De Digitale Media van 19 december 2016

160922095225-yahoo-hack-780x4391

Onderwerpen:

  • Hackers hadden 3 jaar vrij spel met Yahoo accounts
  • Hoe kan het dat Google soms beangstigend helderziend is
  • Google, Apple en Uber weigeren mee te werken aan moslimregister
  • Cookiemelding lijkt te verdwijnen

Hackers hadden 3 jaar vrij spel met Yahoo-accounts

Bron: Computerworld – Ze hadden toegang tot de grootste database met emailadressen, en niemand wist ervan. Beveiligingsonderzoekers staan er versteld van dat Yahoo er drie jaar over deed om erachter te komen dat er in 2013 1 miljard gebruikersaccounts waren gestolen.

It means that someone – possibly a state-sponsored actor – had access to one of the largest email user bases in the world, without anyone knowing. The stolen database may have even included information on email ids of U.S. government and military employees. “It is extremely alarming that Yahoo didn’t know about this,” said Alex Holden, chief information security officer with Hold Security.

Yahoo said back in November it first learned about the breach when law enforcement began sharing with the company stolen data  that had been provided by a hacker. At the time, the company was already dealing with a separate data breach, reported in September, involving 500 million user accounts.

However, this hacker was apparently sitting on another mother lode of stolen Yahoo data, but it’s still unclear how the theft occurred.

Holden, who investigates online black markets, said there was always chatter among underground dealers that someone had made away with a massive trove of information from the internet firm. “Hackers allegedly had small samples, but they had never seen the full data set,” Holden said.

But the stolen data never appeared to be widely circulated to make a major profit, he said. It suggests that state-sponsored hackers may have been behind the breach, and wanted to keep the data secretly to themselves. “This information would have been distributed widely if cyber criminals were involved,” Holden said. “But right now, that seems not to be the case, even two or three years later.”

Private security firm InfoArmor may have actually discovered details about the Yahoo data breach earlier this year. In September, the company claimed it had found a stolen database allegedly belonging to Yahoo that was obtained from elite hackers-for-hire.

Yahoo, however, didn’t comment on the company’s finding, making it unclear if the data was legitimate.

InfoArmor has claimed that a hacking team called “Group E,” likely out of Eastern Europe, breached Yahoo and sold the data in three private deals. At least one of the buyers was a state-sponsored actor, said Andrew Komarov, InfoArmor’s chief intelligence officer, in an email on Wednesday.

The security firm has shared its findings with law enforcement agencies in the U.S., U.K., Australia and Europe. It said the stolen database it found also has information relating to over 150,000 U.S. government and military employees. Backup email addresses included in the discovered dump contain .gov and .mil domain names, said Komarov, who called the Yahoo breach a “matter of national security.” The stolen data “may allow the threat actors to identify government employees very quickly,” he said.

The FBI has only said its investigating the Yahoo hack, and on Wednesday, the agency didn’t provide any new details.

Yahoo also hasn’t mentioned who might have pulled off the intrusion, except to say an “unauthorized third party” was involved. Still, the recent data breaches at the company highlight the need for the tech industry to constantly be on guard against cyber threats, a security expert said.

“The lesson is clear: no organization is immune to compromise,” said Jeff Hill, director of product management for security provider Prevalent, in an email. “Criminal actors can do significant damage in days and weeks; give them years, and all bets are off.”

Bron: NU – De data die werd gestolen bij een grote hackaanval op Yahoo in 2013 is drie keer verkocht voor 300.000 dollar (287.000 euro).
Dat vertelt beveiligingsexpert Andrew Komarov, die de hack ontdekte, aan Bloomberg.

De database werd op het dark web verkocht door ‘Group E’, dat beweert dat er tussen de 500 miljoen en 1 miljard accounts in het datapakket zitten.

Yahoo werd in 2013 door hackers getroffen, waarbij de gegevens van 1 miljard gebruikers werden gestolen. De hack kwam in augustus 2016 aan het licht, waarna Yahoo er over deze week officieel melding van deed.

De gestolen data werd twee keer gekocht door spammers, die hiermee vermoedelijk meer mensen konden bereiken. De derde koper is volgens Komarov waarschijnlijk een inlichtingendienst, die wilde zien of er specifieke mensen op de lijst staan.

De hackers die Yahoo aanvielen hebben volgens Komarov data van nog meer instanties in handen, waaronder Dropbox en MySpace. In totaal zou de groepering 3,5 miljard accounts bezitten.

ok-google-not-listening1

Hoe het kan dat Google soms beangstigend helderziend is

Bron: Computerworld – Luistert het bedrijf mee via microfoons? Nee. Zou het dat moeten doen? Hoe weet Google soms waar je het net over had in een gesprek? Mensen maken zich zorgen dat Google microfoons in smartphones gebruikt om te luistervinken, maar de verklaring van dit effect is veel minder sinister.

