Datingsite verliest privegegevens 28 miljoen mensen

De gratis online datingsite Plenty of Fish is de privégegevens van 28 miljoen leden verloren, zo heeft de oprichter van de site laten weten. Eén of meerdere aanvallers maakten gebruikersnamen, e-mailadressen en wachtwoorden buit (bron).

Nou, daar zat je dan. Lekker anoniem, met een nickname te proberen je leven nog enigszins kleur te geven. Op zoek naar een date vanuit je luie, veilige, stoel omdat het in de kroeg maar niet wilde lukken (ja, oke, is misschien een wat gekleurde stelling). Nu ligt je hele ziel en zaligheid op straat en ben je niet anoniem meer.

Ik kende de site niet en moest uiteraard direct even een kijkje nemen. Even de zoektermen aanpassen en je ziet de Nederlandse profielen. Ik geloof niet dat ik iemand ken, maar moet ook direct toegeven dat ik niet verder heb gekeken dan de eerste pagina.

Volgens Frind ging het om een ongekend goed geplande en geraffineerde aanval. Uitgevoerd door de Argentijnse beveiligingsonderzoeker Chris Russo. Zoals uit het verdere bericht te lezen is, is degene die de aanval pleegde inmiddels bekend. Ook zo benieuwd wat er nu zal gebeuren? Waarschijnlijk niet zoveel want hoewel het internet weinig (lands)grenzen kent, kent de wetgeving die nog wel.

Om daar echt iets aan te doen moeten we de oude gedachte van landsgrenzen los laten. Geen afzonderlijke landen meer, slechts 1 politiek bestuur (een hele berg bezuinigen), 1 munt (geen economische crisis meer), 1 taal (geen miscommunicatie meer). Wat zou de wereld toch heerlijk eenvoudig kunnen zijn…

Virtuele verkrachting

Vandaag gaan we nog even door met het bericht waar we gisteren mee geëindigd zijn.

Eenmaal toegang tot de e-mailaccounts wijzigde hij het wachtwoord. Vervolgens doorzocht Bronk de inbox op naaktfoto’s, die hij vervolgens naar alle contacten in de adreslijst stuurde. Ook wist hij van verschillende slachtoffers het Facebook-account over te nemen door een nieuw wachtwoord aan te vragen. Het nieuwe wachtwoord werd dan naar het e-mailadres gestuurd dat hij al had overgenomen. In veel gevallen plaatste Bronk de naaktfoto’s ook op Facebook en andere internetsites.

Het is natuurlijk al erg genoeg dat je emailaccount gekraakt wordt, maar als ze vervolgens dan ook nog de informatie (de naaktfoto’s in dit geval) doorgaan sturen aan al je contacten dan maakt dat het er alleen maar erger op. Moet je je voorstellen, je kunt je waarschijnlijk nooit meer vertonen in je vrienden groep (of je hebt er ineens allemaal fans bij, dat kan natuurlijk ook). Dan voel je je toch letterlijk in je eer aangetast.

Aan de hand van de informatie in de foto’s wisten de autoriteiten verschillende slachtoffers op te sporen. In totaal deden 46 slachtoffers aangifte, die de acties van Bronk “virtuele verkrachting” noemden (bron).

“Virtuele verkrachting”, als je het begrip leest zonder dat je er de achterliggende informatie bij hebt dan kun je je er weinig bij voorstellen. Maar met dit bericht erbij, wordt het ineens een begrip dat in de Dikke van Dalen voor 2011 kan worden opgenomen. Overigens kan er naast virtuele verkrachting natuurlijk ook een aanklacht worden ingediend voor schending van de privacy en inbraak in computersystemen.

Ben heel benieuwd welke straf deze man boven zijn hoofd hangt. En een simpel advies is natuurlijk om dergelijke foto’s niet in je inbox te laten staan (nog los van de vraag waarom je sowieso zulke foto’s wilt hebben en bewaren, het gaat zo vaak mis…maar goed iedereen is oud en wijs genoeg om voor zichzelf dat besluit te nemen).

Veiligheid webwinkels nauwelijks verbeterd

Mosterd na de maaltijd. Hebben we net allemaal onze sinterklaas en kerstkado’s weer gekocht via internet en hebben we meer uitgegeven dan ooit tevoren krijgen we te horen dat het met de beveiliging van de webwinkels nog slecht gesteld is.

Vergeleken met een jaar geleden is er vrijwel niets veranderd wat betreft de veiligheid van webwinkels die gebruik maken van de betaalmethode iDeal
(bron).

