Datalek bij Quora. Gegevens van 100 miljoen gebruikers liggen op straat

Quora, een populaire site waar gebruikers vragen kunnen stellen en antwoorden kunnen geven, heeft een groot datalek gemeld. Cybercriminelen hebben gegevens van 100 miljoen Quora gebruikers buitgemaakt.

Quora meldt dat het datalek op 30 november 2018 is ontdekt. Quora heeft alle gebruikers uitgelogd en dwingt alle accounts om het wachtwoord te resetten.

Welke gegevens zijn er gelekt bij Quora?

  • Accountinformatie, zoals naam, e-mailadres, versleuteld (hashed) wachtwoord, gegevens geïmporteerd uit gekoppelde netwerken wanneer de gebruikers daarvoor toestemming hebben gegeven.
  • Publieke inhoud en acties, zoals vragen, antwoorden, commentaar, opmerkingen, upvotes
  • Niet-openbare inhoud en acties, zoals antwoordverzoeken, downvotes, directe berichten.
  • Vragen en antwoorden die anoniem zijn geschreven worden niet beïnvloed door deze schending, omdat Quora de identiteit van mensen die anonieme inhoud plaatsen niet opslaat.

De overgrote meerderheid van de geraadpleegde inhoud was al openbaar op Quora, maar het lekken van account- en andere privacygevoelige informatie is ernstig.

Meer actueel awareness nieuws

7 Europese consumentenbonden klagen Google aan wegens schending AVG. Google registreert onrechtmatig waar jij bent geweest

Consumentenorganisaties in Nederland, Polen, Griekenland, Noorwegen, Slovenië, Zweden en Tsjechië klagen Google aan wegens onrechtmatige monitoring van de locatie van gebruikers. De zeven organisaties hebben hun krachten gebundeld. Ze hebben ieder bij hun eigen nationale Autoriteit Persoonsgegevens (AP) een klacht ingediend tegen de internetgigant.

Google schendt volgens de consumentenorganisaties op grote schaal de Algemene Verordening Gegevensbescherming (AVG).

Google volgt zijn gebruikers via “Locatiegeschiedenis” en “Web & App Activity”, instellingen die in alle Google-accounts zijn geïntegreerd. Voor degenen die gebruik maken van Android-smartphones, waaronder Samsung en Huawei-telefoons, is tracking bijzonder moeilijk te vermijden.

De klachten zijn gebaseerd op nieuw onderzoek van de Noorse consumentenbond Forbrukerradet, die lid is van de Europese consumentenorganisatie BEUC.

De consumentenorganisaties beschuldigen Google van ,,bedrieglijke praktijken” om gebruikers ertoe te brengen om in diverse Google applicaties het trackingsysteem te activeren waarmee Google kan bepalen waar iemand zich bevindt.

Volgens de consumentenorganisaties overtreedt Google de Algemene Verordening Gegevensbescherming ook omdat het bedrijf
geen “eenvoudige informatie” heeft verstrekt over wat het opgeven van de gegevens werkelijk met zich meebrengt en “de consument in het ongewisse laat over het gebruik van zijn persoonlijke gegevens.

“Locatiegegevens kunnen veel onthullen over mensen, waaronder religieuze overtuigingen (naar plaatsen van aanbidding), politieke gezindheid (naar demonstraties), gezondheidsproblemen (regelmatige ziekenhuisbezoeken) en seksuele geaardheid (bezoek aan bepaalde bars)”, zeggen de consumentenorganisaties.

Gro Mette Moen, waarnemend hoofd van de eenheid, digitale diensten in de Noorse Consumentenbond, zegt dat Google zeer gedetailleerde en uitgebreide persoonlijke gegevens verwerkt zonder de juiste juridische gronden, en die gegevens verkrijgt door manipulatietechnieken.

Hij voegde eraan toe dat Google registreert waar gebruikers naartoe gaan, en hoe ze zich verplaatsen, en deze gegevens kunnen worden gecombineerd met andere informatie, zoals wat gebruikers zoeken en de websites die ze bezoeken.

“Dergelijke informatie kan op zijn beurt weer worden gebruikt voor zaken als gerichte reclame die bedoeld is om ons te beïnvloeden wanneer we ontvankelijk of kwetsbaar zijn.”

