Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 augustus 2020 – Securatis

Maandelijks archief augustus 2020

doorSecuratis

Rijksoverheid onderzoekt privacyrisico’s van gegevensverwerking door Google

De Rijksoverheid is een onderzoek gestart naar de privacyrisico’s die komen kijken bij het laten verwerken van gegevens door Google. De data protection impact assessment (DPIA) is dit voorjaar gestart en wordt uitgevoerd voor alle ministeries en aanverwante organisaties die van Google gebruik maken, zo meldt AG Connect.

Met een DPIA worden privacyrisico’s die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico’s te verkleinen. Zo wordt er onderzocht hoe Google de gegevens van ministeries verwerkt en of er goed wordt omgegaan met persoonsgegevens van ambtenaren die Google gebruiken.

De opdracht voor het onderzoek is afkomstig van het ministerie van Justitie en Veiligheid, dat eerder een onderzoek liet uitvoeren naar de gegevens die Windows 10 Enterprise en Microsoft Office over gebruikers verzamelen en opslaan. Dat onderzoek zorgde ervoor dat Microsoft verschillende aanpassingen doorvoerde.

Het nieuwe onderzoek komt mede voort uit overleg tussen het ministerie en de onderwijswereld, waar vaak diensten van Google worden gebruikt. “Scholen zijn in een razend tempo gedigitaliseerd, maar je moet de partijen die dit mogelijk maakten op hun blauwe ogen vertrouwen. Dit soort DPIA’s zijn er om de markt te controleren”, zo laat een adviseur van Kennisnet tegenover AG Connect weten.

Net als het onderzoek naar Microsoft wordt ook het onderzoek naar Google door de Haagse Privacy Company uitgevoerd. Het bedrijf laat aan Security.NL weten dat het op dit moment nog niets over het onderzoek kan zeggen.

https://www.security.nl/posting/669363/Rijksoverheid+onderzoekt+privacyrisico%E2%80%99s+van+gegevensverwerking+door+Google?channel=rss

doorSecuratis

Inspectie Gezondheidszorg start meldpunt misbruik corona-app

De Inspectie Gezondheidszorg en Jeugd (IGJ) zal een meldpunt starten waar burgers misbruik van de CoronaMelder-app kunnen melden. Het gaat dan bijvoorbeeld om verzoeken om de app te laten zien, of bijvoorbeeld geen toegang krijgen gebaseerd op de inhoud of het niet tonen van de app. Ook gedwongen worden om de app te installeren is misbruik, zo laat minister De Jonge van Volksgezondheid aan de Tweede Kamer weten.

“Vrijwillig gebruik is een van de uitgangspunten van CoronaMelder en een verbod op misbruik zal daarom ook in de antimisbruikbepaling van de Tijdelijke wet notificatieapplicatie covid-19 worden vastgelegd”, stelt De Jonge. Naast directe vormen van misbruik zijn ook indirecte methoden, zoals het gebruiken van een gezagsverhouding of het bieden van een financieel voor- of nadeel tot het gebruik van de app, niet toegestaan.

Om misbruik te voorkomen en tegen te gaan komt de Inspectie Gezondheidszorg en Jeugd met een meldpunt. Burgers kunnen daar melding doen en worden vervolgens naar de juiste toezichthouders doorverwezen. Na een melding kan een onderzoek worden gedaan door de betreffende toezichthouder en wanneer er sprake van een overtreding blijkt te zijn kan het OM besluiten tot handhaving. Afhankelijk van de aantallen en aard van de meldingen kan worden besloten om andere toezichthouders aan te wijzen.

https://www.security.nl/posting/669357/Inspectie+Gezondheidszorg+start+meldpunt+misbruik+corona-app?channel=rss

doorSecuratis

VS klaagt verdachte aan voor vernietigen bewijs na weggooien harde schijf

De Amerikaanse autoriteiten hebben een 29-jarige man uit China aangehouden en aangeklaagd voor het vernietigen van bewijs nadat hij een harde schijf in een vuilnisbak naast zijn appartement weggooide. De man werkt als onderzoeker aan de Universiteit van Californië.

De FBI startte in juli een onderzoek naar hem voor het plegen van visumfraude en het mogelijk versturen van “gevoelige Amerikaanse software of technische data” naar een militaire academie in China. De Amerikaanse opsporingsdienst had de onderzoeker gevraagd of ze zijn computer mochten onderzoeken, maar dat stond hij niet toe. Vanwege het onderzoek mocht hij van de Amerikaanse autoriteiten niet terug naar China vliegen.