Nu is dat natuurlijk minder leuk voor alle consumenten waarvan de gegevens op straat liggen. Maar vanuit business optiek biedt ook dit weer enorme kansen voor dit nieuwe jaar.

Van die websites verzendt 86 procent de persoonsgegevens van consumenten over een onveilige verbinding. Slechts veertien procent voldoet aan de eisen die de Wet bescherming persoonsgegevens (Wbp) voorschrijft. In 2009 was dat twaalf procent.

Slechts 14% voldoet aan de wettelijk gestelde eisen. Ehm, wordt het niet eens tijd dat hier wat aan gedaan wordt? Wordt het niet eens tijd dat het College Bescherming Persoonsgegevens er eens stevig naar gaat kijken? Zolang er weinig druk op staat, zo lang er nauwelijks boetes worden uitgedeeld zal het wel zo blijven.

Toch kun je er niet omheen dat juist ook dit een vorm van oneerlijke concurrentie is. Iedere winkelier met een winkel moet aan allerlei eisen voldoen, voldoet hij niet dan krijgt hij een stevige boete. Juist dit soort regels maken het houden van een winkel duurder dan het verkopen via internet (vanuit je garage of schuur).

Te weinig internet winkels die blijkbaar de link naar de zelfevaluatie van het College hebben gevonden. Nou voor een keer dan de link naar deze zelfevaluatie.

En voor al die ondernemers die het toch maar liever niet zelf doen, maar die wel hun klanten de juiste bescherming willen geven: ik kom jullie er graag bij helpen.

Google aangeklaagd na ondergoed op Street View

Je kan natuurlijk ook doorschieten…

Een Japanse vrouw heeft Google aangeklaagd omdat haar waslijn met ondergoed op Street View te zien was. “Ik was vol angst dat ik het slachtoffer van een zedenmisdrijf zou worden. Het zorgde ervoor dat ik mijn baan verloor en ik naar een andere plek verhuisde”, aldus de vrouw (bron).

Ben heel benieuwd wat de rechter hier als uitspraak gaat doen. Als besloten wordt in het voordeel van deze vrouw dan kan Google waarschijnlijk veel meer aanklachten tegemoet zien. “Je hebt mijn voordeurbel in Streetview staan, nu ben ik bang dat mensen aan gaan bellen”. Als je het zo stelt is het natuurlijk te gek voor woorden.

Maar denk je nu eens in dat je net je gloednieuwe BMW 7 serie (of welke andere auto dan ook) netjes op je oprit hebt geparkeerd. Criminelen maken wel degelijk gebruik van Streetview en kunnen gemakkelijk achterhalen waar spullen te halen zijn. Is het dan nog zo gek dat er mensen zijn die tegen Streetview zijn?

Persoonlijk vind ik Streetview machtig mooi, maar dan wel met deze dubbele gevoelens erbij.

Nederland sluit DNA-verdrag met VS

Zeg maar dag tegen je privacy (en je geplande vakantie naar Amerika):

De Nederlandse overheid heeft een verdrag met de Amerikaanse overheid gesloten voor het uitwisselen van DNA-profielen en vingerafdrukken van verdachte personen. Minister Opstelten van Veiligheid en Justitie en Deputy Secretary Jane Holl van het Department of Homeland Security tekenden vandaag het Prevention and Combating of Serious Crime-verdrag (PCSC). Het verdrag zal nu ter goedkeuring aan het Parlement worden voorgelegd.

Het verdrag bepaalt dat Nederland en de Verenigde Staten op individuele basis gegevens kunnen opvragen over DNA-profielen en vingerafdrukken, die zijn afgenomen van verdachten. Ook DNA-profielen en vingerafdrukken die bij een misdrijf zijn aangetroffen, zonder dat er een verdachte in beeld is, kunnen worden vergeleken. De landen krijgen hiervoor, via een nationaal contactpunt, toegang tot elkaars databases met linkgegevens over vingerafdrukken en DNA-profielen (bron).

Is dit niet juist waar we zo bang voor zijn? Koppeling van gegevens en overheden die er onderling gebruik van kunnen maken? Een zware aanslag op de privacy als je het mij vraagt. En hoewel ik niet veel te verbergen heb, weet ik nog niet of we hier nu zo blij mee moeten zijn.

Hoewel ze het hier nog specifiek hebben over de DNA-profielen en vingerafdrukken van verdachten vraag ik me af of ze niet de koppeling leggen met de database met vingerafdrukken die de Amerikanen inmiddels hebben. Iedere keer als je Amerika in komt worden je vingerafdrukken genomen. Als blijkt dat die database ook gekoppeld wordt dan kan de Nederlandse overheid ineens ook beschikken over mijn vingerafdrukken.

