Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 News – Pagina 61 – Securatis

Categorie archief News

doorSecuratis

‘Netflix gaat delen van wachtwoorden door klanten aanpakken’

Door Anoniem:

Door Wilbert Wintergaard: Het staat al tussen dubbele aanhalingstekens. Er bestaan dus geen “consumentvriendelijke” oplossingen voor problemen die rechtstreeks in verband staan met omzetverlies. Het is een zoethoudertje; beter gesteld: je reinste flauwekul. Of je lost het op en dat is altijd rechtstreeks, of indirect ten nadele van de klant, of je doet niets en laat het gaan. Een middenweg bestaat niet.

Jij vindt die poortjes bij de uitgang van een winkel ook “rechtstreeks of indirect ten nadele van de klant”?
Jammer klant, u kunt onze artikelen niet meer zonder betalen meenemen!

Ik denk dat dat wel wat kortzichtig is. Voor de betalende klant is het niet nadelig als er gesneden wordt in het
aantal klaplopers. En die klaplopers zijn geen klant dus daar heeft het ook geen betrekking op.

“Jij vind dit, Jij vind dat.”

Ik vind niets, en als ik iets vind is het kletspraat van je hand!…
Belachelijke aannames uit het niets gesleurd die TOTAAL niet in verband staat tot mijn kritiek!

Betrek ik bij mijn kritiek winkeldiefstal? Waar schrijf ik dat?!?

C I T A A T ! ! !

Zo geen citaat te vinden… dan klets de volgende keer niet!

Ik ben werkzaam geweest in de detailhandel.
Praat me niet over winkeldieven.
Kotsmisselijk van dat slag volk.

Helder?

https://www.security.nl/posting/630749/%27Netflix+gaat+delen+van+wachtwoorden+door+klanten+aanpakken%27?channel=rss

doorSecuratis

Franse overheid wil op social media naar belastingfraude speuren

De Franse regering wil autoriteiten de bevoegdheid geven om op social media naar aanwijzingen van belastingfraude en belastingontwijking te zoeken. Dat blijkt uit een wetsvoorstel dat in het Franse parlement wordt besproken. In het voorstel wordt gesproken over een experiment dat gedurende drie jaar wordt uitgevoerd en belastingdienst en douane toestaat om op geautomatiseerde wijze op internetplatformen te grasduinen.

Volgens beleidsmakers is het op dit moment onmogelijk om belastingfraude en personen die zich aan andere economische delicten schuldig maken handmatig op te sporen via informatie van sociale netwerken. In plaats daarvan moet er op grootschalige geautomatiseerde wijze informatie van socialmedianetwerken worden verzameld en verwerkt. Hierbij zal er geen gebruik van gezichtsherkenningssystemen worden gemaakt (pdf).

Het voorstel stelt dat vanwege de impact op het privéleven van mensen alle verzamelde informatie die niet voor een onderzoek is te gebruiken binnen 30 dagen wordt vernietigd en binnen een jaar wanneer er geen procedure volgt. “Als je zegt geen fiscale inwoner van Frankrijk te zijn, maar je blijft op Instagram afbeeldingen van Frankrijk plaatsen, is er mogelijk een probleem”, aldus de Franse minister van Financiën Gérald Darmanin in een interview tegenover de Franse krant Le Figaro.

Een commissie van het Franse parlement heeft het voorstel goedgekeurd, zo meldt persbureau Reuters. Naar verwachting zal het voorstel ook in het Franse lagerhuis voldoende stemmen krijgen.

Image

https://www.security.nl/posting/630713/Franse+overheid+wil+op+social+media+naar+belastingfraude+speuren?channel=rss

doorSecuratis

EDPS: misdaadbestrijding moet grondrechten respecteren

Bij het bestrijden van misdaad en terrorisme moeten grondrechten en privacywetgeving worden gerespecteerd, zo stelt de Europese privacytoezichthouder (EDPS). Aanleiding voor de oproep is een nieuw Europees juridisch raamwerk waarmee autoriteiten straks digitaal bewijs in andere landen kunnen opvragen.