Een gedetailleerd rapport zei er verscheidene manieren Google trucs zijn gebruikers in het delen van hun plaats zijn.

In de eerste plaats gebeurt dit door middel van een misleidende click-flow, die gebruikers er bij het opzetten van een Android-toestel toe aanzet om de “Locatiegeschiedenis” in te schakelen zonder dat ze daarvan op de hoogte zijn. Dit is in strijd met de wettelijke verplichtingen van het GDPR om geïnformeerde en vrijelijk toestemming te vragen.

Vervolgens worden de standaardinstellingen voor “Web & App Activity” verborgen achter extra klikken en standaard ingeschakeld.

Google geeft ook misleidende en onevenwichtige informatie, beweert de groep, aangezien gebruikers onvoldoende informatie krijgen wanneer zij keuzes krijgen voorgelegd en misleid worden over de gegevens die worden verzameld en hoe deze worden gebruikt. Bijvoorbeeld, informatie over hoe locatiegegevens worden gebruikt voor reclame wordt verdoezeld achter extra kliks.

Meer actueel awareness nieuws

Zoekmachine DuckDuckGo groeit explosief door alle publiciteit over AVG, datalekken en privacy

De zoekmachine DuckDuckGo groeit dankzij de Algemene Verordening Gegevensbescherming (AVG) explosief.

Steeds meer mensen kiezen voor de zoekmachine die garandeert geen persoonsgegevens op te slaan. Mede als gevolg van alle publiciteit over de manier waarop Google omgaat met persoonsgegevens en datalekken.

“Het kostte ons zeven jaar om in één dag 10 miljoen particuliere zoekopdrachten te bereiken, daarna nog eens twee jaar om 20 miljoen te bereiken, en nu minder dan een jaar later zijn we op 30 miljoen! Dank u allen 😃”, tweet DuckDuckGo vrolijk.

 

DuckDuckGo heeft een eenvoudig beleid: “Wij slaan uw persoonlijke gegevens niet op. Nooit.”

Meer actueel awareness nieuws

Google verzweeg datalek in Google Plus. Overeenkomst met Facebook Cambridge Analytica schandaal

Google is sinds maart 2018 op de hoogte van een groot datalek in Google Plus, meldt The Wall Street Journal. In plaats van hiervan melding te maken, werd de fout door Google bewust verzwegen, blijkt uit een intern memo.

Privédata van honderdduizenden gebruikers van het sociale netwerk Google Plus Google lagen door een lek in de software jarenlang voor het oprapen.

Curieus is dat toen Google het datalek ontdekte de hele wereld net in de ban was van het Cambridge Analytica schandaal van Facebook.

Google zou het datalek hebben verzwegen uit angst voor reputatieschade en onderzoek door toezichthouders, onthult The Wallstreet Journal op basis van anonieme bronnen en een intern memo.

Datalek Google Plus bestaat al sinds 2015

Het datalek zou afgelopen maart zijn ontdekt door Google en al sinds 2015 openstaan. Via het lek zou het mogelijk zijn geweest voor externe ontwikkelaars om privédata van honderdduizenden gebruikers te bemachtigen.

Het zou gaan om onder meer volledige namen, e-mailadressen, geboortedata, woonplaatsen en profielfoto’s. Telefoonnummers en privéberichten van het sociale netwerk zouden wel afgeschermd zijn geweest.

Google-ceo Sundar Pichai was op de hoogte

Na de ontdekking verscheen de bewuste interne memo volgens de krant op het bureau van Google-ceo Sundar Pichai. Daarin stond dat een interne commissie van juridische medewerkers had bepaald om het voorval niet te melden.

De reden zou zijn dat er geen bewijs was dat externe ontwikkelaars de gegevens ook daadwerkelijk zou hebben misbruikt.

Google Plus wordt stopgezet

Maandagavond 8 oktober maakte Google pas in een reactie bekend dat het stappen onderneemt. In een uitgebreide blogpost, wordt aangekondigd dat het consumentengedeelte van Google Plus zal worden stopgezet.

Timing van Google blogpost is opvallend

De timing van de blogpost van Google is opvallend. Exact 24 uur voordat Google tijdens een Made by Google-evenement veel nieuwe gadgets tentoonstelt en daarmee de nieuwssites overspoelt.

