Ernstig datalek bij de overheid. Microsoft verzamelt via Office ‘heimelijk’ gegevens 300.000 ambtenaren

Microsoft verzamelt volgens het ministerie van Justitie en Veiligheid via Microsoft Office ‘heimelijk gedragsgegevens van gevoelige aard van 300.000 rijkswerkplekken bij ministeries, politie, rechtspraak en toezichthouders’. Grote vraag is nu of dat ook gebeurt bij het bedrijfsleven.

Het datalek is ontdekt tijdens een Data Protection Impact Assessment (DPIA) die het Strategisch Leveranciersmanagement Microsoft (SLM) van de overheid op Microsoft Office en Windows 10 heeft laten uitvoeren door PrivacyCompany.

De DPIA maakt duidelijk dat de overheid en Microsoft een groot probleem hebben. Ze voldoen niet aan de Algemene Verordening Gegevensbescherming (AVG).

De conclusies die de onderzoekers trekken zijn ernstig:

  • We weten niet precies welke gegevens Microsoft verzamelt en bewaart over het gedrag van gebruikers
  • Het gaat om 23 tot 25 duizend soorten gebeurtenissen (events). Engineers kunnen dynamisch nieuwe events toevoegen
  • Er werken 20 tot 30 teams met engineers met deze gegevens, die met eigen kopieën van de datasets kunnen werken

Microsoft verzamelt op grote schaal gegevens

Microsoft blijkt volgens PrivacyCompany bij Windows 10, Microsoft Office en Office 365 aparte scripts te hebben ingebouwd die allerlei handelingen vastleggen die door gebruikers worden verricht.

Maar naar alle waarschijnlijkheid gebeurt hetzelfde bij andere organisaties die Microsoft gebruiken. Want het is niet waarschijnlijk dat Microsoft voor de overheid andere versies van zijn software heeft als bij het bedrijfsleven.

Microsoft verzamelt via de scripts systematisch en op grote schaal gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. Dat gebeurt zonder mensen daarover te informeren en zonder invloed te geven op de instellingen.

Microsoft verstuurt deze telemetriegegevens af en toe in een batch naar haar eigen servers in de Verenigde Staten. Deze telemetrie is versleuteld.

Microsoft biedt (nog) geen mogelijkheid om te kijken naar de inhoud van de diagnostische gegevensstroom.

Het enige dat bekend is, is dat om 23 tot 25 duizend soorten gebeurtenissen gaat (events). En dat er 20 tot 30 teams met engineers werken met deze gegevens.

Net als bij Windows, bepaalt Microsoft ook bij Office zelf de doelen van de gegevensverwerking, en de bewaartermijn van de gegevens (30 dagen tot 18 maanden, of zoveel langer als Microsoft nodig acht).

In het onderzoek wordt geconcludeerd dat er geen instelling bij Office is om te voorkomen dat de software telemetriedata doorstuurt.

Bij Windows 10 Enterprise is die er wel.

PrivacyCompany zegt niet te weten wat Office precies voor gedragsgegevens doorstuurt, maar na een brede analyse durft het bureau te zeggen dat het om de grootschalige verwerking van persoonsgegevens van gevoelige aard gaat.

Microsoft heeft het ministerie van Justitie en Veiligheid belooft om Windows 10 Enterprise en Microsoft Office aan te passen.

De wijzigingen moeten ertoe leiden dat overheidsdiensten de software in overeenstemming met de AVG kunnen gebruiken.

De wijzigingen moeten In april 2019 zijn doorgevoerd.

“In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen om de datastromen naar Microsoft zoveel mogelijk te stremmen”, staat in een mededeling over de onderhandelingen tussen het Rijk en Microsoft met betrekking tot het voldoen aan de AVG.

Als de verbeteringen onvoldoende zijn, is een gang naar de Autoriteit Persoonsgegevens ‘een mogelijkheid’ voor handhaving, volgens het ministerie.

Die conclusie is ook opmerkelijk. De overheid en Microsoft hadden op 25 mei 2018 al moeten voldoen aan de AVG. Er is nu een datalek geconstateerd. Dan is een gang naar de Autoriteit Persoonsgegevens geen mogelijkheid, maar volgens de Algemene Verordening Gegevensbescherming een verplichting.

Overheidsdiensten krijgen het advies om een eigen assessment uit te voeren en maatregelen te nemen. Het pakket ‘zero exhaust settings’ lost echter niet alle risico’s op, ook blijken niet alle voorgestelde maatregelen haalbaar voor ICT-organisaties van ministeries en andere diensten van overheden.

De afnemers van Office kunnen volgens Privacy Company sowieso niet alle risico’s oplossen. Voor de contracten en de doorgifte naar de VS moet een Europese oplossing worden gezocht. SLM Rijk en Microsoft zullen de komende maanden nauw blijven overleggen.