Ik vroeg dit onlangs aan mijn volgers op Google+ en iemand schreef: “Als mijn vrouw en ik het hebben over een willekeurig onderwerp, bijvoorbeeld hoe lang schildpadden leven en ik tik vervolgens ‘hoe’ dan komt er in de balk ‘lang leven schildpadden’, alsof Google net meeluisterde. Ik ben dan doodsbang en tegelijk onder de indruk.”

Microfoon luistert mee?
Ik vind veel van dit soort anekdotische bewijs dat overtuigend klinkt. Mensen zeggen dat AutoAanvullen niet alleen heel specifiek nauwkeurig is, maar zelfs persoonlijk. Een reactie vertelde dat hij een adres in een telefoongesprek te horen kreeg en toen hij het begon te tikken, werd het volledige adres correct aangevuld. Eén reactie zei zelfs stellig: “De microfoon luistert altijd mee.”

Google is voorzichtig met waar, wanneer en hoe er audio wordt opgenomen. Google krijgt alleen opnames in handen als je een spraakgestuurd product gebruikt, zoals de functie in de zoekapp of de assistent in Allo, Chrome, Pixel-toestel of Google Home-apparaat. Daarnaast moet je een gerichte handeling uitvoeren, door de microfoon-knop aan te tikken of via een spraakcommando als “OK Google”.

Audio verwijderen
Google past vervolgens spraakherkenning toe op wat je zegt en deze woorden worden verwerkt om je verzoek of opdracht uit te voeren. Google bewaart deze opname om de software te verbeteren. Het bedrijf probeert hier heel transparant in te zijn en je ziet een gedetailleerde geschiedenis van elke bewaarde opname naast alle andere details over je gebruik van Google in de pagina Mijn Activiteit bij je Google-instellingen (je kunt de opgeslagen resultaten filteren op ‘Spraak en audio’).

De opnames worden weergegeven op datum en dienst, bijvoorbeeld ‘Google Assistent’ of ‘Google-app’. Links zie je de opdracht weergegeven in tekst en als je daarop klikt, krijg je de resultaten te zien. Rechts heb je een knopje ‘Afspelen’ om de bewaarde opname terug te horen. Je kunt de details van individuele opdrachten bekijken, los verwijderen, of de hele bundel in een keer verwijderen via ‘Activiteit verwijderen op basis van’ en ‘Spraak en audio’ aan te vinken.

Per ongeluk
Het is onwaarschijnlijk dat er per ongeluk een opname gemaakt wordt. Op een telefoon moet je ontgrendelen en een specifieke actie uitvoeren, zoals tikken op het pictogram van een microfoon. Een Pixel kun je wel zo configureren dat hij automatisch luistert als je een Vertrouwde Stem instelt, waarna hij reageert als je ‘OK Google’ zegt. Dat werkt hetzelfde bij Google Home-apparaten.

Op de myactivity-pagina is te lezen: “In de activiteiten van uw assistent worden gesprekken opgeslagen die u met de Google Assistent heeft gevoerd, waardoor deze u beter kan helpen en bepaalde aanpassingen, zoals uw naam en uw interesses, onthoudt.”

20firstdraft-trump3-facebookjumbo1

Google, Apple en Uber weigeren mee te werken aan moslimregister

Bron: NU – Google, Apple en Uber weigeren mee te werken aan het opzetten van een moslimregister, mochten ze daarvoor worden gevraagd door de toekomstige regering van Donald Trump in de VS. 

De techbedrijven zeggen ook geen informatie te willen leveren voor zo’n register, in antwoord op vragen van nieuwssite Buzzfeed.

Toekomstig Amerikaans president Donald Trump beloofde tijdens de verkiezingen de migratie in de Verenigde Staten stevig aan te pakken. Hij wilde ook mensen uit moslimlanden visa weigeren vanwege terrorisme.

Op de hypothetische vraag of Apple, Google en Uber aan een register willen meewerken, is het antwoord van alledrie een stevig ‘nee’.

Voorstel
“We zijn niet gevraagd, natuurlijk doen we dat niet en we zijn blij dat het ernaar uitziet dat – voor zover we hebben kunnen lezen – er niet zo’n voorstel op tafel ligt”, zei een woordvoerder van Google.

Apple pleit in een reactie voor gelijkheid. “Wij vinden dat mensen op gelijk wijze moeten worden behandeld, ongeacht hoe ze aanbidden, hoe ze eruit zien of wie ze liefhebben.” Uber zei enkel ‘nee’.

Amazon en softwaremaker Oracle hebben niet gereageerd op de vraag van Buzzfeed. Alphabet-CEO Larry Page, Apple-CEO Tim Cook en Oracle-CEO Safra Catz hadden dinsdag een ontmoeting met Trump in New York.

privacy-homepage-image

Cookiemelding lijkt te verdwijnen

Bron: AG Connect – Afschaffing van de cookiebanner, een grotere rol voor opt-in, een uitdrukkelijk verbod om ongevraagd gegevens van apparaten van eindgebruikers uit te lezen, een centrale rol voor de browser bij het beheren van privacy-instellingen, minder mogelijkheden voor Europese landen om een uitzonderingspositie in te nemen en toepasbaarheid van de regels op concurrenten van telecomdiensten als Facebook, Skype en Whatsapp.