Google Nederland maakte dinsdagochtend bijvoorbeeld bekend de Google Home speakers in Nederland uit te brengen. Dit nieuws werd prompt door radiobulletins opgepikt. Over de hack van Google Plus werd niets vermeld.

Google Plus bestaat sinds 2011 en moest concurreren met Facebook. Het sociale netwerk is ondanks verschillende pogingen van Google qua gebruikersaantallen nooit van de grond gekomen.

Meer actueel awareness nieuws

20 grote Duitse bedrijven willen dominantie Google en Facebook doorbreken met nieuw inlogsysteem. 35 miljoen Duitsers doen al mee

Op veel websites kun je tegenwoordig inloggen met een account van Google of Facebook. Dat is handig, omdat je dan niet voor iedere site apart inloggegevens hoeft te onthouden.

Een keer inloggen via het Google of Facebookaccount is voldoende. Een cookie zorgt ervoor dat het inloggen daarna vrijwel automatisch gaat.

Google en Facebook verzamelen nog meer informatie over jou

Maar er kleeft ook een groot nadeel aan dit gemak. Google en Facebook verzamelen zo nog meer informatie over jou en kunnen je zo nog beter manipuleren met advertenties.

En er is een ander groot commercieel nadeel voor Europese ondernemers. Amerikaanse online hightech multinationals als Google en Facebook krijgen steeds meer kennis en macht over Europese verdienmodellen.

Met name in Duitsland wordt al jarenlang kritiek geuit op de gigantische invloed die Google en Facebook hebben op andere bedrijven.

Duitse bedrijven willen eind maken asn dominantie Google en Facebook

Een alliantie van 20 Duitse media, e-commerce, agentschap ISP-bedrijven wil een eind maken aan de macht van de Amerikaanse internetbedrijven. Zij lanceert over twee weken een uniform loginsysteem voor online diensten, websites en webshops.

De Duitse bedrijven willen met hun systeem consumenten volledige controle geven over de instellingen voor privacy- en toestemming voor alle sites waar ze zich op hebben aangemeld.

Het is de bedoeling om het systeem voor heel Europa open te stellen, te beginnen met de partners van de alliantie die al vestigingen buiten Duitsland hebben.

Overzicht Duitse bedrijven die zich hebben aangesloten bij login-alliantie

De Duitse commerciele omroepen ProsiebenSat.1 en RTL groep namen samen met een ISP genaamd United Internet in 2017 het initiatief tot de alliantie. Sindsdien hebben zich meer Duitse bedrijven aangesloten, waaronder de uitgeverijen Spiegel en Gruner+Jahr, de regionale uitgeverij Ippen Digital en de nationale krant Süddeutsche Zeitung.

Ook de E-commerce bedrijven Otto Group, C&A, C&A, Zalando, Conrad Elektronik, Douglas, Scout24 en pakketdienst DPD, samen met media-agentschappen GroupM Germany en Pilot Gruppe hebben zich aangesloten bij de alliantie.

In maart 2018 heeft de alliantie een not-for-profit Europese NetID Foundation opgericht, een neutrale organisatie die toezicht zal houden op het uniforme ID systeem.

Ook van belang in verband met e-privacyverordening

Het Duitse initiatief is voor met name mediabedrijven ook interessant met het oog op de nieuwe e-privacyverordening die binnen afzienbare tijd in Europa van kracht wordt.

De ePrivacy wet beperkt de mogelijkheid om cookies van derden te gebruiken voor het volgen van advertenties drastisch. Dat heeft grote impact op het verdienmodel van uitgevers en omroepen.

Oplossing voor impact anti-tracking maatregelen browsers voor media en adverteerders

Ook andere anticookie-ontwikkelingen hebbeb impact. Zoals anti-tracking systemen die mkmenteel worden ingepast in browsers als Safari, Firefox en Opera. Hierdoor kunnen bezoekers van websites niet meer gevolgd of geïdentificeerd kan worden door uitgevers of de digitale markt.

Het Duitse inlogsysteem biedt de deelnemende bedrijven de mogelijkheid om geheel volgens de regels van de Europese privacyverordening en de e-privacywet toch de mogelijkheid om gebruikers commercieel te volgen.