Een aantal dagen nadat hij was ondervraagd en had geprobeerd om naar China te vertrekken, zagen FBI-agenten die hem in de gaten hielden hoe hij uit zijn sok een harde schijf haalde en in een vuilnisbak weggooide, aldus de Los Angeles Times. Volgens de aanklacht bleek de harde schijf onherstelbaar te zijn beschadigd en zou de aanwezige data naar het lijkt opzettelijk zijn verwijderd. Daarop is de man aangeklaagd voor het vernietigen van bewijs en het belemmeren van een FBI-onderzoek, zo meldt het Amerikaanse ministerie van Justitie.

https://www.security.nl/posting/669287/VS+klaagt+verdachte+aan+voor+vernietigen+bewijs+na+weggooien+harde+schijf?channel=rss

doorSecuratis

Malafide npm-package probeerde Discord- en browsergegevens te stelen

Er is een malafide npm-package ontdekt die Discord- en browsergegevens van gebruikers probeerde te stelen, zo blijkt uit een advisory van het npm Security Team. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

Op 25 augustus kwam het npm Security Team met de waarschuwing dat een npm-package genaamd fallguys kwaadaardige code bevatte. De software deed zich voor als een library waarmee gebruikers data van het spel Fall Guys: Ultimate Knockout konden verzamelen. Fall Guys is een populaire online multiplayer party game. Via de npm-package, die door een onbekende ontwikkelaar werd ontwikkeld, zouden gebruikers allerlei data van het spel kunnen verzamelen, zoals outfits, patronen en kleuren.

In werkelijkheid zocht de npm-package naar lokale databasebestanden van Brave, Google Chrome, Opera en Yandex en chatplatform Discord. Deze databasebestanden bevatten informatie die door de browser is opgeslagen, waaronder data van door de gebruiker gebruikte webapplicaties. De data werd vervolgens via een Discord-kanaal naar de package-ontwikkelaar gestuurd.

De fallguys-package is in totaal zo’n driehonderd keer gedownload voordat die werd verwijderd, zo blijkt uit cijfers van de npm-repository. Gebruikers die de software hebben gedownload wordt aangeraden die te verwijderen en eventueel gecompromitteerde inloggegeven te wijzigen.

https://www.security.nl/posting/669286/Malafide+npm-package+probeerde+Discord-+en+browsergegevens+te+stelen?channel=rss

doorSecuratis

Landelijke uitrol van CoronaMelder-app niet op 1 september

De landelijke uitrol van CoronaMelder zal niet op 1 september plaatsvinden. De Tweede Kamer kan de vereiste wetgeving namelijk niet op tijd behandelen, zo meldt NRC. “De Kamer heeft vrij duidelijk aangegeven dat de app zonder wet niet kan, maar dat we wel bereid zijn om die wet snel te behandelen. Maar we gaan die wet niet overhaast met stoom en kokend water behandelen”, zegt D66-Kamerlid Kees Verhoeven tegenover de krant.

De Autoriteit Persoonsgegevens had begin deze maand duidelijk gemaakt dat de privacy van gebruikers van de app nog onvoldoende is gewaarborgd. Eén van de kritiekpunten is dat er een wet moet komen om de inzet van de app goed te regelen. “Gezien de omvangrijke en veelomvattende impact van een corona-app, is een wet de meest logische basis. Die wet zou moeten regelen dat de minister van Volksgezondheid de bevoegdheid krijgt deze gegevens te verwerken én zou ook privacywaarborgen moeten bevatten”, zo stelde de toezichthouder.

Minister De Jonge van Volksgezondheid had de Tweede Kamer vorige week opgeroepen om de spoedwet voor de corona-app met “de grootst mogelijke spoed” te behandelen, het liefst deze week nog. “Gezien het toenemende aantal besmettingen en de bijdrage die CoronaMelder kan leveren bij het beheersen van de verspreiding van het virus, ben ik een spoedwetprocedure gestart om de benodigde wettelijke grondslag te realiseren voor de beoogde invoeringsdatum van 1 september dan wel zo snel mogelijk daarna”, zo liet De Jonge bij zijn oproep weten.

Maandag vindt er in de Tweede Kamer een technische briefing over de corona-app plaats, waar de leden technische vragen over veiligheid, privacy, datagebruik en nauwkeurigheid kunnen stellen, zo meldt Verhoeven op Twitter. Woensdag zou er vervolgens over de wet moet worden gedebatteerd, mogelijk al op donderdag gevolgd door een stemming.

