Privacy/Security nieuws

Enschede: Autoriteit Persoonsgegevens zit fout met boete voor wifi-tracking

De gemeente Enschede vindt de boete van 600.000 euro die het eerder dit jaar van de Autoriteit Persoonsgegevens wegens wifi-tracking kreeg opgelegd onterecht en heeft officieel bezwaar aangetekend. Vier jaar geleden besloot de gemeente Enschede om door middel van sensoren de drukte in de binnenstad te meten.

Hiervoor werd een bedrijf ingehuurd dat gespecialiseerd is in het tellen van passanten. Het bedrijf plaatste meetkastjes in de winkelstraten die de wifi-signalen van mobiele telefoons van passerende mensen opvingen. Daarbij werd elke telefoon middels een unieke code apart geregistreerd. Door het aantal telefoons dat op een bepaald moment rond een meetkastje is te registreren kan de drukte worden gemeten.

“Houd je over een langere periode bij welke telefoon langs welk meetkastje komt, dan verandert dit ‘tellen’ in het volgen van mensen”, zo stelt de Autoriteit Persoonsgegevens. Dit bleek bij de gemeente Enschede aan de hand te zijn. Volgens de privacytoezichthouder was de privacy van burgers niet goed gewaarborgd, omdat zij konden worden gevolgd zonder dat dit noodzakelijk was. De gemeente vindt dat de AP op verschillende punten fout zit.

“Wij zijn van mening dat de Autoriteit Persoonsgegevens een besluit heeft genomen in strijd met meerdere beginselen van behoorlijk bestuur, niet voldoende onderzoek heeft gedaan, geen hoor- en wederhoor heeft toegepast, ongemotiveerd voorbij gaat aan veel argumenten die wij in de zienswijze hebben aangedragen, niet genoeg rekening houdt met boeteverlagende omstandigheden, willekeurig handelt en kwalijk heeft gehandeld in hun uitingen naar buiten”, aldus de burgemeester en wethouders van Enschede.

Die stellen dat een minder zwaar middel, zoals een last onder dwangsom, gelet op de aard, ernst en duur van de situatie passender zou zijn geweest. In het bezwaarschrift noemt de gemeente tien punten waarop het vindt dat de Autoriteit Persoonsgegevens ongelijk heeft. “Enschede heeft nooit burgers gevolgd en kon dat ook niet. Het feit dat de AP in het Boetebesluit en in de persberichten naar aanleiding daarvan doelbewust die suggestie wekt, acht Enschede zeer kwalijk”, zo stellen de burgemeester en wethouders in een brief aan de gemeenteraad (pdf).

Volgens de gemeente zijn er meer dan tweehonderd andere gemeenten die op dezelfde of vergelijkbare wijze wifi-tellingen laten uitvoeren. “Enschede is echter de enige gemeente die een boete opgelegd heeft gekregen. Dat roept de vraag op of dat niet in strijd is met het gelijkheidsbeginsel, zeker gezien het feit dat de AP in de pers impliciet heeft aangegeven dat die gemeenten niet zonder meer aan een onderzoek onderworpen zullen worden en dat de AP er van uit gaat dat de gemeenten die dit betreft zelf hun wifitellingen kritisch onder de loep zullen nemen.” Enschede vraagt zich dan ook af waarom het een boete opgelegd heeft gekregen en de andere gemeenten niet.

Nu het bezwaarschrift bij de Autoriteit Persoonsgegevens is ingediend zal er na de zomer een besloten sessie met de gemeenteraad plaatsvinden waarin burgemeester en wethouders verder over de zaak zullen doorpraten.

Lees hier verder. © Security.nl

Apple verhelpt lek waardoor wifi-netwerk code op iPhones kan uitvoeren

Apple heeft een beveiligingsupdate voor iOS uitgebracht die meerdere kwetsbaarheden verhelpt waardoor een aanvaller code op het toestel van gebruikers kan uitvoeren, bijvoorbeeld wanneer gebruikers verbinding met een malafide wifi-netwerk maken.