Consumenten bepalen zelf wat ze delen en met wie

Via de instellingen in het systeem kunnen consumenten zelf kiezen welke gegevens ze willen delen en met wie.

Uitgevers die gebruik maken van platforms voor toestemmingsbeheer kunnen deze toestemmingsignalen doorgeven aan partners in hun digitale reclameketen.

35 miljoen Duitsers beschikken al over nieuwe Unified ID

Prosiebensat.1, RTL en United Internet hebben hun bestaande geregistreerde klanten geüpgraded met de unified ID en login. Dat betekent dat er nu al 35 miljoen mensen zijn die over de NetID login beschikken.

Dat is ruwweg 60 procent van de Duitse online bevolking, die volgens Statista uit ongeveer 60 miljoen mensen bestaat.

Vanaf half oktober beginnen alle partners in de Duitse alliantie met een campagne die het gebruik van het nieuwe inlogsysteem promoot.

Duitse inlogsysteem initiatief is niet nieuw. Waarom lukt het nu wel?

Het initiatief van de Duitsers is niet nieuw. Meerdere Europese bedrijven hebben al geprobeerd om de dominatie van Facebook en Google te doorbreken. Tot dusver zonder succes.

De Duitse aanpak zou echter wel eens kans van slagen kunnen hebben. De timing lijkt perfect. Mede dankzij de Europese privacywetgeving en de actuele schandalen rondom Facebook.

De Duitse aanpak is ook anders. Er is dit keer geen strategisch belang van een alleenstaand zelfstandig commercieel bedrijf. Dat is dan bij veel andere allianties wel het geval.

Mediabureaus, adverteerders of leveranciers hebben geen toegang tot directe klantgegevens

Mediabureaus, adverteerders of leveranciers hebben in het Duitse systeem geen toegang tot directe klantgegevens en maken geen deel uit van de daadwerkelijke unified login-implementatie.

In plaats daarvan betalen zij een jaarlijkse vergoeding om deel te kunnen nemen aan comités waarin de toekomstige eisen voor het systeem worden besproken.

Meer actueel awareness nieuws

Android verzamelt tot tien keer meer gegevens over gebruikers dan iOS. Google spioneert zelfs op een iPhone zonder Chrome

Android verzamelt tot tien keer meer gegevens over haar gebruikers dan iOS. Dat blijkt uit onderzoek van Vanderbilt University in opdracht van Digital Context Next.

Het onderzoek toont ook aan dat Google zelfs gegevens ontvangt wanneer gebruikers onderweg zijn met een iPhone zonder Google Chrome.

Een Android-smartphone zou gemiddeld 40,2 verzoeken om gebruikersgegevens per uur doen. Apple zou echter slechts 4,2 verzoeken per uur naar een iPhone sturen.

Google verzamelt onze gegevens ook als we Google niet gebruiken

“Een groot deel van de gegevensverzameling door Google vindt plaats terwijl een gebruiker geen directe interactie heeft met een Google-product. De omvang van de collectie is aanzienlijk, vooral op mobiele Android-apparaten”, aldus de onderzoekers.

“En hoewel dergelijke informatie doorgaans wordt verzameld zonder individuele gebruikers te identificeren, heeft Google de mogelijkheid om gegevens uit andere bronnen te gebruiken om een dergelijke verzameling te de-anonimiseren.”

Google vraagt voortdurend je locatiegegevens op

Er zijn ook grote verschillen zijn in het soort gegevens dat wordt opgevraagd. 35 procent van de informatie die Google ontvangt van een Android-smartphone betreft locatiegegevens. 24 procent valt in de categorie van apparaatuploads en 18 procent verwijst naar de Google Play App Store.

Bij Apple betreffen de locatiegegevens echter slechts één procent van de data die wordt opgevraagd en de apparaatuploads 46 procent.

Het gemiddelde van 40,2 queries per dag zorgt voor 4,4 MByte dataverkeer per dag voor Google en Android. Apple zorgt bezorgt gebruikers van iOS apparaten als iPhone en iPad echter slechts 0,63 MByte per dag aan dataverkeer belasting.