Dat zijn in een notedop de belangrijkste elementen in een voorstel voor aanpassing van de e-Privacyverordening. Dat voorstel lekte eerder deze week uit. Of het definitieve voorstel er precies zo uit zal zien, blijkt pas in januari. Maar het concept maakt wel de denkwijze van de Europese Commissie duidelijk.

Het concept-voorstel constateert – mede op basis van evaluaties met betrokkenen – dat doelstellingen en uitgangspunten van de ePrivacy Directive niet aan geldigheid hebben ingeboet. Technische veranderingen en fragmentatie in het traject van invoering van de huidige regels in de lidstaten vragen echter wel om het aanhalen van de teugels, stelt het concept.

Handen af van het apparaat van de eindgebruiker. Zo kun je het principe samenvatten dat het voorstel vastlegt. Apparaten waarmee gebruikers in contact treden met communicatienetwerken bevatten gevoelige informatie,  en die moet beschermd worden tegen ongewenst uitlekken. Iedere bemoeienis via het netwerk met het apparaat van de gebruiker wordt daarom in het voorstel verboden, tenzij die gebruiker daar vooraf toestemming voor heeft gegeven. Die toestemming is alleen geldig wanneer de gebruiker in heldere termen verteld is wat de bedoeling is. Verzamelde gegevens mogen bovendien alleen gebruikt worden voor nauwkeurig omschreven, specifieke doeleinden. Het stiekem monitoren van gebruikersacties online of het vastleggen van hun locatie zijn verboden activiteiten, geeft het voorstel als voorbeeld.

HET MOET GEBRUIKSVRIENDELIJKER
Methodes om toestemming te geven voor verwerking van persoonlijke data moeten zo gebruiksvriendelijk mogelijk worden ingericht, stelt het voorstel. De huidige praktijk in de online wereld leidt namelijk tot overbelasting van de eindgebruiker. Waar mogelijk dienen de privacy-instellingen in de browser of eventueel een andere applicatie geregeld te worden, en bindend te zijn voor alle derden, stipuleert het voorstel.

COOKIE-INSTELLINGEN CENTRAAL VIA DE BROWSER
Datzelfde gemak moet ook gelden voor de omgang met cookies, vindt de Europese Commissie. De huidige praktijk met cookie-banners is nu niet bepaald bevorderlijk voor prettig internetten. En dat moet dus veranderen. Onder de nieuwe regels moeten aanbieders van software waarmee gebruikers het internet op kunnen, bij de eerste keer dat deze gebruikt wordt vragen om zijn privacyinstellingen op te geven. Dat kan uiteenlopen van alle cookies accepteren tot geen enkele cookie accepteren. Als de gebruiker geen keus maakt, zal standaard de laatste optie moeten gelden. Bij voorkeur zouden browsers ook moeten melden wanneer een website een cookie wil plaatsen. Met die aanpassingen wordt de cookie-banner overbodig. Bedrijven zullen nog onder voorwaarden nog wel een cookiewall mogen hanteren. Het weren van bezoekers die cookies niet wensen te accepteren is echter alleen nog toegestaan wanneer de bezoeker alternatieven ten dienste staan.

FACEBOOK, SKYPE EN WHATSAPP NIET LANGER BUITEN SCHOT
Het juridisch team van de DDMA wijst er daarnaast op, dat diensten als Facebook, Skype en WhatsApp in de nieuwe regeling niet langer buiten schot blijven. Applicaties die over internet worden aangeboden, vallen tot nog toe niet onder de ePrivacy Directive – die als onderdeel van de telecommunicatiewetgeving regels stelt over de omgang met gegevens telecommunicatienetwerken. Omdat dergelijke in het voorstel als ‘over the top’-communicatiediensten voor de consument vergelijkbare functies vervullen als meer traditionele methoden van telecommunicatie, is zo’n uitzonderingspositie niet langer gewettigd. Dat betekent dat deze OTT-diensten – net als telecomaanbieders – de vertrouwelijkheid van communicatiediensten te waarborgen. Omgekeerd krijgen de traditionele telecomaanbieders onder voorwaarden de mogelijkheid om metadata te gebruiken voor het aanbieden van aanvullende diensten – wat op dit moment nog verboden is.

Verder signaleert de DDMA dat alle digitale communicatie voor marketingdoeleinden waarschijnlijk opt-in wordt, tenzij het om bestaande klanten gaat. Bij telemarketing kunnen lidstaten die dat willen een uitzondering maken. Veel meer speelruimte biedt de nieuwe ePrivacy Directive echter niet, constateert de DDMA, als deze in de huidige versie wordt aangenomen. Het voorstel spreekt namelijk niet van een richtlijn, maar van een verordening. Die term impliceert dat het voorstel direct van toepassing is op alle EU-landen op het moment van invoering.

Het is natuurlijk nog heel goed mogelijk dat op weg naar een definitieve verordening – of richtlijn – nog de nodige elementen sneuvelen. Maar de toon voor de discussie is wel gezet.

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s