Volgens de EDPS is bewijs van criminele activiteiten tegenwoordig vaak digitaal, en niet altijd eenvoudig door de betreffende autoriteiten op te vragen. Dit komt door beperkingen zoals geografische jurisdictie. Het is dan ook essentieel dat EU-autoriteiten op effectieve wijze toegang kunnen krijgen tot informatie die in andere lidstaten aanwezig is. “Dit mag echter niet ten koste gaan van de rechten en vrijheden die we als EU-burgers hebben. Er moet een balans worden gevonden die voor meer EU-veiligheid zorgt zonder dat hierbij grondrechten en databeschermingsprincipes in gevaar komen”, stelt adjunct-EDPS Wojciech Wiewiorowski.

Om het grensoverschrijdend uitwisselen van digitaal bewijsmateriaal mogelijk te maken heeft de Europese Commissie een wetsvoorstel gedaan waardoor autoriteiten toegang krijgen tot data die bij serviceproviders is opgeslagen of autoriteiten serviceproviders kunnen verplichten om data te bewaren in afwachting van een toegangsverzoek. Dit moet grensoverschrijdende onderzoeken faciliteren en versnellen. Het is echter belangrijk dat het voorstel rekening houdt met alle noodzakelijke waarborgen, merkt Wiewiorowski op.

Aanvullend stelt Wiewiorowski dat het voorstel een consistentere en duidelijkere omschrijving van de verschillende datacategorieën moet geven. Elektronisch bewijs is op basis van de gevoeligheid verdeeld in vier subcategorieën: abonneedata, toegangsdata, transactiedata en contentdata. Deze laatste twee categorieën komen niet voor in de ePrivacy-regulering, waarin de databeschermingsregels voor EU-instanties en de taken van de EDPS worden beschreven.

De EDPS vindt het dan ook van groot belang dat de termen in de wetsvoorstellen gelijk zijn en adviseert de termen uit de ePrivacy-reulgering over te nemen. Daarnaast zou toegang tot transactie- en contentdata, vanwege de aard van deze gegevens, alleen in de context van zeer ernstige misdrijven moeten worden verstrekt. Verder doet de EDPS in een opinie meerdere andere aanbevelingen die ervoor moeten zorgen dat databescherming en privacyrechten worden gerespecteerd, maar bewijsmateriaal nog steeds snel kan worden verkregen (pdf).

https://www.security.nl/posting/630694/EDPS%3A+misdaadbestrijding+moet+grondrechten+respecteren?channel=rss

doorSecuratis

Bedrijf mocht werknemer wegens privé back-up bedrijfsdata niet ontslaan

Een bedrijf dat een medewerker op staande voet ontsloeg wegens een back-up van bedrijfsdata op een privé harde schijf mocht dit niet doen en moet de werknemer een vergoeding van meer dan 100.000 euro betalen. Dat heeft de rechtbank Den Haag bepaald.

De medewerker werd op 15 april van dit jaar op non-actief gesteld omdat hij de geheimhoudingsplicht (NDA) zou hebben geschonden. De man moest ook zijn laptop afstaan, die door een recherchebureau werd onderzocht. Daaruit bleek dat de medewerker verschillende keren back-ups van bestanden op zijn eigen privé harde schijf had gemaakt. Volgens het bedrijf heeft de man hiermee de NDA overtreden.

De werknemer bekende dat hij de back-ups had gemaakt, maar stelde dat hij dit deed om dataverlies te voorkomen. Bij eerdere migraties waren namelijk bestanden van de werkgever verloren gegaan. Toen er weer een migratie werd aangekondigd besloot hij de back-ups te maken. Verder ontkende de man de bestanden openbaar te hebben gemaakt.

