Archief op 2021-10-25

Privacywaakhond haalt streep door zwarte lijst fraudeurs

De Autoriteit Persoonsgegevens (AP) heeft een vergunningsaanvraag afgewezen voor het bijhouden van mogelijke fraudeurs op een zwarte lijst, en het delen van die zwarte lijst met bedrijven uit verschillende sectoren.

De aanvraag was gedaan door Vereniging Veilig Ondernemen door Informatie op Maat (VODIOM), een initiatief van onder meer belangenorganisatie MKB Nederland. VODIOM wil persoonsgegevens van vermoedelijke daders van fraude gaan uitwisselen tussen bedrijven in verschillende sectoren: de betaalindustrie, online retail en telecommunicatie. De vereniging wil gegevens van vermoedelijke daders minimaal 3 jaar bewaren.

Oordeel AP

De Autoriteit Persoonsgegevens (AP) ziet dat echter niet zitten. Mensen die (onterecht) op zo’n zwarte lijst staan kunnen te maken krijgen met stigmatisering, oordeelt de toezichthouder. Private organisaties mogen daarom niet zomaar een ‘fraudeursdatabase’ beheren en delen.

‘Fraude is een groot probleem in Nederland’, zegt AP-vicevoorzitter Monique Verdier. ‘En fraudebestrijding is zeer belangrijk. Daarom geven wij ook vergunningen af voor het delen van zwarte lijsten waarbij de privacy goed gewaarborgd is. Maar als je op zo’n grote schaal private organisaties strafrechtelijke persoonsgegevens wilt laten verwerken, is dat niet zomaar iets.’

Strenge voorwaarden

Een zwarte lijst met strafrechtelijke gegevens beheren is aan strenge voorwaarden verbonden. Wanneer organisaties zo’n zwarte lijst met elkaar willen delen, moeten zij daarvoor een vergunning aanvragen bij de AP. De AP kan zo’n vergunning verlenen wanneer het echt noodzakelijk is dat de gegevens worden gedeeld en er voldoende waarborgen zijn getroffen om de (potentiële) fraudeurs die op zo’n lijst staan te beschermen. Het delen van zo’n zwarte lijst tussen veel bedrijven in verschillende sectoren mag volgens de Nederlandse wet alleen in heel uitzonderlijke gevallen.

Opsporing is politietaak

De AP wijst er verder op dat het opsporen en aanpakken van fraude een overheidstaak is die belegd is bij politie en justitie. Verdier: ‘Bij politie en justitie zijn er allerlei waarborgen ingebouwd, die ervoor zorgen dat gegevens veilig zijn en dat je jezelf kunt verweren tegen beschuldigingen. […] Dat de politie nu geen tijd heeft voor fraudezaken, is een serieus probleem. Maar de oplossing voor dat probleem zou niet moeten zijn dat we dan politietaken overhevelen naar een vereniging of andere private organisaties.’

© Accountancy van Morgen

ZORGEN BIJ PRIVACY FIRST OVER DATAVERZAMELING DOOR AUTO’S

Privacy First maakt zich zorgen over de data die auto’s verzamelen. Misbruik door bedrijven en overheden ligt op de loer, waarschuwt directeur Vincent Böhre op BNR.

Daarmee reageert Böhre op het nieuws dat het Nederlands Forensisch Instituut (NFI) gisteren naar buiten bracht. Het NFI ontdekte dat Tesla’s veel meer data opslaan dan bekend was. Dat baart Privacy First zorgen.

‘Auto’s zijn rijdende computers aan het worden. Al die data kunnen op allerlei manieren worden gebruikt en ook misbruikt door bedrijven of overheden zonder dat je dat zelf doorhebt’, zegt Böhre in De Nationale Autoshow.

Strafbare feiten

Volgens het NFI kunnen de rijgegevens juist van pas komen bij onderzoeken naar ongevallen. Als het aan Privacy First ligt, gebeurt dat alleen als er strafbare feiten zijn gepleegd met goed toezicht en goede waarborgen.

‘Het mag niet zo zijn dat een auto in de toekomst een soort van vergaarbak wordt van alle mogelijke data waar allerlei bedrijven en overheden naar hartenlust in kunnen grasduinen. Daar dreigt het nu wel naar toe te gaan. Die ontwikkeling moeten we een halt toeroepen.’

Lees hier verder. © BNR

WhatsApp is veiliger geworden: versleutel je berichten in 6 stappen

In een tijd dat alles onveiliger aanvoelt, is het wel eens lekker dat er ook iets veiliger is geworden. Back-ups van WhatsApp, die worden opgeslagen in de cloud, bevatten nu end-to-end-encryptie. In dit artikel lees je hoe je jouw opgeslagen berichten versleutelt.