Niet dat ze die op de plaats delict zullen aantreffen maar je weet nooit. Stel je bent net ergens in een winkel geweest, je hebt daar je DNA en vingerafdruk achter gelaten omdat je toch een cadeautje voor 5 december moest kopen. Nadat jij de winkel verlaten hebt wordt hij overvallen door 2 gemaskerde mannen met handschoenen aan…zij zullen waarschijnlijk minder DNA achterlaten dan jij en vingerafdrukken van hen zijn zeker niet te vinden.

De politie besluit om van haar recht gebruik te maken en checkt even de gevonden vingerafdrukken in de database van de Amerikanen…guess what…ze vinden mijn vingerafdrukken omdat ik net terug ben uit Amerika.

Hoef ik niet gek op te kijken als ze ’s nachts ineens voor mijn deur staan en me een paar dagen eenzame opsluiting bezorgen.

Een doom-scenario? Ik hoop het van ganser harte, maar vrees dat er meer en meer gegevens gekoppeld en onderling uitgewisseld worden…zolang dat goed gaat kunnen we daar geen bezwaar tegen maken maar eens gaat het fout en dan gaat het goed fout.

De strijd tussen privacy en veiligheid…voorlopig heeft privacy een tegendoelpunt gekregen.

100 naaktbeelden bodyscanner gelekt

Het is alweer een poosje geleden dat we het hier over de bodyscanner hadden. Inmiddels heb ik er tijdens één van mijn bezoekjes aan Schiphol ook gebruik van gemaakt (of was het moeten maken?). En eerlijk gezegd viel het me reuze mee. De beelden die je ziet (want als je er eenmaal doorheen bent kun je nog even kijken naar degene die na je komt) verhullen alles en dat is maar goed ook. Toch weten we niet welke beelden er op een andere locatie uitgekeken worden en wat die beelden wel of niet laten zien. Misschien moeten we er niet teveel bij stil staan en het maar gewoon over ons heen laten komen: veel keus hebben we toch niet.

Maar ja, het was natuurlijk te verwachten…beelden die uitlekken op het internet:
In augustus werd bekend dat de Amerikaanse overheid 35.000 bodyscanner afbeeldingen had opgeslagen, waarvan een deel nu is geopenbaard. In eerste instantie liet het Ministerie van Homeland Security weten dat het geen afbeeldingen opsloeg. Het Electronic Privacy Information Center (EPIC) spande een rechtszaak tegen de United States Marshals Service aan en ontving honderd afbeeldingen…Weblog Gizmodo diende een WOB-verzoek in en ontving ook honderd afbeeldingen. Daarop zijn wel de identificerende eigenschappen verwijderd. Daarnaast was de bodyscanner op de “minst gênante” instelling ingesteld (bron).

Gelukkig slaan we hier, net als in Amerika, geen beelden op…ja, ja, geloof jij het? Als er geen beelden worden opgeslagen, hoe kunnen ze dan uitlekken? Juist. Dan komt het er dus op neer hoeveel vertrouwen we kunnen hebben in degene die de beelden maakt en opslaat. Eerlijk gezegd heb ik daar weinig vertrouwen in. Weten we inmiddels niet allemaal hoe het gesteld is met de beveiliging van DigiD, de OV-chip en het Elektronisch Patiënten Dossier (EPD)?

Ik ben benieuwd hoe lang het zal duren voordat we onszelf op internet tegen komen in een houding waarbij we de armen boven ons hoofd hebben en de benen gespreid. Privacy en veiligheid, het zal wel altijd een spanningsveld blijven.

Beveiliging DigiD op losse schroeven

Hadden we het gisteren nog over Chertoff die aangaf dat de Amerikanen hun privacy op moesten geven zodat hij ze beter kon beveiligen. Vandaag gaan we verder waar we gisteren met het kip en ei verhaal gebleven waren. Daarbij werd aangegeven dat de overheden er eerst voor moeten zorgen dat onze gegevens goed beveiligd zijn voordat we bereid zijn nog meer van onze privacy op te geven.

In Nederland denken we daar toch blijkbaar anders over want de beveiliging van onze DigiD gaat naar beneden. Blijkbaar hebben zich niet voldoende incidenten voorgedaan waardoor we best op beveiliging kunnen bezuinigen. Het is een beetje als de brandweer afschaffen omdat er het afgelopen jaar geen grote brand is geweest. Op deze wijze is het wachten op incidenten.

