Privacy/Security nieuws

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

Het Oostenrijkse gerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. De vraag draait om het verschil tussen wanneer er sprake is van toestemming en een contract.

Onder de GDPR zijn er meerdere manieren om data te mogen verwerken; zo kan er bijvoorbeeld sprake zijn van toestemming van een gebruiker, of van een contract met een gebruiker. Voor de GDPR in werking trad, sprak Facebook van toestemming van een gebruiker. Facebook zegt sinds de invoering van de GDPR echter een contract te hebben met gebruikers, voor het tonen van gepersonaliseerde advertenties.

Facebook wil hiermee Europese wetgeving omzeilen, schrijft privacyplatform None of Your Business, ofwel noyb. Voor een contract zijn er andere eisen dan voor toestemming; in het geval van een contract hoeft toestemming niet ‘vrijelijk gegeven’ te zijn, of hoeft er ook geen sprake te zijn van ‘geïnformeerde toestemming’. Dit in tegenstelling tot toestemming, waarbij deze twee eisen wel van kracht zijn. Daarom zou Facebook zeggen dat er sprake is van een contract in plaats van toestemming. Noyb schrijft van een ‘herinterpretatie’ van de GDPR.

Noyb, opgericht door activist Max Schrems, stapte daarom naar de Oostenrijkse rechter. Het gerechtshof vraagt nu om opheldering bij het Europese Hof van Justitie. Een centrale vraag is volgens het Oostenrijkse hof of Facebook inderdaad het verwerken van de gebruikersdata kan zien als een contract en daarmee de betere bescherming die gebruikers hebben als ze zelf toestemming zouden geven kan ‘ondermijnen’.

Het Oostenrijkse hof vraagt verder aan het EU-hof of Facebook volgens de GDPR wel aan genoeg dataminimalisatie doet en of Facebook wel gevoelige data zoals seksuele voorkeur en politieke voorkeur voor gepersonaliseerde reclame mag gebruiken. Met dataminimalisatie doelt het Oostenrijkse hof erop of Facebook wel alle data van Facebook.com en andere websites mag inzetten voor reclamedoeleinden. Facebook biedt bijvoorbeeld aan externe websites aan om Like-knoppen te verwerken in artikelen; deze data kan Facebook gebruiken voor reclamedoeleinden. Het hof vraagt nu of dat juridisch gezien mag.

Facebook moet in een losse zaak daarnaast vijfhonderd euro compensatie betalen aan Schrems. De activist vroeg het platform om zijn gebruikersdata, maar Facebook gaf hier geen volledige toegang toe. Volgens het hof kreeg Schrems nooit alle ruwe data, werd hem de wettelijke basis waarmee zijn data werd verwerkt niet verteld en weigerde Facebook antwoord te geven op vragen van Schrems. De boete van vijfhonderd euro ligt in lijn met een eerdere uitspraak waartegen Schrems in hoger beroep ging.

Lees hier verder. © Tweakers.net

16 jaar oude kwetsbaarheid ontdekt in laserprintersoftware HP, Samsung en Xerox

Er is een 16 jaar oude kwetsbaarheid gevonden in de drivers van HP-, Samsung- en Xerox-laserprinters. Via de kwetsbaarheid zouden aanvallers adminrechten op de systemen van slachtoffers kunnen verkrijgen. Er zijn inmiddels patches uitgebracht, die het probleem verhelpen.

Cybersecuritybedrijf SentinelOne, dat het lek opmerkte, schrijft dat in totaal ‘miljoenen verkochte printers’ kwetsbaar zouden zijn. Het betreffen allemaal laserprinters. Het gaat om zeker 380 verschillende modellen van HP en Samsung, naast twaalf verschillende laserprinters van Xerox. Er zijn volgens SentinelOne geen aanwijzingen dat de kwetsbaarheid momenteel actief wordt misbruikt.