Scenario van een normale dag

Douglas Schmidt, hoogleraar aan de Universiteit van Vanderbilt, gebruikte voor het onderzoek een scenario dat een normale dag van gebruik weergeeft. Het is gebaseerd op een nieuw Google-account en een nieuwe SIM-kaart.

“Google verzamelde gegevens over verschillende activiteiten, zoals de locatie van de gebruiker, de afgelegde afstanden en de muziek die wordt afgespeeld”, aldus de onderzoeker.

Verrassend genoeg heeft Google meer dan twee derde van de informatie passief verzameld of afgeleid. Aan het eind van de dag heeft Google met opmerkelijke nauwkeurigheid de belangen van de gebruikers geïdentificeerd.

Google Chrome speelt belangrijke rol

De browser Chrome speelt een belangrijke rol bij het verzamelen van gegevens. Android en Chrome stuurden ook gegevens naar Google zonder interactie met de gebruiker.

“Onze experimenten tonen aan dat een ongebruikte, stationaire Android-telefoon (met Chrome op de achtergrond) tijdens een 24-uurs sessie 340 keer locatie-informatie naar Google stuurde. In feite is locatie-informatie goed voor 35% van alle datamonsters die naar Google worden gestuurd.”

 

Meer actueel awareness nieuws

De uitvinder van het internet wil het web revolutionair verbeteren met Solid. Gebruikers krijgen de controle over hun gegevens

Tim Berners-Lee, de man die wordt gezien als de uitvinder van het internet, heeft een nieuw open-sourceproject geïntroduceerd: Solid. Het doel is om gebruikers weer controle te geven over hun gegevens die op het internet zijn gepubliceerd en momenteel worden beheerd door bedrijven als Amazon, Facebook en Google.

Solid is ontworpen om gebruikers en organisaties te helpen de data te scheiden van de applicaties die de data gebruiken.

Het web is een machine van onrechtvaardigheid en verdeeldheid geworden

“Ik heb altijd geloofd dat het internet er voor iedereen is”, schrijft Berners-Lee in zijn blog. “Maar het web is een machine van onrechtvaardigheid en verdeeldheid geworden, beïnvloed door krachtige krachten die het voor hun eigen doeleinden gebruiken.”

Inmiddels is volgens Berners-Lee een kritiek keerpunt bereikt. Er zijn veranderingen nodig en die zijn volgens hem ook mogelijk.

Open Source project

Berners-Lee heeft de afgelopen jaren met verschillende mensen gewerkt aan de ontwikkeling van Solid, een open source project dat de kracht van het individu op het web moet herstellen.

“Solid verandert het huidige model, waarbij gebruikers hun gegevens moeten overdragen aan digitale bedrijven in ruil voor een gepercipieerd voordeel”, zegt Berners-Lee. “Solid wil het evenwicht herstellen door iedereen op een revolutionaire manier weer volledige controle te geven over zijn gegevens, persoonlijk of anderszins.”

Solid is een verzameling modulaire specificaties

Berners-Lee beschrijft Solid als een verzameling modulaire specificaties die voortbouwen op en uitbreiden van technologieën zoals HTTP, REST en HTML. “Ze moeten 100 procent naar beneden toe compatibel zijn. Daarnaast is elke specificatie bedoeld om nieuwe functies toe te voegen aan een bestaand systeem. Als ze samen worden gebruikt, moeten ze spannende nieuwe mogelijkheden bieden voor websites en toepassingen.”

Het web als gedeelde lees-/schrijfruimte

Solid streeft er vooral naar om van het web een gedeelde lees-/schrijfruimte te maken, waar de controle over de gegevens van de dienstverleners overgaat op de gebruikers.

De gegevensbescherming zelf wordt beheerd volgens de specificaties van de webtoegangscontrolelijst. Dit is een decentraal systeem dat gebruikers en groepen toegang geeft tot bronnen en waarin gebruikers door WebID’s worden geïdentificeerd.

Gebruikersgroepen worden op hun beurt geïdentificeerd door de URI van een groep gebruikers. Dit betekent dat een persoon die lid is van een site ook lid kan zijn van een groep die door een andere site wordt gehost.

Berners-Lee heeft speciaal voor het project Solid het bedrijf Inrupt opgezet.