Met iOS 14.7 en iPadOS 14.7 heeft Apple voor zover nu bekend 37 beveiligingslekken opgelost. Zestien van deze kwetsbaarheden maken het mogelijk voor een aanvaller om willekeurige code uit te voeren. Dit is onder andere mogelijk bij het verwerken van audio-, pdf- en font-bestanden, alsmede webcontent en afbeeldingen. Het bezoeken van een malafide of gecompromitteerde website is hiervoor voldoende, er is geen verdere interactie van de gebruiker vereist.

In het geval van een kwetsbaarheid in libxml2 is het volgens Apple voor een remote aanvaller mogelijk om willekeurige code op de iPhone of iPad uit te voeren. Verder blijkt dat een lek in het wifi-onderdeel van iOS, aangeduid als CVE-2021-30800, het mogelijk maakt voor een kwaadaardig wifi-netwerk om willekeurige code uit te voeren als een gebruiker er verbinding mee maakt. Verdere details zijn niet door Apple gegeven. Updaten naar de nieuwste iOS-versie kan via iTunes en de Software Update-functie.

Lees hier verder. © Security.nl

Windows Server ook kwetsbaar voor lek dat aanvaller SYSTEM-rechten geeft

Een kwetsbaarheid in Windows 10 waardoor een lokale aanvaller SYSTEM-rechten kan krijgen is ook aanwezig in Windows Server. Dat meldt Microsoft in een nieuwe versie van het betreffende beveiligingsbulletin. De kwetsbaarheid wordt aangeduid als CVE-2021-36934, maar staat ook bekend als HiveNightmare en SeriousSAM. Via het beveiligingslek kan een aanvaller die al toegang tot een computer heeft SYSTEM-rechten kan krijgen en zo het systeem volledig overnemen.

Het probleem wordt veroorzaakt doordat standaardgebruikers toegang tot SAM, SYSTEM en SECURITY bestanden hebben. Hierdoor is “local privilege escalation” (LPE) mogelijk en kan een aanvaller zijn rechten verhogen. Normaliter zijn deze bestanden niet toegankelijk. Via Volume Shadow Copy (VSS) blijkt dit echter toch mogelijk te zijn. VSS is een feature waarmee Windows het mogelijk maakt om vorige versies van bestanden te herstellen.

Via VSS zijn ook de SAM, SYSTEM en SECURITY bestanden voor een standaardgebruiker toegankelijk. Zo is het mogelijk om wachtwoordhashes van accounts te achterhalen, het Windows-installatiewachtwoord te vinden en DPAPI-keys te bemachtigen waarmee alle op de computer gebruikte private keys zijn te ontsleutelen. Verder kan er controle over een machine-account worden gekregen dat voor een zogeheten “silver ticket” aanval is te gebruiken.

In eerste instantie werd gemeld dat de kwetsbaarheid aanwezig is in alle Windows 10-versies sinds versie 1809. Microsoft heeft nu een overzicht van alle kwetsbare Windowsversies gepubliceerd. Daaruit blijkt dat ook Windows Server 2019, Windows Server versie 2004 en Windows Server versie 20H2 kwetsbaar zijn.

Microsoft werkt aan een beveiligingsupdate voor het probleem. In de tussentijd kunnen gebruikers maatregelen nemen. Als tijdelijke workaround is het mogelijk om de toegang tot de system32-map te beperken en VSS-kopieën te verwijderen. Microsoft waarschuwt dat het verwijderen van de VSS-kopieën wel gevolgen kan hebben voor het herstellen van data. Daarnaast moet zowel de toegang tot de system32-map worden beperkt als de VSS-kopieën worden verwijderd om misbruik van de kwetsbaarheid te voorkomen.