Privacy Company zegt intussen vervolgonderzoek te doen naar de inhoud van de telemetrie data.

 

 

Meer actueel awareness nieuws

Cybercriminelen zetten ransomware als afilliate verdienmodel in de markt. Voor 50 dollar kun je instappen

Ransomware wordt een nog groter probleem. Cybercriminelen bundelen volgens antivirusontwikkelaar McAfee en Recorded Future de krachten. De makers van het Krakenvirus bieden hun malware inmiddels zelfs als affiliate-programma aan.
De cybercriminelen kunnen door samen te werken veel sneller reageren op tegenmaatregelen die producenten van antivirussoftware nemen. Soms kunnen ze hun virus binnen een paar uur al dusdanig aanpassen dat ze de antivirussoftware opnieuw kunnen omzeilen.

De ontwikkelaars van de Kraken ransomware stimuleren met hun affiliatemodel mensen om cybercrimineel te worden. Ze kunnen zich voor 50 dollar aanmelden en gaan er dan mee akkoord om 20 procent van alle betalingen die door slachtoffers gedaan worden door te sturen naar het Kraken-team.

In ruil krijgt de partner cybercrimineel elke 15 dagen verse versies van de Kraken-malware. Alle communicatie loopt via de e-mail.

Het Kraken-team maakt bovendien een aparte versie van de malware voor de partner. De partner zelf kan aangeven wat het gewenste bedrag is dat slachtoffers moeten betalen. Die bedragen lopen van 0,075 tot 1,25 bitcoin, wat (470 tot 7.845 dollar). Verder kunnen partners vragen om bepaalde landen uit te sluiten, zodat gebruikers daar geen doelwit worden.

Kraken, een Ransomware as a Service (RaaS)-operatie, maakt gebruik van een nieuwe exploit kit om slachtoffers te maken. Volgens nieuw onderzoek van McAfee en Recorded Future is het moeilijk om te beschermen tegen die combinatie.

Bij ransomware worden bestanden of een volledig apparaat versleuteld. Opnieuw toegang krijgen kan alleen als de juiste sleutel bekend is, waar cybercriminelen veelal geldbedragen voor vragen.

Kraken versleutelt nadat het toegang heeft gekregen tot een systeem alle bestanden ongeacht de grootte of wat het bestand is.

De ransomware richt zich vooral op computers die Windows 8, 8.1 en 10 draaien. Ook kan het bij opslagapparaten op hetzelfde netwerk als een getroffen systeem komen.

Nadat een systeem versleuteld is, is het onmogelijk om de bestanden terug te krijgen zonder te betalen. Slachtoffers kunnen hun systemen wel wissen en de data herstellen via back-ups.

Meer actueel awareness nieuws

Windows 10 update laat bestanden verdwijnen. Microsoft stopt met uitrol

Microsoft heeft de uitrol van de Windows 10-update stopgezet voor al zijn gebruikers. Aanleiding is een aantal meldingen van gebruikers die merkten dat hun bestanden na de update zijn verdwenen.

Het techbedrijf maakte de update voor Windows 10 deze week beschikbaar. De update geeft gebruikers onder meer toegang tot de Your Phone-app. Daarmee kunnen zij sms’jes en foto’s van Android-smartphones op hun computer bekijken.

Een aantal gebruikers dat de update heeft geïnstalleerd, merkte na afloop dat bestanden waren verdwenen. De documenten waren ook niet terug te vinden in een oude versie van Windows, een back-up die de software automatisch maakt na de installatie van een nieuwe versie.

Hoeveel mensen met de problemen te kampen hebben, is niet duidelijk. Microsoft spreekt op zijn website alleen van “geïsoleerde meldingen”.

Het bedrijf roept gebruikers die de update gedownload hebben op om deze nog niet te installeren. Ook zegt het bedrijf met meer informatie te komen zodra een nieuwe versie van de Windows 10-update beschikbaar is.

Meer actueel awareness nieuws

Apple update verbetert privacy en beveiliging. Daarom Apple macOS Mojave meteen installeren

Apple gebruikers dachten tot voor kort dat zij zich qua privacy en beveiliging minder zorgen hoefden te maken dan mensen met Microsoft computers. Dat bleek de lastste tijd een misvatting. Er werden in korte tijd meerdere beveiligingslekken in het operatingsystem macOS Sierra ontdekt.

Apple heeft op 24 september 2018 een belangrijke update gelanceerd met ingrijpende verbeteringen voor privacy en beveiliging. MacOS Sierra wordt vervangen door macOS Mojave.

