je door een cybercrimineel laat verleiden om te reageren op een phishingmail kun jij de zwakke schakel zijn.

Jij kunt er zelf de oorzaak van zijn dat de digitale soldaten van Poetin er in slagen om malware te installeren op jouw computer of op het netwerk van jouw bedrijf. Een computervirus dat zich vervolgens razendsnel verspreidt over het Nederlandse internet en alle systemen platlegt.

Volgens professor Aiko Pras is de kans op een vernietigende digitale aanval op het internet groter dan we denken en zijn wij als maatschappij niet goed voorbereid op de chaos die dit zou kunnen creëren.

Het college van professor Pras op het YouTube kanaal van de Universiteit van Nederland is een aanrader voor iedereen die twijfelt over het nut van de AVG. In 18 minuten legt Pras uit waarom het zo belangrijk is dat iedereen zich bewust is van de risico’s die we lopen en hoe we ons daar tegen kunnen beschermen.

Wordt het WiFi signaal van je smartphone op straat, in winkelcentra of op stations getraceerd? Dat mag niet zomaar…

Ooit van wifitracking gehoord? Wist je dat marketeers aan de hand van het wifi-signaal van je smartphone weten hoe vaak jij op bepaalde plekken bent geweest? Over privacy gesproken…

Sommige gemeenten monitoren het winkelend publiek in het centrum aan de hand van wifi-signalen van smartphones.

Sommige supermarkten volgen je ook als jij je winkelmandje bij hun in de zaak vult.

En op stations wordt aan de hand van wifisignalen gemeten hoeveel mensen bepaalde reclameborden hebben gezien.

Mag dat zo maar?

Nee, dat mag niet zo maar. Zodra er persoonsgegevens worden verwerkt komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. De Autoriteit Persoonsgegevens (AP) geeft toelichting.

Het volgen van mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is voor bedrijven slechts in zeer weinig gevallen toegestaan, meldt de AP.

Wifitracking en ook andere digitale middelen om personen te volgen zijn slechts onder zeer strikte voorwaarden toegestaan. Het betreft vrijwel altijd een verwerking van persoonsgegevens, waardoor deze volgmethode onder de privacyregels valt.

Bedrijven kunnen het digitaal volgen van mensen in de (semi-)openbare ruimte in theorie op drie wettelijke gronden baseren. Naast toestemming zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst. Bedrijven moeten dan wel aan strikte voorwaarden voldoen.

Ze kunnen echter ook op andere manieren zonder persoonsgegevens en digitale volgapparatuur hun doelen bereiken. De AP heeft na vragen een nadere uitleg over deze normen op haar website gepubliceerd.

Wifitracking

Het gaat onder meer om de toepassing van wifitracking, waarbij het signaal van mobiele telefoons wordt gebruikt om groepen mensen in de gaten te houden.

In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken.

“Het is een groot goed om je in het openbaar onbespied te wanen. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden”, aldus AP-bestuursvoorzitter Aleid Wolfsen. “Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”

De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking.

Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid.

In beide gevallen is het dan altijd de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn. Het vragen van toestemming aan mensen die in het gebied lopen is in theorie een laatste mogelijkheid, maar is in de praktijk vooralsnog niet uitvoerbaar. 

Ook als de gegevens gepseudonimiseerd worden verwerkt en bewaard, is de Algemene verordening gegevensbescherming van toepassing.

Datalek bij RTL. 32.000 accounts gehackt

De commerciele omroep RTL heeft bij de Autoriteit Persoonsgegevens (AP) melding gedaan van een omvangrijk datalek. Hackers hebben ingebroken bij 32.000 accounts van RTL-diensten als Videoland, Buienradar en RTL Nieuws.

De mailadressen en wachtwoorden die de cybercriminelen gebruikten zijn buitgemaakt bij hacks in het verleden, onder andere bij LinkedIn, Dropbox en eBay.

RTL heeft alle getroffen accounts geblokkeerd totdat gebruikers hun wachtwoord aanpassen. Er zijn volgens de omroep geen betalingsgegevens gestolen.

Alhoewel de inloggegevens eerder elders zijn buitgemaakt gaat RTL echter zelf niet vrijuit. RTL had onvoldoende beschermingsmaatregelen getroffen waardoor de hackers geautomatiseerd in bulk combinaties van wachtwoorden en mailadressen konden invoeren bij Videoland, Buienradar en RTL Nieuws.

Zo kregen de cybercriminelen toegang tot de volledige naam, het e-mailadres, woonadres en de woonplaats.

In het kader van de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties technische en organisatorische maatregelen treffen om diensten en sites te beveiligen tegen cybercrime. Als er geprobeerd wordt om in bulk in te loggen op een site is dat verdacht en moet zo’n site automatisch die inlogpogingen blokkeren. Dat is blijkbaar bij RTL niet gebeurd.

Veel mensen gebruiken voor verschillende diensten dezelfde inloggegevens. Als een zo’n dienst gekraakt wordt hebben cybercriminelen meteen toegang tot meerdere diensten en sites. Bij security awareness trainingen wordt iedereen daarom geadviseerd om zo snel mogelijk nieuwe alle wachtwoorden te wijzigen. Gebruik voor alle diensten en sites een seperaat wachtwoord.

Wachtwoord aanpassen
Op de website Have I Been Pwnd kun je controleren of wachtwoorden van je online accounts zijn uitgelekt. Is dat het geval? Dan is het belangrijk om dat wachtwoord overal aan te passen. Het is verstandig om voor verschillende online diensten andere wachtwoorden gebruiken.