Wanneer de Tweede Kamer voor stemt moet de Eerste Kamer zich nog over de wet buigen. Ook de Eerste Kamer werd door De Jonge gevraagd om het voorstel met de grootst mogelijke spoed te behandelen. Wanneer de landelijke uitrol nu zal plaatsvinden is nog onbekend. De CoronaMelder-app is sinds 17 augustus in de Apple App Store en Google Play Store beschikbaar en is inmiddels meer dan één miljoen keer gedownload.

https://www.security.nl/posting/669211/Landelijke+uitrol+van+CoronaMelder-app+niet+op+1+september?channel=rss

doorSecuratis

AP ontvangt tientallen klachten over registratie contactgegevens in horeca

De Autoriteit Persoonsgegevens heeft de afgelopen twee weken tientallen klachten ontvangen over de registratie van contactgegevens in de horeca. Sinds 10 augustus moeten horecagelegenheden hun klanten om hun naam en contactgegevens vragen. De informatie kan worden gebruikt voor bron- en contactonderzoek. Gasten mogen zelf beslissen of ze de gegevens verstrekken. De registratie is op vrijwillige basis.

De manier waarop restaurants en cafés de gegevens van hun gasten registreren heeft voor tientallen klachten bij de privacytoezichthouder gezorgd, zo laat de AP tegenover de Volkskrant weten. Het gaat dan bijvoorbeeld om registratielijsten waarop de gegevens van eerdere gasten zijn te zien. Ook zouden gegevens voor andere doeleinden worden gebruikt, zoals het abonneren op een nieuwsbrief of het meedoen aan winacties.

Brancheorganisatie Koninklijke Horeca Nederland (KHN) waarschuwt ondernemers om de verstrekte contactgegevens niet voor andere doeleinden te gebruiken, aangezien dit het vertrouwen van gasten schaadt. Op de eigen website publiceerde de brancheorganisatie een “do’s & don’ts” wat betreft de registratie van contactgegevens.

“De geregistreerde naam en contactgegevens mogen uitsluitend worden gebruikt voor bron- en contactonderzoek door de GGD en op verzoek van de GGD. Dus niet voor marketingdoeleinden zoals een nieuwsbrief”, stelt KHN. De brancheorganisatgie adviseert geen ‘slimme’ constructies te bedenken om de gegevens toch voor andere doelen te gebruiken. “Dat schaadt het gastvertrouwen”, aldus KHN, dat horecagelegenheden oproept om op rondslingerende papieren te letten. Daarnaast moeten verzamelde contactgegevens alleen aan de GGD worden verstrekt.

Ook het gebruik van registratie-apps wordt afgeraden. “Er zijn veel apps in omloop die beweren handig en privacyproof voor jou de registratie te regelen. Vaak zijn dat toch ‘slimme’ manieren om marketinggegevens te krijgen”, laat Koninklijke Horeca Nederland weten. Alleen apps die door de AP zijn goedgekeurd en waarbij ondernemers schadeloos worden gesteld voor AVG-claims kunnen op goedkeuring van KHN rekenen.

https://www.security.nl/posting/669198/AP+ontvangt+tientallen+klachten+over+registratie+contactgegevens+in+horeca?channel=rss

doorSecuratis

Nieuw-Zeelandse aandelenbeurs al vier dagen op rij doelwit ddos-aanvallen

De Nieuw-Zeelandse aandelenbeurs NZX is voor de vierde dag op rij het doelwit van de ddos-aanvallen, waardoor de beurshandel is platgelegd. De aanvallen begonnen afgelopen dinsdag en zorgden ervoor dat verschillende websites en diensten van de NZX onbereikbaar waren. Ook vandaag was het raak en op het moment van schrijven is de website NZX.com onbereikbaar.

De beurshandel begon vandaag vanwege de aanvallen al drie uur later dan normaal. Na het sluit van de beurs was de website opnieuw offline, aldus CNN. Grant Robertson, de Nieuw-Zeelandse minister van Financiën, liet tijdens een persconferentie weten dat het Government Communications Security Bureau (GCSB), de Nieuw-Zeelandse inlichtingendienst, NZX zal ondersteunen bij het afslaan van de aanvallen.

“Vanwege veiligheidsoverwegingen zijn er grenzen aan wat ik kan zeggen over de actie die de overheid achter de schermen onderneemt”, aldus Robertson. De minister merkte verder op dat de Nieuw-Zeelandse overheid de aanvallen zeer serieus neemt en daarom de inlichtingendienst heeft opgedragen de aandelenbeurs te helpen, zo meldt CNBC.

https://www.security.nl/posting/669148/Nieuw-Zeelandse+aandelenbeurs+al+vier+dagen+op+rij+doelwit+ddos-aanvallen?channel=rss

doorSecuratis

BBC waarschuwt gebruikers voor wachtwoorden afkomstig uit datalekken

Wie bij de BBC een account aanmaakt wordt voortaan gewaarschuwd wanneer er een wachtwoord wordt gekozen dat uit een bekend datalek afkomstig is. De Britse omroep maakt hiervoor gebruik van een dienst van datalekzoekmachine Have I Been Pwned.