Meer controle
Apple gebruikers krijgen meer controle over het gebruik van de camera, microfoon en andere voorzieningen op hun Mac. Dat geldt ook voor toegang tot adresboek, mail, berichten en backups.

Safari is veiliger
In de browser Safari zijn Like- en Share-knoppen en reactie-formulieren standaard geblokkeerd, zodat Facebook de gebruikers niet langer kan volgen.

De knoppen kunnen namelijk je internetgedrag in de gaten houden, zelfs al gebruik je ze niet.

Applegebruikers krijgen voortaan een pop-up in Safari te zien waarmee ze handmatig toestemming moeten geven als ze data willen delen.

Meer actueel awareness nieuws

#Browserwars! Microsoft vindt Firefox, Opera en Google Chrome ‘onveilig’ voor Windows 10. Verontwaardigde reacties

“Je hebt Microsoft Edge al: de veiligere, snellere browser voor Windows 10” staat te lezen in een pop-up die bètagebruikers van Windows 10 momenteel te zien krijgen.

De gebruiker kan vervolgens kiezen om Edge te openen, of alsnog een andere browser te installeren.

Er wordt op social media onder de hashtag hashtag #browserwars verontwaardigd gereageerd op de opmerkelijke popup van Microsoft.

 

 

 

Microsoft raadt bètagebruikers van Windows 10 op deze manier actief af om een andere browser te installeren. Er wordt gesuggereerd dat Firefox, Opera of Chrome onveilig zijn.

Microsoft was vroeger marktleider

Jaren geleden maakten vrijwel alle gebruikers van Microsoft standaard gebruik van de browser Microsoft Explorer die automatisch werd geinstalleerd.

De EU vond dat Microsoft misbruik maakte van zijn positie en daardoor concurrenten geen kans gaf.

Miljarden Euro boete voor Microsoft

Microsoft werd zwaar bestraft voor het misbruik van zijn dominante positie. Het Amerikaanse softwareconcern moest miljarden Euro aan boetes betalen.

Microsoft werd verplicht om zijn gebruikers bij de installatie van zijn software een keuzemogelijkheid voor andere browsers aan te bieden.

Google Chrome nu marktleider

Sindsdien heeft Microsoft qua browser flink marktaandeel verloren. Momenteel is Google Chrome marktleider.

Microsoft heeft inmiddels Explorer vervangen door de nieuwe browser Edge. Deze browser is volgens Microsoft sneller en veiliger dan de concurrentie.

Die claim is omstreden en nog niet bewezen.

De melding verschijnt voorlopig alleen in een Insider-build, een bètaversie van Windows 10. Microsoft gebruikt zulke previewversies vaker om nieuwe features te testen. Die verschijnen niet altijd in de definitieve versies van Windows.

Meer actueel awareness nieuws

Cybercriminelen herontdekken Microsoft Office. Mogelijke aanvalsscenario’s via Office-bestanden…

Cybercriminelen hebben Microsoft Office ‘herontdekt’ als tool om in bedrijfsnetwerken te infiltreren. Dit blijkt uit onderzoek van Unit42, de afdeling cybersecurity van het Amerikaanse bedrijf Palo Alto Networks. Eerste tip: pas op met bestanden met de extensie .docm.

Verderop in dit artikel zetten we de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Aanvalpogingen met behulp van speciaal voorbereide Microsoft Office bestanden zijn op zich niet nieuw. Op dit moment nemen de pogingen van criminelen om kwetsbaarheden in bedrijfsnetwerken via dergelijke bestanden uit te buiten volgens Unit42 echter weer toe.

Het is daarom voor organisaties van belang om medewerkers via awareness traimingen bewust te maken van de risico’s van het openen van Office documenten van onbekende afzenders.

Mensen openen Office-documenten die bijgevoegd zijn in mailberichten meestal instinctief. Voor ze zich het beseffen hebben ze vrijwel automatisch met hun muis op het Word of Excel bestand geklikt.

Dit geldt ook als deze bestanden afkomstig zijn van afzenders die niet bekend zijn bij de ontvanger. Dit wijst op een gebrek aan kennis over de mogelijke gevaren.

Maar zelfs een bekende en betrouwbare afzender beschermt niet tegen malware-infecties. Het systeem van de verzender kan het het geïnfecteerde Microsoft bestand ook ongemerkt versturen.

Mogelijke aanvalsscenario’s via Office-bestanden

 

Pogingen tot aanvallen via Office-bestanden zijn zeer veelzijdig geworden. Kennis van deze scenario’s draagt bij tot een effectieve preventieve bescherming van netwerken. Het is voor organisaties daarom van groot belang om medewerkers via awareness trainingen te informeren over de risico’s. PrivacyZone kan daarbij helpen.