De kantonrechter laat weten dat het maken van een back-up door de werknemer kan worden gekwalificeerd als het kopiëren, maar leidt het maken van een back-up niet zonder meer tot de conclusie dat de werknemer bedrijfsgevoelige informatie buiten het bedrijf heeft gebracht in de zin van de NDA dan wel heeft verspreid aan derden. Het bedrijf heeft de stelling dat de werknemer gegevens naar buiten heeft gebracht, op het onderzoeksrapport na, niet onderbouwd.

De werkgever erkende ook dat het onderzoek door het recherchebureau “rammelt”. Zo is de werknemer niet gehoord tijdens het onderzoek en is de externe harde schijf van de werknemer, waarop de bedrijfsgevoelige informatie is opgeslagen, niet onderzocht terwijl niet wordt verantwoord waarom de arbeidsovereenkomst wel onderdeel uitmaakt van het onderzoek.

“Vervolgens worden er door de onderzoeker conclusies getrokken die niet als gebruikelijk kunnen worden gekwalificeerd voor een it-expert. Immers, het antwoord op de vraag of de werknemer zich houdt aan de op hem rustende verplichtingen uit hoofde van zijn arbeidsovereenkomst en de NDA is aan de werkgever en uiteindelijk aan de kantonrechter. Niettemin heeft de werkgever naar aanleiding van dit onderzoek de werknemer op staande voet ontslagen”, aldus de rechter, die het ontslag op staande voet niet rechtsgeldig noemde.

De rechter stelde verder dat door toedoen van de werkgever de arbeidsverhouding onherstelbaar is verstoord. De werknemer heeft dan ook recht op compensatie. Het gaat om een billijke vergoeding van ruim 84.000 euro, een gefixeerde schadevergoeding van 18.000 euro, een transitievergoeding van 10.000 euro en het betalen van de proceskosten van bijna 1100 euro.

https://www.security.nl/posting/630685/Bedrijf+mocht+werknemer+wegens+priv%C3%A9+back-up+bedrijfsdata+niet+ontslaan?channel=rss

doorSecuratis

Lancering OpenSSL 3.0 uitgesteld naar vierde kwartaal 2020

De lancering van OpenSSL 3.0 is uitgesteld naar het vierde kwartaal van 2020, wat een vertraging van een half jaar inhoudt. Dat heeft Matt Caswell van het OpenSSL-team bekendgemaakt. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen.

Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. OpenSSL 3.0 zal een grote aanpassing van de software inhouden. Sinds september vorig jaar zijn er 2112 aanpassingen aan de code doorgevoerd. Dit is 8,5 procent van alle aanpassingen aan OpenSSL sinds het project in 1998 werd gelanceerd.

De grootste verandering is de introductie van een concept genaamd “Providers”. Alle encryptiealgoritmes in OpenSSL 3.0 zullen in een provider worden geïmplementeerd. Zo is er een “standaard” ingebouwde provider, alsmede andere providers, waaronder een “legacy” provider die toegang tot legacy encryptiealgoritmes geeft, en een “FIPS” provider waarmee FIPS gevalideerde algoritmes zijn in te schakelen.

Oorspronkelijk was het plan om alle code tegen het einde van dit jaar af te ronden, waarna er verschillende bètaversies zouden verschijnen. De definitieve versie zou dan begin tweede kwartaal 2020 moeten verschijnen. “Het is duidelijk geworden dat we dit tijdsvenster niet gaan halen”, aldus Caswell. Naar verwachting zal alle code waarschijnlijk pas tegen het einde van het tweede kwartaal van volgend jaar zijn afgerond, waarbij de uiteindelijke lancering naar begin vierde kwartaal 2020 is verschoven.