Er is de laatste maanden, zo niet jaren, nogal wat te doen over WhatsApp. Niet voor niets diende de Consumentenbond een klacht in over het bedrijf achter nog altijd ‘s werelds populairste chat-app. Veel mensen stappen over naar vergelijkbare diensten als Signal. Een goede stok achter de deur, zo blijkt.

WhatsApp weer een stukje veiliger

End-to-end-encryptie is het versleutelen van berichten, op een zodanige manier dat alleen de zender en ontvanger de inhoud van berichten kunnen lezen. In WhatsApp werden back-ups altijd opgeslagen zonder versleuteling, waardoor foto’s, berichten en andere bestanden in theorie ook door derden op te sporen waren.

Nu heeft WhatsApp dus eindelijk end-to-end-encryptie aan de back-up toegevoegd. Dit geldt voor back-ups die je bewaart in Google Drive of een andere cloud. De opslag op je telefoon was al versleuteld, maar veel gebruikers van de chat-app hebben helemaal niet door dat ze een back-up maken. De nieuwe beveiligingslaag is op basis van een code die bestaat uit 64 cijfers of een zelf ingesteld wachtwoord.

Je berichten versleutelen in 6 stappen

Het is dus veiliger om je opgeslagen berichten even te versleutelen. Wat je allemaal verstuurt, willen we niet weten, maar er staat vast wel iets tussen dat je graag voor jezelf en de ontvanger houdt. Hieronder zie je de zes stappen die je moet doorlopen op een Android-telefoon. Lees in dit artikel hoe je dat op je iPhone doet.

  1. Open WhatsApp op je smartphone
  2. Ga naar instellingen
  3. Ga naar ‘Chats’ en vervolgens
  4. Ga naar ‘End-to-end versleutelde back-up’
  5. Tap op ‘Inschakelen’
  6. Doorloop op gezond verstand de vervolgstappen, zoals het aanmaken van een wachtwoord

Eerder was deze functie, die WhatsApp veiliger en minder privacy-gevoelig maakt, al beschikbaar in de bètaversie. Nu kan iedereen er gebruik van maken. Nadat je de end-to-end-encryptie hebt ingeschakeld, is jouw back-up versleuteld.

© Manners

SIDN brengt open-source netwerkanalysetool SPIN uit

De Stichting Internet Domeinregistratie Nederland (SIDN) heeft versie 1.0 van netwerkanalysetool SPIN het levenslicht doen zien. Hiermee kunnen gebruikers hun hele IoT-internetverkeer in hun netwerken scannen op mogelijke problemen en deze oplossen.

Versie 1.0 van open-source netwerkanalysetool Security and Privacy for In-home Networks (SPIN), ontwikkeld door de researchafdeling SIDN Labs, moet gebruikers helpen met het scannen en analyseren van al hun IoT-internetverkeer. Met deze gegevens kunnen de gebruikers de tool als basisplatform gebruiken voor het maken van nieuwe technologie voor een betere beveiliging tegen hackaanvallen en andere kwetsbaarheden van IoT-devices.

Definitieve versie

Versie 1.0 is de definitieve versie van een tool waarmee SIDN Labs al aan het experimenteren was. In de definitieve versie is nu alle basisfunctionaliteit verankerd. De tool beschikt onder meer over een zogenoemde ‘bridge-modus’. Hiermee kan de tool op routers worden geïnstalleerd die alleen maar als bridges fungeren. Dit maakt het systeem waarop SPIN draait geen router en hoeven gebruikers devices hiermee niet opnieuw te configureren.

Daarnaast kan de webinterface nu via https worden geladen en heeft de MQTT-verbinding gebruikersauthenticatie gekregen. Ook kan de tool SPIN voortaan loggen naar bestanden en systeemlogs.

Overige functionaliteit SPIN

Verder is in versie 1.0 van SPIN ook een PCPAP-reader aanwezig. Dit maakt het onder meer mogelijk de gegevensuitwisseling tussen SPIN en een PCAP-lezer over het netwerk te laten verlopen. Voor het verminderen van het verkeer tussen de twee instanties wordt de informatie samengevoegd voordat het naar de SPIN daemon wordt gestuurd.

De repositories voor SPIN 1.0 zijn hier op GitHub te vinden. Ook wordt versie 1.0 van de tool nu standaard meegeleverd bij de open-source Valibox-software.

© Techzine

Op weg naar een wereld waarin de digitale identiteit regeert: goede beveiliging is noodzakelijk

Volgens Thuiswinkel Markt Monitor 2020 werden vorig jaar in Nederland 334,9 miljoen online betalingen gedaan. Met een groei van 27 procent ten opzichte van 2019 vormen deze online betalingen een lucratieve bron voor oplichters. Uit cijfers van Fraudehelpdesk blijkt dat het aantal fraudemeldingen voor online shoppen in 2020 verdubbelde vergeleken met 2019. Dit kwam doordat veel winkels waren gesloten en mensen die voorheen hun aankopen niet online deden werden aangewezen op webwinkels en handelsplaatsen. Als deze ontwikkeling doorzet zal het aantal gedupeerden in 2021 ongeveer twee keer zo hoog gaat zijn als het jaar ervoor met een geschatte schade van ruim 1 miljoen euro.

