Categorie op Privacy

LastPass bevat zeven datatrackers in de Android-app, ook van marketingbureaus

Wachtwoordmanager LastPass bevat zeven trackers in de Android-app, waaronder vier van Google en drie van marketingbureaus, die mogelijk data verzamelen over gebruikers. Het is niet duidelijk welke data precies verzameld en gedeeld wordt met derden.

De trackers werden opgemerkt door de Duitse beveiligingsonderzoeker Mike Kuketz in een analyse van non-profit hacktivistenorganistie Exodus. Volgens de Exodus-rapportage gaat het om trackers van Google Analytics, Google CrashLytics, Google Firebase Analytics en Google Tag Manager en trackers van marketingdiensten MixPanel, AppFlyers en Segment. “Voor een app die zulke extreem gevoelige gegevens, namelijk wachtwoorden, verwerkt, is dit een zwaktebod”, zegt Kuketz in een blogpost. De trackers zitten in de Android-versie van LastPass, versie 4.11.18.6150.

Ook noemt Kuketz de trackers daarnaast een beveiligingsrisico, omdat volgens hem code van derden niet thuishoort in apps waar gevoelige gegevens zoals wachtwoorden worden verwerkt. “Welke gegevens deze modules verzamelen en doorsturen naar externe providers zijn soms zelfs niet bekend bij de app-ontwikkelaars zelf, die deze modules in hun apps integreren.” Met Exodus kan de beveiligingsonderzoeker wel zeggen dat de trackercode aanwezig is in de Android-app van LastPass, maar hij kan niet met zekerheid zeggen of de trackers ook actief zijn. Daarvoor keek hij naar het netwerkverkeer van de app.

Volgens hem neemt de app elke keer bij opstarten contact op met bijna elke trackingprovider, en deelt deze in ieder geval informatie over het mobiele apparaat en de versie van Android, de telecomprovider, of de gebruiker wifi of 4G gebruikt, welk type LastPass-account iemand heeft en de Google Advertising ID. De uitgestuurde data laat tijdens gebruik ook zien wanneer nieuwe wachtwoorden aangemaakt worden en wat voor soort wachtwoorden dit zijn. Kuketz zegt dat het onwaarschijnlijk is dat wachtwoorden of gebruikersnamen verstuurd worden.

Waar worden de trackers voor gebruikt?

Lees hier verder. © Tweakers.net

‘Klarna beschermt onvoldoende tegen identiteitsfraude’

Klantenaccounts van de betaaldienst Klarna kunnen worden overgenomen en misbruikt door derden. Dat blijkt uit onderzoek van de Consumentenbond die Klarna oproept zijn beveiligingssysteem aan te passen.

Bij het afrekenen met Klarna vraagt deze betaaldienst niet om een wachtwoord. Het invullen van enkele persoonsgegevens is voldoende. Ook is er geen (zichtbare) tweestapsverificatie vereist bij de betaling.

De Consumentenbond ontdekte in september 2020 bij toeval dat het mogelijk is om een bestelling te plaatsen op naam en rekening van een ander. En om vervolgens het product naar zichzelf op laten sturen.

In een reactie liet Klarna toen weten dat het een incident betrof en dat de beveiliging van het betaalsysteem op orde is.

In januari 2021 bestelden onderzoekers van de Consumentenbond bewust nog eens 10 keer producten via een account van een ander. Met succes. Ook nu reageert Klarna lauw. De Consumentenbond: ‘Het is onvoorstelbaar hoe laconiek en afwachtend het bedrijf reageert. We willen van Klarna concreet horen hoe het de beveiliging gaat opschroeven. Ook zullen we ons onderzoek over een aantal weken herhalen om te zien of het lek gedicht is.’

De Consumentenbond raadt consumenten met een Klarna-account aan om hun mail, spambox en Klarna-app goed in de gaten te houden. En om daarnaast hun bankrekening te controleren op onduidelijke afschrijvingen.

Klarna reageert uitgebreid bij het progranmma Kassa: ‘We nemen meldingen van fraude zeer serieus en maken gebruik van geavanceerde technologie om fraude en frauduleus gedrag op te sporen, waaronder veel verschillende variabelen voor elke aankoop.’

Een klant die herhaaldelijk bij Klarna terugkeert, verschillende achtereenvolgende bestellingen plaatst en op tijd betaalt, bouwt met al deze interacties bij Klarna een aanzienlijke digitale voetafdruk op. ‘We gebruiken deze informatie om het risico van transacties in te schatten. Elke afzonderlijke aankoop via Klarna wordt op deze manier real time beoordeeld en gedurende dit proces maken we gebruik van honderden variabelen.’

In het uitzonderlijke geval van een succesvolle frauduleuze transactie treedt Klarna’s Koperbescherming in werking en dekt het bedrijf alle kosten.

© Emerce

Opinie: Waarom privacy zo belangrijk is (en je altijd iets te verbergen hebt)

“Waarom ‘Ik heb niets te verbergen’ echt niet meer kan.” Een aantal jaren geleden was dit de titel van een artikel van mij op een andere website. Helaas wordt deze term nog steeds gebezigd en is het dus hoog tijd voor een herinnering, want je hebt altijd wat te verbergen, en meer dan je denkt.

Waarom is privacy belangrijk?

Heel veel instanties met kennis van privacyzaken geven een hele duidelijk uitleg over het belang van je privacy. Samenvattend kun je zeggen: Privacy gaat erover dat jij de regie houdt. Zodat je vrij kunt zijn in wie je bent en wat je doet.