Volgens Caswell zal de upgrade van OpenSSL 1.1.1 naar OpenSSL 3.0 voor de meeste applicaties relatief eenvoudig zijn. Om van de nieuwe features in OpenSSL te kunnen profiteren zullen mogelijk verschillende aanpassingen zijn vereist. Verder heeft de upgrade van OpenSSL 1.0.2 naar OpenSSL 3.0 meer voeten in de aarde. Gebruikers van deze versie krijgen dan ook het advies om te upgraden naar de nieuwste LTS (Long Term Support) versie van OpenSSL 1.1.1, om zo de migratie naar OpenSSL 3.0 eenvoudiger te maken. De ondersteuning van OpenSSL 1.0.2 zal later dit jaar ook stoppen. Er zullen dan geen nieuwe beveiligingsupdates meer verschijnen.

https://www.security.nl/posting/630681/Lancering+OpenSSL+3_0+uitgesteld+naar+vierde+kwartaal+2020?channel=rss

doorSecuratis

Weinig .nl-domeinnamen beveiligd met registry lock

Van de ruim 5,8 miljoen domeinnamen eindigend op .nl maken er slechts zo’n 150 gebruik van een registry lock, zo meldt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. Een registry lock voorkomt dat domeinnaamgegevens zomaar zijn aan te passen.

Het gaat dan bijvoorbeeld om het aanpassen van de houder of nameservers of het verhuizen van de domeinnaam. De houder van het domein moet de betreffende registry akkoord geven voor een aanpassing en zelfs de hoster of registrar kan de mutatie niet zelfstandig doorvoeren. “De tijdsinvestering en vertraging op mutaties die het bevestigen met zich meebrengt maakt dat de nadelen voor de meeste domeinen groter zijn dan de voordelen”, zo laat de SIDN weten, dat zelf ook een registry lock-service aanbiedt.

De Stichting stelt verder dat registry locks controversieel in de sector zijn. “Als een registrar een registry lock verkoopt, verkoopt hij dus ook bescherming tegen een hack op zijn eigen systemen, wat natuurlijk vragen oproept over de beveiliging daarvan.” Daarnaast zou het legitimeren van de houder tijdrovend zijn en ervoor zorgen dat een lock meestal extra geld kost.

Met de komst van digitale identiteiten zoals eHerkenning zou dit proces echter eenvoudiger worden en zijn domeinnaamhouders die een registry lock aanvragen zonder papierwerk te identificeren. “Het is daarom niet verwonderlijk dat diverse landen in Brussel aankondigden een registry lock te introduceren of hun bestaande diensten verder uit te bouwen”, aldus de SIDN.

Eerder dit jaar adviseerde Cisco nog het gebruik van registry locks nadat verschillende organisaties het slachtoffer van dns-hijacking waren geworden, waarbij dns-instellingen van domeinnamen waren aangepast zodat vertrouwelijk verkeer kon worden onderschept.

https://www.security.nl/posting/630680/Weinig+_nl-domeinnamen+beveiligd+met+registry+lock?channel=rss

doorSecuratis

Rechter VS laat politie commerciële dna-database doorzoeken

Een Amerikaanse rechter heeft een politierechercheur een zoekbevel gegeven om een commerciële dna-database te doorzoeken. Voor zover bekend is het de eerste keer dat een Amerikaanse rechter een dergelijke bevel afgeeft en juridische experts noemen het een “game-changer” voor genetische privacy.

Het gaat om GEDmatch, een database met genetische data afkomstig van verschillende dna-testdiensten zoals 23andMe, FTDNA en AncestryDNA. In database staan 1,2 miljoen mensen. Eerder dit jaar besloot de dienst de toegang tot de database voor politie te beperken. Opsporingsdiensten krijgen voortaan alleen nog toegang tot dna-profielen waarvan de eigenaren zelf toestemming hebben gegeven. Standaard moeten gebruikers dit nu zelf inschakelen en voor alle bestaande profielen werd het delen van data met politiediensten uitgeschakeld.