HP heeft inmiddels patches uitgebracht, die de kwetsbaarheid moet oplossen. Die patch werkt op getroffen printers van HP en Samsung. Xerox heeft ook software-updates uitgebracht die het probleem moeten verhelpen. Gebruikers worden aangeraden om de update zo snel mogelijk te installeren. De patches moeten ook beschikbaar komen via Windows Update.

De kwetsbaarheid staat bekend als CVE-2021-3438 en krijgt een hoge ernstigheidsscore van 7,8. Via de bug zouden hackers de kwetsbaarheid kunnen uitbuiten door een buffer overflow te veroorzaken in de ssport.sys-driver, waarmee hackers adminrechten kunnen verkrijgen. De kwetsbare driver wordt automatisch meegeïnstalleerd met de printersoftware van HP, Xerox en Samsung, en wordt automatisch geladen bij het opstarten, meldt SentinelOne. De kwetsbaarheid kan ook worden uitgebuit wanneer de printer niet is aangesloten.

Lees hier verder. © Tweakers.net

Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware

Kaseya heeft op woensdag van een onbenoemde derde partij een decryptor ontvangen, waarmee bestanden die getroffen zijn door REvils ransomwareaanval weer ontsleuteld kunnen worden. Het bedrijf zegt nu klanten te helpen om hun systemen te herstellen met de tool.

De decryptietool is volgens Kaseya getest door cyberbeveiligingsbedrijf Emsisoft, dat bevestigt dat de tool werkt. Er zouden nog geen problemen zijn ontstaan door het gebruik van de tool. Kaseya gaat met teams klanten actief helpen met het herstellen van hun systemen en zegt getroffen klanten nu te contacteren.

Hoe Kaseya aan de decryptor kwam is niet duidelijk; daar geeft het bedrijf geen details over. REvil bood aan de tool te verkopen voor 42 miljoen euro, al is de website van de groep sinds vorige week offline.

De supplychainaanval op Kaseya begon eerder deze maand en trof ruim duizend bedrijven. Een van de slachtoffers was de Zweedse supermarktketen Coop, die ruim de helft van zijn achthonderd winkels moest sluiten als gevolg van de cyberaanval. Kaseya maakt software voor managed service providers; bedrijven die het ict-beheer doen voor andere, kleinere organisaties. Tweakers schreef eerder een achtergrondartikel over de Kaseya-aanval.

Lees hier verder. © Tweakers.net

TikTok krijgt AVG-boete van 750.000 euro voor Engelstalige privacyverklaring

De Autoriteit Persoonsgegevens heeft een boete van 750.000 euro opgelegd aan TikTok. De app heeft de privacy van Nederlandse gebruikers geschonden door de privacyverklaring alleen in het Engels aan te bieden.

Het gaat om een boete voor de Amerikaanse TikTok-tak, die weer onderdeel is van het Chinese moederbedrijf ByteDance. Volgens de Autoriteit Persoonsgegevens schendt de app de AVG in ieder geval sinds de inwerkingtreding van de wet. “De AP stelt vast dat TikTok Inc. haar privacybeleid aan Nederlandse gebruikers heeft verstrekt in uitsluitend de Engelse taal”, schrijft de privacytoezichthouder in het boetebesluit.

De privacytoezichthouder begon in mei vorig jaar een onderzoek naar TikTok. De AP wilde weten welke persoonsgegevens de app verzamelt en verwerkt. In het boetebesluit beschrijft de AP dan ook verschillende conclusies over dataverzameling, maar die lijkt in lijn te zijn met de privacywet. Het was destijds niet bekend of de AP naar een specifieke overtreding zocht.

TikTok is niet transparant over het verzamelen van gebruikersdata, zegt de AP. Dat heeft te maken met hoe ‘transparantie’ moet worden gedefinieerd. In de AVG staat dat verwerkingen in ‘begrijpelijke vorm’ en in ‘duidelijke en eenvoudige taal’ moeten worden uitgelegd aan gebruikers. De AP wijst erop dat ‘een substantieel deel’ van de Nederlandse gebruikers jonger is dan zestien jaar. “Deze jonge doelgroep brengt een extra verantwoordelijkheid mee waar het gaat om het gebruik van duidelijke en eenvoudige taal in alle communicatie”, schrijft de toezichthouder. TikTok had kunnen weten dat die jonge gebruikers Engels niet goed genoeg zouden snappen om te begrijpen waarmee ze precies akkoord gingen. Daarmee overtreedt de app artikel 12 van de AVG. Dat is de enige grond waarop TikTok de boete krijgt.