“Solid start als open source project met de gebruikelijke uitdagingen: Het moet vechten om aandacht”, zegt Berners-Lee. “En het beschikt niet over de nodige middelen om zijn volledige potentieel te ontwikkelen. De oplossing was om een bedrijf op te richten dat de middelen, processen en vaardigheden inbrengt die nodig zijn om de belofte van Solid waar te maken.”

Meer actueel awareness nieuws

15 onafhankelijke Europese privacydeskundigen onderzoeken handelspraktijken van Amazon, Ebay, Google en Facebook

Grote internetbedrijven als Amazon, Facebook, Ebay, Google en Microsoft worden volgens de Europese Commissie sinds donderdag nauwlettend gevolgd door onafhankelijke Europese privacydeskundigen.

Doel van het onderzoek is bijvoorbeeld om de criteria te bepalen op basis waarvan aanbiedingen op de eerste plaatsen in een online zoekopdracht verschijnen.

Daarnaast moet worden nagegaan of bedrijven als Google en Amazon hun eigen producten bevoordelen, hoe zij omgaan met persoonsgegevens en of de reclame op transparante wijze wordt geëtiketteerd.

Europese Commissie

De Europese Commissie kondigde in april aan dat zij bedrijven zou dwingen om te voldoen aan de nieuwe Europese privacyregelgeving en zou toezien op eerlijker voorwaarden voor Europese leveranciers.

“Platforms en zoekmachines zijn belangrijke kanalen voor Europese bedrijven om consumenten te bereiken”, aldus Mariya Gabriel, commissaris voor digitale zaken, destijds. “Maar we moeten ervoor zorgen dat ze geen misbruik maken van hun macht om hun professionele gebruikers te schaden.”

Op basis van het advies van de deskundige zal binnen drie jaar worden onderzocht of verdere maatregelen nodig zijn.

Meer actueel awareness nieuws

Oppassen met automatische inlog van Google Chrome bij andere Google-diensten

Google Chrome is de meest populaire browser. Maar door de automatische koppeling met andere Google diensten is Google Chrome voor de AVG ook een browser met veel risico’s.

In de meest recente versie van Chrome worden gebruikers die inloggen bij Google-diensten als YouTube, Gmail of Google Drive, ook automatisch ingelogd in de browser.

Dat levert grote risico’s op als je onderweg gebruik maakt van computers van anderen. Bijvoorbeeld in hotels of bij bekenden.

Ongemerkt wordt er dan op de achtergrond ingelogd op jouw Google accounts. Naderhand zouden derden dan zonder problemen toegang kunnen hebben tot jouw gegevens.

Er zijn veel klachten geuit over dit risico met Chrome.

Google biedt gebruikers in een aankomende versie van Chrome de mogelijkheid om deze optie uit te schakelen.

Gebruikers die inloggen bij een Google-dienst, worden dan niet automatisch ingelogd in Chrome.

De volgende versie van de internetbrowser wordt in oktober uitgebracht.

Meer actueel awareness nieuws

Google overweegt Amerikaanse sites die Europese bezoekers vanwege GDPR weren te blokkeren. In Europa…

Sinds de invoering van de Europese privacywet GDPR kunnen Europeanen de Los Angeles Times niet meer lezen. De LA Times is een van de vele honderden Amerikaanse sites die voor Europeanen niet meer toegankelijk is.

 

Google wil de rollen nu omdraaien. Amerikaanse sites die niet voldoen aan de Europese privacyregels worden mogelijk binnenkort zelf geblokkeerd in Google.

John Mueller van Google liet op Twitter weten dat Google onderzoekt hoe met content die vanwege de GDPR geblokkeerd wordt voor Europeanen moet worden omgegaan.

 

Google vindt dat ze gebruikers nu een slechte gebruikerservaring biedt als ze na een zoekopdracht op een pagina terechtkomen die voor hen geblokkeerd is. “Daar moeten we een oplossing voor vinden.”

Voor veel Amerikaanse websites is het commercieel niet de moeite waard om te investeren in Europees privacybeleid. Daar zijn ze echter volgens de Europese privacywet wel toe verplicht als ze hun content ook in Europa aanbieden.

Als Google deze sites daadwerkelijk gaat blokkeren dan zal dat waarschijnlijk alleen in de Europese pagina’s van Google zijn.