Eind oktober werd bekend dat een rechercheur van het politiekorps in Orlando in juli een gerechtelijk bevel had gekregen om de volledige dna-database van GEDmatch te doorzoeken. Het ging daarbij ook om de profielen van gebruikers die hadden aangegeven dat ze hun data niet voor opsporingsdiensten toegankelijk willen maken. GEDmatch gaf binnen 24 uur gehoor aan het verzoek. “Dit is een gigantische game-changer”, zegt Erin Murphy, rechtenprofessor aan de New York University, tegenover The New York Times. “Het bedrijf besloot om politie buiten de deur te houden, en dat wordt nu terzijde geschoven door de rechter. Het is een teken dat geen enkele genetische informatie veilig is.”

Murphy en andere experts stellen dat de ontwikkeling andere opsporingsdiensten zal aanmoedigen om soortgelijke zoekbevelen voor andere dna-testdiensten aan te vragen, waardoor alle dna-databases in politiedatabases veranderen. Wanneer dat het geval is, heeft de recente beslissing van de rechter in Florida gevolgen voor veel meer mensen. Zo heeft dna-testdienst 23andMe tien miljoen gebruikers, terwijl Ancestry.com vijftien miljoen gebruikers heeft. Via de dna-profielen van deze gebruikers is het mogelijk om veel verder in de bevolking te zoeken.

Wanneer slechts 2 procent van de Nederlandse bevolking zijn of haar dna-profiel naar een database zou uploaden, is het inmiddels mogelijk om altijd tot een dna-match met een verwant te komen, zo stelde dna-expert Lex Meulenbroek van het Nederlands Forensisch Instituut (NFI) eerder dit jaar. “In theorie is het zo dat als 350.000 Nederlanders zeggen: mijn dna mag in een databank om misdrijven op te lossen, we bijna elk dna-spoor kunnen identificeren via stamboomonderzoek.”

https://www.security.nl/posting/630616/Rechter+VS+laat+politie+commerci%C3%ABle+dna-database+doorzoeken?channel=rss

doorSecuratis

Ring-videodeurbel lekte wifi-wachtwoord tijdens het instellen

Tijdens het instellen van de Ring-videodeurbel kon het wachtwoord van het lokale wifi-netwerk door aanvallers worden onderschept en gebruikt om verdere aanvallen mee uit te voeren, zo laat antivirusbedrijf Bitdefender vandaag weten. De videodeurbel maakt gebruik van het wifi-netwerk van de gebruiker om met het internet te communiceren.

Dit wifi-wachtwoord moet echter eerst naar de videodeurbel worden gestuurd. Wanneer de deurbel voor het eerst wordt ingesteld creëert die een eigen, onbeveiligd access point dat zonder wachtwoord toegankelijk is. De smartphone-app van Ring maakt automatisch verbinding met dit access point en verstuurt via http de inloggegevens van het lokale netwerk. Omdat dit via http gebeurt en het access point van de videodeurbel zelf onbeveiligd is, kan iedereen in de buurt deze gegevens onderscheppen.

Daarnaast is het mogelijk voor een aanvaller om deauthenticatieberichten te versturen waardoor de deurbel zijn verbinding met het wifi-netwerk verliest. Vervolgens zal de app de gebruiker vragen om het apparaat opnieuw in te stellen, waarbij het wifi-wachtwoord weer onversleuteld wordt verstuurd en te onderscheppen valt. Bitdefender informeerde Amazon op 24 juli over het probleem. Op 5 september werd er onder gebruikers een update uitgerold, waarna Bitdefender vandaag de details openbaar maakte.

Image

https://www.security.nl/posting/630604/Ring-videodeurbel+lekte+wifi-wachtwoord+tijdens+het+instellen?channel=rss

doorSecuratis

Apple publiceert technische details over privacyfeatures

Apple heeft vandaag de eigen privacypagina vernieuwd en vier nieuwe whitepapers gepubliceerd waarin het de technische details van verschillende privacyfeatures beschrijft. De papers gaan over privacyfeatures in Safari, de locatiediensten van Apple, inloggen via Sign in with Apple en de Photos-app.