Digitale identiteiten

Achter elke transactie gaat een menselijke of machinale gebruiker schuil. Organisaties moeten die gebruikers vandaag de dag constant op echtheid controleren en verifiëren dat ze zijn wie ze beweren te zijn. Die digitale identiteiten zijn overal aanwezig en ze bestaan uit een set attributen die een specifieke gebruiker identificeren in de context van een functie die wordt geleverd door een specifieke applicatie. Bovendien vragen ze om goede bescherming. Binnen het overkoepelende domein van identity and access management (IAM) focust customer identity and access management (CIAM) zich op het beheer van de identiteiten van klanten die toegang nodig hebben tot websites, e-commercediensten en andere online applicaties. 

Identiteit moet bovenaan de agenda staan voor Chief Information Security Officers (CISO’s). Zeker in een tijd van verandering, waarin traditionele organisaties steeds meer beginnen te lijken op een set consumentgerichte applicaties. Dat betekent namelijk dat ze het zich niet langer kunnen veroorloven om de beveiligingsuitdagingen rond CIAM te negeren. 

Het beheer van CIAM is pittig, dat is nu eenmaal zo. Niet alleen omdat applicaties een groter risico lopen om geraakt te worden door grootschalige internetaanvallen, maar ook vanwege de ins en outs van het beheren van klantidentiteiten. Consumenten zijn een gevarieerde groep en het automatisch onderscheid maken tussen een verwarde gebruiker en een geavanceerde aanvaller is niet eenvoudig. Daarnaast wordt het beveiligen van klantidentiteiten verder bemoeilijkt door de industrie-brede issues rondom het effectief beschermen van data. De grote hoeveelheid gelekte wachtwoorden en de beschikbaarheid van geautomatiseerde aanvalsmiddelen hebben ervoor gezorgd dat een simpel wachtwoord niet meer volstaat.

Bovendien kunnen we er niet meer omheen: digitale identiteiten regelen de toegang tot een alsmaar groeiend aantal applicaties en diensten. Uiteindelijk zal de digitale identiteit van invloed zijn op – en misschien zelfs regeren over – alle aspecten van het moderne leven. En dat maakt authenticatie en autorisatie essentieel voor het garanderen van vertrouwen en beveiliging. 

Observaties Auth0

De bevindingen van de bovengenoemde rapporten komen overeen met de observaties van Auth0. Allereerst zijn frauduleuze registraties een kostbaar gevaar. Hoewel de cijfers per vertical verschillen, is 15 procent van alle pogingen om een nieuw account te registreren afkomstig van bots. Zulke accounts zijn meer dan alleen een beetje vervelend; ze vormen een duur probleem dat een negatieve impact heeft op applicaties en hun gebruikers en dragen bovendien bij aan grotere issues, zoals witwaspraktijken. Ten tweede vormt credential stuffing een reële bedreiging. Zo’n credential-stuffing-aanval, een grootschalige geautomatiseerde inlogpoging, in een specifieke sector beslaat op een willekeurige dag 90 procent van de inlogpogingen. 

Online betalingen en accountregistratie zullen zich blijven ontwikkelen, en het aantal identiteiten zal blijven groeien – net als het aantal fraudepogingen. Om aanvallers te ontmoedigen, is het van cruciaal belang om de financiële voordelen voor aanvallers te elimineren door identiteitsdiensten te ontwikkelen met een flexibele, secure-by-design- en defense-in-depth- benadering. Met die tactiek in het achterhoofd kunnen IT-teams afweermaatregelen uitrollen voor én tijdens de authenticatieworkflow, en zorgen voor safe session management practices als krachtige verdediging. In onze snel veranderende digitale wereld, waarin CIAM een steeds grotere rol speelt, is het essentieel om multifactorauthenticatie (MFA) te stimuleren. Dit om frictie te beperken en om beveiliging te garanderen. Volgende Team High Tech Crime van de Politie kost het aanvallers zoveel moeite om voorbij MFA te komen en hebben ze zoveel andere slachtoffers dat ze direct alles laten vallen en naar de volgende gaan wanneer ze op MFA stuiten. MFA is zelfs zo effectief, dat Microsoft denkt dat accounts 99,9 procent minder risico lopen om gehackt te worden als MFA wordt ingezet. Of het daarbij nu gaat om step-up authentication, adaptive MFA of door WebAuthn ondersteunde biometrische methoden, deze cijfers tonen aan dat authenticatiemogelijkheden een belangrijke bijdrage leveren in de bescherming tegen datalekken, gehackte accounts, credential stuffing, identiteitsdiefstal, privacymisbruik, creditcardfraude en andere risico’s. 

© WinmagPro

© MeT-Groep