Meer actueel awareness nieuws

Phishing aanvallen volledig elimineren met verplichte 2-factor authenticatie groot succes bij Google

Hoe voorkom je phishing aanvallen door cybercriminelen? Maak net als Google voortaan standaard gebruik van 2-factor identificatie.

Google verplicht 85.000 werknemers sinds begin 2017 tot het gebruik van twee-factor-authenticatie. Er blijkt sindsdien geen enkele succesvolle aanval op Google-medewerkers te hebben plaatsgevonden.

Organisaties zijn sinds de invoering va de Algemene Verordening Gegevensbescherming (AVG) verplicht om maatregelen te treffen om persoonsgegevens die zij verwerken te beschermen tegen aanvallen van cybercriminelen.

Het eerste waar bedrijven dan aan denken is het installeren van een actuele virusscanner en een firewall. Twee-factor-authenticatie is vaak nog een ondergeschoven maatregel. Veel medewerkers vinden de maatregel omslachtig. Irritant.

Het succes van de verplichte twee-factor-authenticatie voor medewerkers van Google bewijst dat de negatieve gebruikservaring in het niet valt bij het positieve beveiligingseffect. De kans op een succesvolle phishingaanval is dankzij twee-factor-authenticatie nihil.

Als u uw online accounts effectief wilt beschermen tegen aanvallen, kunt u authenticatie met twee factoren daarom niet langer vermijden.

Phishing-aanvallen zijn de laatste jaren veel geavanceerder geworden. Vroeger verstuurden cybercriminelen bulkmails in de wetenschap dat er altijd een paar geadresseerden in de phishi gval zouden trappen. Wie goed oplette kon deze phishingmails zelf met het blote oog wel herkennen.

Tegenwoordig werken de cybercriminelen geraffineerder. Ze versturen individueel aangepaste mails. Ze maken daarbij gebruik van persoonlijke informatie die elders op het web is verzameld over de persoon die ze willen aanvallen. Daarnaast maken ze gebruik van replica’s van de inlogpagina’s van Gmail, iCloud en Co. die nauwelijks te onderscheiden zijn van de originele websites.

Twee-factor authenticatie voorkomt dat een cybercrimineel kan inloggen op een account met inloggegevens die via een phishingaanval zijn onderschept.

Als twee-factorfunctie geactiveerd is zijn de inloggegevens alleen niets meer waard voor criminelen omdat ze hun identiteit ook nog eens moeten bevestigen met een authenticator app die gekoppeld is aan een persoonlijke smartphone.

Daarnaast zijn er ook beveiligingssleutels beschikbaar in de vorm van een USB-stick en modellen met NFC- en Bluetooth-ondersteuning.

Ook bestaat er twee-factor authenticatie op basis van SMS. Deze beveiliging wordt echter als veel minder veilig beschouwd, omdat er verschillende manieren zijn om toegang te krijgen tot het telefoonnummer van een persoon en daar de corresponderende codes te onderscheppen.

Meer actueel awareness nieuws

3.500 organisaties lekken persoonsgegevens via verkeerd ingestelde Google Groups

Securitybedrijf Kenna Security ontdekte bij onderzoek naar een aantal topdomeinen en meer dan 9600 organisaties met publieke Google Groups-instellingen diverse datalekken. Ruim 3.500 van deze organisaties bleken door verkeerd ingestelde privacyinstellingen gevoelige e-mail publiekelijk te delen.

Het gaat om ziekenhuizen, universiteiten, kranten, televisiestations en Amerikaanse overheidsinstellingen.

Google Groups is een onderdeel van Googles G Suite. Organisaties kunnen er online fora en e-mailgroepen mee aanmaken. Standaard staan deze groepen op “privé” ingesteld.

Het is ook mogelijk om de privacyinstellingen aan te passen en uitgewisselde e-mails voor iedereen toegankelijk te maken.

Google bevestigt dat sommige klanten per ongeluk gevoelige informatie hebben gedeeld als gevolg van verkeerd ingestelde Google Groups-instellingen.

Om dit te voorkomen heeft Google een uitleg online geplaatst met adviezen om Google Groups juist in te stellen en krijgen organisaties het advies dit te controleren.

Meer actueel awareness nieuws