Zodra gebruikers een BBC-account aanmaken en een wachtwoord kiezen wordt er een sha-1-hash van het wachtwoord gemaakt. Een prefix van vijf karakters van deze hash wordt naar Have I Been Pwned gestuurd. Vervolgens stuurt Have I Been Pwned een lijst terug met alle wachtwoordhashes die met de betreffende prefix beginnen. Hierna wordt de sha-1-hash die de gebruiker had opgegeven door de BBC vergeleken met deze lijst. Is er een match, dan krijgt de gebruiker een waarschuwing te zien.

“Onze eerste aanbeveling is om het opgegeven wachtwoord te wijzigen, en iets anders te kiezen. Als je het wachtwoord al ergens anders gebruikt, adviseren we je om het ook daar te wijzigen en ervoor te zorgen dat je voor elke website een ander wachtwoord gebruikt”, zegt Marc Burrows van de BBC. De gebruikte database bevat 572 miljoen wachtwoordhashes. De BBC hoopt met de maatregel te voorkomen dat aanvallers met gelekte en hergebruikte wachtwoorden toegang tot de accounts van gebruikers krijgen.

Image

https://www.security.nl/posting/669142/BBC+waarschuwt+gebruikers+voor+wachtwoorden+afkomstig+uit+datalekken?channel=rss

doorSecuratis

Nieuw-Zeelandse beurs NZX platgelegd door ddos-aanval

Voor de derde dag op rij is de Nieuw-Zeelandse beurs NZX platgelegd door een ddos-aanval en is het niet mogelijk om te handelen. De aanvallen begonnen afgelopen dinsdag en zorgden ervoor dat systemen van de NZX onbereikbaar waren. Het ging om meerdere websites van de beurs, alsmede het Markets Announcement Platform. Daarop zag de beurs zich gedwongen om de handel te stoppen.

In een bericht aan handelaren liet de beurs vervolgens weten dat er woensdag weer gehandeld kon worden. Gisteren was de NZX echter weer het doelwit van een ddos-aanval en werd de handel opnieuw tijdelijk platgelegd. Vandaag was het wederom raak en besloot de beurs verschillende onderdelen niet te openen en andere te sluiten, waardoor er opnieuw niet kon worden gehandeld.

“We doen er alles aan om het handelen morgen te hervatten”, aldus een verklaring van de NZX. Verdere details zijn niet over de aanval gegeven. Deze week liet internetbedrijf Akamai weten dat verschillende organisaties, waaronder ook financiële instellingen, via ddos-aanvallen van 200Gb per seconde zijn afgeperst. De aanvallen zijn onder andere gericht tegen organisaties in de APAC-regio.

Image

https://www.security.nl/posting/669067/Nieuw-Zeelandse+beurs+NZX+platgelegd+door+ddos-aanval?channel=rss

doorSecuratis

Ghana levert verdachte van e-mail- en datingfraude uit aan VS

Ghana heeft een 27-jarige man die wordt verdacht van e-mail- en datingfraude, alsmede allerlei andere scams, uitgeleverd aan de Verenigde Staten. Volgens de Amerikaanse autoriteiten heeft de man met zijn online scams slachtoffers wereldwijd voor miljoenen dollars opgelicht.

De man wordt onder andere verdacht van betrokkenheid bij een aanval op een Amerikaans vastgoedbedrijf in 2016. Aanvallers wisten toegang tot de e-mailserver van het bedrijf te krijgen. Zo ontdekten ze dat er grote financiële transacties zouden plaatsvinden tussen het vastgoedbedrijf en verschillende andere partijen. Vervolgens verstuurden de aanvallers e-mails naar deze partijen om het geld naar een andere rekening over te maken. Op deze manier werden deze partijen voor honderdduizenden dollars opgelicht.

Om hun identiteit te verbergen maakten de aanvallers gebruik van “geraffineerde anonimiseringstechnieken”, zoals gespoofte e-mailadressen en virtual private networks, aldus het Amerikaanse ministerie van Justitie. Naast deze fraude wordt de Ghanese man ook verdacht van datingfraude, chequefraude, voorschotfraude, creditcardfraude en “gold-buying scams”. Wereldwijd werden er mensen slachtoffer van deze scams en gingen voor miljoenen dollars het schip in, aldus de aanklacht.

Zeven andere personen die bij deze scams betrokken waren hebben inmiddels schuld bekend. Twee daarvan werden in maart veroordeeld tot gevangenisstraffen van respectievelijk 31 en 78 maanden.

https://www.security.nl/posting/669055/Ghana+levert+verdachte+van+e-mail-+en+datingfraude+uit+aan+VS?channel=rss