Lees hier verder. © Security.nl

KPN komt met beveiligingsupdate voor kwetsbaarheid in ExperiaBox

KPN komt op korte termijn met een beveiligingsupdate voor een kwetsbaarheid in de ExperiaBox V10A en de VGV7519-router, zo laat de telecomprovider aan Security.NL weten. Gisteren meldde Security.NL dat een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, het mogelijk maakt om de authenticatie te omzeilen en zo allerlei aanpassingen aan het apparaat door te voeren.

Het probleem wordt veroorzaakt door een path traversal-kwetsbaarheid in de webinterface van de apparaten. Hierdoor kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en toegang krijgen tot onderdelen van het apparaat die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen.

Om misbruik van het beveiligingslek te kunnen maken moet een aanvaller toegang tot de webinterface hebben. In het geval van de ExperiaBox V10A en VGV7519 van KPN is dit alleen mogelijk via de LAN-kant, aldus een woordvoerder van het bedrijf.

“Van buitenaf kan dat alleen indien er toegang is tot de webinterface, dit is op de KPN-modems niet mogelijk. Dat neemt niet weg dat we deze kwetsbaarheid snel willen herstellen. We zijn met de leverancier in gesprek over een oplossing. Die oplossing ligt er al en we zullen deze in de eerstvolgende software-update meenemen”, zo laat de woordvoerder verder weten. De update zal op zeer korte termijn worden uitgerold.

Lees hier verder. © Security.nl

Wat valt bij particulier cameratoezicht onder de openbare ruimte?

Juridische vraag: Recent werd weer gerapporteerd over de politiedatabase Camera in Beeld. De database geeft politie een overzicht van welke camera’s waar hangen en waar zij opnames van maken. De discussie gaat zoals elke keer over de vraag wat je nou wel en niet legaal mag filmen, wat is de “openbare ruimte” in dit verband?

Antwoord: Over het filmen van de openbare weg bij wijze van particulier cameratoezicht wordt al decennia veel geschreven. De teneur daarbij is dat het eigenlijk niet mag, omdat het een overheidstaak is om toezicht te houden op de openbare ruimte.

Dat werd nog een keer bevestigd in 2014 toen het Hof van Justitie oordeelde dat je ook als particulier onder de Wbp (en nu dus AVG) valt wanneer je aangebrachte camera’s op de openbare weg richt. Het argument daarachter was dat je zo zeer in andermans privacy treedt dat je dan gewoon je aan de regels moet houden.

Het Wetboek van Strafrecht verbiedt het met vaste camera’s filmen van de openbare weg, maar dat verbod omzeil je door de camera duidelijk aan te kondigen. Dat is in de praktijk zelden een probleem.

De vraag blijft dan, wat is “de openbare weg”, “voor het publiek toegankelijke plaatsen” of “openbare ruimte”? De wet is hier niet duidelijk in – sterker nog, de wet kent naast deze drie termen nog een handvol soort van synonieme begrippen.

Als vuistregel kun je aanhouden dat het gaat om plekken waar anderen zonder beperking ook mogen komen. De openbare weg (straten, stoepen en vrij toegankelijke parkeerplaatsen met name) valt er dus sowieso onder, maar jouw voortuin niet.

Iets lastiger ligt het bij vrij toegankelijke privéruimtes, zoals een café of winkel waar het publiek vrij naar binnen mag. Nog een stapje verder is een ruimte die alleen voor leden toegankelijk is, zoals een verenigingslokaal of de galerij van een flat.

Er is geen exacte afbakening van deze term, maar het lijkt mij logisch dat we ook dat nog “openbare ruimte” noemen gezien de strekking en het doel van deze wetgeving. Het gaat er immers om dat anderen niet zomaar bespied worden door particulieren met camera’s. Pas als je iemands privéruimte betreedt (mijn huis, mijn achtertuin) dan gaat dat belang minder zwaar wegen en is het logisch dat je je niet meer aan de AVG hoeft te houden.

Lees hier verder. © Security.nl

© MeT-Groep