We zetten de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Macro’s

Microsoft Office bevat een optie om zelf macroscripts te schrijven waarmee processen en handelingen kunnen worden geautomatiseerd. Dat kan met de scriptengine die is geïntegreerd in MS-Office (Visual Basic for Applications). Dit is nog steeds de gemakkelijkste manier voor aanvallers om het systeem van de gebruiker in gevaar te brengen.

De scripts kunnen direct na het openen worden uitgevoerd zonder dat het slachtoffer een actie hoeft uit te voeren. Mits macro’s zijn geactiveerd op het systeem van de gebruiker.
Microsoft Office kan zo ingesteld worden dat standaard voorkomen wordt dat de macro’s na het klikken op een bestand automatisch worden uitgevoerd. Er moet dan altijd eerst nog via een popupvenster bevest worden dat het script mag worden uitgevoerd.

De ervaring leert dat veel medewerkers achterdochtig worden bij zo’n popup. Maar de kans bestaat dat ze dan naief toch nog de macroactie goedkeuren. Met alle mogelijke gevolgen van dien.

Kantoorgebruikers dienen zich er daarom van bewust te zijn dat Office-bestanden met macro’s een andere bestandsextensie (.docm) hebben. En dat ze bij deze bestanden altijd achterdochtig moeten zijn.

Ingebedde Flash-bestanden

Externe objecten uit andere programma’s en bronnen kunnen in Office-documenten worden ingesloten. En daarmee automatisch de kwetsbaarheden van deze applicaties. Er zijn succesvolle pogingen gedaan om aan te vallen met behulp van Flash-bestanden die zijn opgenomen in Excel-documenten, waarbij gebruik is gemaakt van een kwetsbaarheid in Flash Player.

Microsoft Equation Editor

Der Formel-Editor (Equation Editor) von Microsoft ist ein Hilfsprogramm für das Zeichnen und Schreiben mathematischer Ausdrücke. Dessen Dateien werden ebenfalls direkt in die Office-Dateien eingebettet. Doch auch auf diesem Weg gab es bereits erfolgreiche Exploit-Versuche. Da der Editor aus Sicht des Betriebssystems und des Office-Programms als eigener Prozess angesehen wird, greifen die im Office-Paket eingebauten Schutzfunktionen nicht.

Microsoft’s Equation Editor is een hulpprogramma voor het tekenen en schrijven van wiskundige uitdrukkingen. Deze bestanden worden rechtstreeks in Office-bestanden opgenomen. Cybercriminelen buiten deze bestanden uit om malware in te verstoppen.

Hoe kun je je als organisatie wapenen tegen dit soort aanvallen via Microsoft Office? Een softwarepakket waarmee vrijwel iedereen werkt.

Vraag als eerste uw ICT-afdeling of een extern ICT-bedrijf om Microsoft Office veilig in te stellen en laat ook actuele antivirus software installeren.

En plan vervolgens een awareness training in voor medewerkers. Zo’n awareness training is overigens volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht.

PrivacyZone biedt Awareness Trainingen aan. Wil je meer weten? Neem contact met ons op. Telefoon: 06-31995740 of mail: info@privacyzone.nl.

Meer actueel awareness nieuws

Facebook deelt vertrouwelijke persoonsgegevens met Apple, Amazon, Microsoft en Samsung

“Alsof er een nieuw slot is geïnstalleerd, waarvoor de slotenmaker al zijn vrienden een tweede sleutel had gegeven”, citeert de New York Times (NYT) een veiligheidsexpert.

Volgens de NYT deelde Facebook de persoonsgegevens van vrienden – zelfs van vrienden die het delen van hun gegevens uitdrukkelijk verboden hadden met bijna 60 bedrijven, waaronder Apple, Amazon, Microsoft en Samsung.

Al deze bedrijven hebben volgens de Amerikaanse krant hiervoor jarenlange contracten met Facebook lopen.

Deskundigen zijn verbaasd dat zowel Facebook als de bedrijven waar persoonsgegevens aan werden verkocht zich blijkbaar niets aantrokken van Facebookgebruikers die nadrukkelijk hadden ingesteld geen gegevens te willen delen.

Veel van deze afspraken zijn gemaakt toen Facebook zelf nog geen eigen apps op de apparaten aanbood om hun bereik toch te vergroten.

Facebook heeft tot nu toe verklaard dat het sinds september 2015 geen persoonsgegevens meer met andere bedrijven heeft gedeeld. Volgens de New York Times lijkt dit onjuist.

Volgens de New York Times bleef het sociale netwerk ook na persoonsgegevens delen met hardwarefabrikanten als Apple en Microsoft en Amazon. Het is onduidelijk hoeveel gegevens zijn doorgegeven.

Meer actueel awareness nieuws