….

Kun jij nog altijd leven met “Ik heb niks te verbergen”? Dan wil ik nu van je weten:

  • wat je vijfcijferige pincode van je ING-app is
  • en wat de pincode van je smartphone is
  • wat de reden van je laatste huisartsbezoek is geweest
  • met hoeveel mannen/vrouwen je naar bed bent geweest
  • wat de inloggegevens van het salarissysteem zijn waar je je loonstrookjes elke maand downloadt 
  • of je teennagels bijt
  • of je ooit een SOA hebt gehad
  • of je ooit vreemd bent gegaan, wanneer en met wie 

Oh ja, als we dan toch bezig zijn, dan wil ik ook graag een kopie van je identiteitsbewijs. Daarmee kan ik dan identiteitsfraude plegen, en op jouw naam een nieuwe Galaxy S21 Ultra kopen, en voor mijn broer ook eentje. Wel de variant met 16 GB RAM en 512 GB opslag. Dat is dan 1429 euro keer twee, dat is dan 2.858 euro.

Lees hier verder. © AndroidWorld

‘Spionagepixel’ in e-mails blijft groot risico voor privacy

Steeds meer adverteerders steken ‘spionagepixels’ in hun e-mails. Die praktijk is aan een opmars bezig en vormt een risico voor onze privacy.

De Britse openbare omroep BBC liet een onderzoek uitvoeren door berichtendienst Hey. Die kon vaststellen dat twee derde van de e-mails die via het platform verstuurd werden een ‘spionagepixel’ bevatte. Daarbij werd zelfs geen rekening gehouden met spamberichten. Medeoprichter van Hey David Henemeier Hansson heeft het in een interview met de BBC over een “groteske schending van de privacy.” Experts trekken ook in twijfel of bedrijven altijd voldoende transparant zijn over de manier waarop ze gegevens verzamelen. Volgens Hey gebruiken zowat alle grote merken zulke pixels in hun reclamecampagnes. Alleen big tech-bedrijven zouden dat niet doen. Marketeers counteren de kritiek. Volgens hen is het een gebruikelijke manier van werken en vermelden ze dat ook in hun privacyverklaring. 

De pixel wordt meestal meegestuurd als een .jpg- of .png-bestand van 1 op 1 pixels groot. Die bevindt zich in de hoofding, voettekst en soms ook in de tekst van de e-mail. Omdat ze vaak de kleur van de achtergrond hebben, is het zo goed als onmogelijk om ze met het blote oog te spotten. Ontvangers hoeven ook nergens op te klikken om de pixel te activeren. Ze geven dus nergens hun uitdrukkelijke toestemming. De pixel kan registreren wanneer en hoe vaak een e-mail geopend werd, vanop welk toestel en waar de gebruiker dat deed. Via het IP-adres kan men die locatie soms tot op straatniveau bepalen. “Dat het merendeel van de bevolking zich niet eens bewust is van de mogelijke aanwezigheid van zo’n pixel, doet toch vragen rijzen”, zegt Hansson aan de BBC. “Gemiddeld krijgen klanten van Hey 24 e-mails per dag die hen proberen te bespioneren. We verwerken elke dag meer dan een miljoen e-mails en zijn dan nog maar een hele kleine speler in vergelijking met reuzen als Gmail”, weet hij. 

Wetgever greep nog niet in  

Europa legde in 2003 de Privacy and Electronic Communications Regulations (PECR). In 2016 kwam er de General Data Protection Regulation (GDPR) bij. Daarin wordt nochtans gezegd dat bedrijven hun ontvangers moeten informeren over de pixels. In de meeste gevallen moeten ze zelfs om expliciete toestemming vragen. Dat dit in de praktijk niet vaak gebeurt, vormt toch een risico voor de privacy. De European Data Protection Supervisor (EDPS) gaf vorige week aan werk te zullen maken van een verbod op tracking voor advertentiedoeleinden. Wellicht geldt dat straks ook voor spionagepixels in e-mails. 

Kan je spionagepixels tegenhouden?

Wie zich bewust is van het privacylek kan een aantal zaken doen om de spionagepixels zoveel mogelijk buiten te houden. Een strenge, maar niet altijd even praktische optie is de afbeeldingen van e-mails standaard verbergen. Het nadeel is dat dan uiteraard ook alle andere afbeeldingen uit de e-mail onzichtbaar blijven. Soms heb je die echt wel nodig.

Er bestaan ook browser-extensies die de pixels weren. PixelBlock voor Chrome herkent spionagepixels en geeft dat aan met een rood icoontje. Voor Firefox is er Trocker, dat naast pixels ook trackingslinks kan identificeren en afzonderen.

© Techpulse

Privacy begint bij je zoekmachine, 5 alternatieven voor Google

Google is veruit de meest bekende zoekmachine ter wereld en weet je als geen ander te brengen naar de juiste content op het internet die je zoekt. Al weten we natuurlijk dat Google ook maar al te graag je zoekgedrag gebruikt voor advertentiedoeleinden. Terwijl je zoekt, ben jij in feite Googles product. Dit zijn vijf privacy vriendelijke alternatieven die je moet proberen.

1. DuckDuckGo
2. Qwant
3. Ecosia
4. SearX
5. Startpage

Lees hier verder. © AndroidWorld