In drie van de vier documenten stelt Apple dat er bij het ontwerp van de software en diensten rekening met “privacy by design” is gehouden. Zo wordt waar mogelijk alle data op het toestel zelf verwerkt en probeert Apple de hoeveelheid data die het verzamelt en met derde partijen deelt te beperken. In de Safari-paper legt Apple uit hoe het gebruikers tegen online trackers en fingerprinting beschermt.

Sign in with Apple is een nieuwe dienst van het bedrijf waarmee Apple-gebruikers via hun Apple ID bij andere partijen kunnen inloggen. Eén van de features van Sign In with Apple is een relaydienst. Hierdoor hoeven gebruikers niet meer hun e-mailadres met de app of website te delen, maar kunnen ze nog wel berichten van de ontwikkelaar ontvangen.

“In tegenstelling tot andere fotodiensten beperkt Apple de data die het toestel van de gebruiker verlaat tot alleen wat nodig is om de dienst te bieden. Apple benadert foto’s van gebruikers niet en gebruikt ze niet voor advertenties of voor onderzoek en ontwikkeling. Daarnaast worden on-device analyses niet gesynchroniseerd of gedeeld met Apple”, aldus het bedrijf in de paper over de Photos-app.

Apple stelt dat in het verleden sommige apps de locatie-instellingen van gebruikers probeerden te omzeilen, door via bluetooth en wifi de locatie vast te stellen. In iOS 13 en iPadOS zegt Apple dat het dit gedrag tegengaat door nieuwe instellingen voor bluetooth te introduceren en de toegang tot wifi-netwerken door apps te beperken.

Al jaren laat Apple-topman Tim Cook weten dat privacy een mensenrecht is en dat Apple in tegenstelling tot andere techbedrijven niet aan de gegevens van gebruikers verdient. Eerder dit jaar lanceerde het bedrijf de eerste iPhone-reclame over privacy.

  • Safari privacy white paper (pdf)
  • Location Services Privacy white paper (pdf)
  • Photos tech brief (pdf)
  • Sign in with Apple tech brief (pdf)

Image

https://www.security.nl/posting/630469/Apple+publiceert+technische+details+over+privacyfeatures?channel=rss

doorSecuratis

Facebook meldt nieuw datalek met gebruikersgegevens

Meerdere bedrijven hebben zonder toestemming toegang tot gegevens van Facebookgebruikers gehad, zo heeft de sociale netwerksite bekendgemaakt. Het gaat om gebruikers die onderdeel van een Facebookgroep uitmaakten. Beheerders van een groep hadden de mogelijkheid om apps, en hun ontwikkelaars, toegang tot informatie in de groep te geven.

Sinds april vorig jaar heeft Facebook dit enigszins aangepast. Wanneer een groepsbeheerder nu toestemming geeft, krijgt de app alleen toegang tot de groepsnaam, het aantal gebruikers en de inhoud van berichten. Wanneer een app ook toegang tot namen en profielfoto’s wil moeten de groepsleden dit toestaan.

Uit onderzoek van Facebook blijkt dat sommige apps ondanks de beperking die in april werd ingevoerd toch toegang tot informatie van groepsleden behielden, zoals namen en profielfoto’s in relatie met groepsactiviteiten. Inmiddels is deze toegang opgeheven. Het ging met name om apps voor socialmediabeheer en videostreaming.

Zo’n honderd bedrijven hebben mogelijk op deze manier gegevens van gebruikers benaderd terwijl dit niet was toegestaan. Van tenminste elf bedrijven staat vast dat ze dit in de afgelopen twee maanden hebben gedaan. Facebook zegt dat het nog geen bewijs van misbruik heeft aangetroffen. Wel zijn alle bedrijven gevraagd om de verzamelde data van groepsleden te verwijderen. Tevens zegt Facebook audits te zullen uitvoeren om te controleren dat de gegevens ook echt zijn verwijderd.

https://www.security.nl/posting/630457/Facebook+meldt+nieuw+datalek+met+gebruikersgegevens?channel=rss