De boete valt binnen de derde categorie van de AP’s boetebeleidsregels. 750.000 euro is daarbij de maximale boete. De toezichthouder keek bij het vaststellen van de boete met name naar het feit dat kinderen werden getroffen, die de AP een ‘kwetsbare groep personen’ noemt. “Dit maakt de overtreding extra ernstig”, aldus de toezichthouder. Ook de duur van de overtreding, namelijk sinds 25 mei 2018 tot nu, maakt de overtreding ‘aanzienlijk’.

De AP vroeg in oktober 2020 commentaar bij het bedrijf. TikTok ontkende de beschuldigingen niet, maar concludeerde dat de AP niet bevoegd was om op te treden tegen het bedrijf omdat het Europese kantoor in Ierland is gevestigd. Het bedrijf wijst er ook op dat verschillende functies zijn aangepast of verwijderd voor gebruikers onder de zestien jaar. Zo worden dergelijke accounts sinds januari 2021 standaard op privé gezet en zijn functies zoals Duet en Stitch niet meer voor hen beschikbaar. Pas vanaf 29 juli van dit jaar wordt het privacybeleid ook in het Nederlands aangeboden.

Het bedrag van 750.000 euro is de op een na hoogste boete die de AP tot nu toe in Nederland uitdeelde. De tot nu toe hoogste boete was voor het Bureau Krediet Registratie, dat 830.000 euro moest betalen voor het vragen van geld voor inzage in dossiers.

Lees hier verder. © Tweakers.net

‘Investeren in anti-ransomwaretechnologie is niet genoeg’

Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) windt er geen doekjes om: ransomware is inmiddels zó gevaarlijk dat de nationale veiligheid in het geding is. Tegelijkertijd denkt slechts de helft van alle organisaties een aanval met gijzelsoftware het hoofd te kunnen bieden, zo blijkt uit onderzoek. Volgens

Nick Deen, marketingmanager bij beveiligingsbedrijf Mimecast, is er dan ook veel werk aan de winkel. “Organisaties maken zich zorgen over hun weerbaarheid tegen ransomware, en die zorgen lijken terecht.”
Onderzoekers van de NCTV luiden de noodklok in het Cybersecuritybeeld Nederland 2021. Volgens hen vormen ransomware-aanvallen momenteel een directe bedreiging voor allerlei overheidsdiensten, en kunnen ze belangrijke vitale processen platleggen. Aanvallen met gijzelsoftware zijn bovendien allesbehalve zeldzaam. Volgens onderzoek van Osterman Research kreeg 85 procent van de ondervraagde organisaties de afgelopen twaalf maanden een aanval te verduren. Bijna een derde kreeg zelfs vier of meer aanvallen voor de kiezen. Een groot deel daarvan betrof een aanval met ransomware.
Niet voor niets maken veel organisaties zich zorgen. Over cybercriminaliteit in het algemeen, en ransomware in het bijzonder. Volgens de onderzoekers liggen leidinggevenden het vaakst wakker van onderstaande scenario’s:
– Pogingen tot phishing die hun weg vinden naar eindgebruikers (65 procent).
– Medewerkers die phishing- en social engineering-aanvallen niet opmerken voordat ze op een link of bijlage klikken (64 procent).
– De schending van bedrijfsgegevens door een ransomware-aanval (61 procent).
– Ransomware-aanvallen die met succes endpoints infecteren (59 procent).
– Het onvermogen om te voorkomen dat ‘zerodays’ een bedreiging vormen voor systemen en toepassingen (56 procent). 

Lees hier verder. © ManagersOnline

© MeT-Groep