De overheid ziet ervan af om de toegang tot DigiD nog langer afdoende te beveiligen. “Systemen die worden beheerd in een kippenhok voldoen aan de eisen van het Rijk.” De problemen spelen bij de dienstverlening om SMS-berichten te kunnen sturen, die door de overheid recentelijk opnieuw is aanbesteed. Daarbij is slechts gekozen met één criterium: de prijs. En dus is alles op dezelfde hoop gegooid. Dat blijkt uit documenten die in het bezit zijn van Webwereld (bron).

Een enge gedachte als je het mij vraagt. Beveiligen puur en alleen op kosten. Natuurlijk moeten we de kosten en baten goed in de gaten houden. We moeten geen € 10-tje beveiligen met een kluis van € 1.000,-. Dat snappen we allemaal. Maar de vraag die we hier moeten stellen is wat onze DigiD-gegevens ons waard zijn.

Beveiliging kun je, net als allerlei andere aanbestedingen en projecten sturen op 3 criteria: kosten, kwaliteit en tijd. Sturen op alle drie de criteria is haast onmogelijk. Als ik namelijk kwaliteit wil dan kost me dat meer geld en tijd, als ik lage kosten wil dan gaat de kwaliteit naar beneden en als ik een strakke deadline wil halen tegen een bepaalde kwaliteit dan zullen de kosten sterk omhoog gaan.

Ik weet niet of het heel verstandig is om de aanbesteding van dergelijke SMS-diensten voor een product als DigiD te sturen op kosten. Dat ze niet absurd hoog mogen zijn is me duidelijk. Maar er zit nog een heel verschil tussen de goedkoopste en de duurste oplossing. Is een bekend gezegde niet: goedkoop is duurkoop?

De vraag is nu echter of ik er als gebruiker van de DigiD nog vanaf kan? Bij de introductie ervan was het allemaal veelbelovend, we zouden er enorm veel mee kunnen en moesten allemaal maar aan de DigiD. In de praktijk gebruik ik hem, volgens mij, alleen bij mijn belastingaangifte.

De eis voor gescreend personeel is komen te vervallen en de systemen hoeven ook niet meer op inmiddels beproefde methodes beheerd te worden. Logboeken of audit trials kunnen vrijelijk ingericht worden en versleutelen doen we ook niet meer. De auditdienst houdt er geen toezicht meer op en dat is misschien nog wel het ergste. We weten straks helemaal niet hoe slecht de boel beheerd wordt en welke incidenten zich hebben voorgedaan.

Het datacenter stelt straks ook niets meer voor en toegangsbeveiliging is alleen maar lastig. Ja zo kun je de kosten natuurlijk wel omlaag brengen.

Ik maak me best zorgen en misschien moeten we toch maar eens van ons recht gebruik maken en bij DigiD opvragen over welke gegevens ze eigenlijk allemaal beschikken. Dat recht hebben we want het gaat hier toch om persoonsgegevens dus de Wet Bescherming Persoonsgegevens is van toepassing.

Het moet allemaal niet gekker worden. Proberen we juist om organisaties beter te beveiligen gaan we met de DigiD weer terug naar het tijdperk van de A Ford. Hij rijdt wel, maar echt comfortabel is anders en inmiddels kunnen we auto’s in meer kleuren bestellen dan in zwart.

Zonder veiligheid heb je geen privacy…

Beste mensen, we zien het volgens Chertoff al jaren verkeerd. Maken we ons enorm druk om de privacy die we in moeten leveren in het kader van de veiligheid. Volgens hem hebben we geen privacy zonder veiligheid. Ik zie een kip en ei verhaal aankomen.

Volgens Michael Chertoff, oud-minister van binnenlandse veiligheid van de Verenigde Staten, willen mensen graag maatregelen als camera’s en dataretentie. Zonder veiligheid heb je geen privacy stelt hij. Als jouw gegevens op straat komen te liggen omdat ze zijn gestolen door een hacker en de overheid heeft dat niet kunnen voorkomen, is je privacy verdwenen (bron).

Wat Chertoff dus blijkbaar bedoeld is dat we onze privacy op moeten geven richting de overheid omdat ze ons anders niet kunnen beschermen. Hij wil ons (of in dit geval de Amerikanen) blijkbaar beschermen tegen allerlei hackers. Maar omdat goed te kunnen doen moeten we wel onze privacy opgeven.

Het klinkt allemaal een beetje als de Nigeriaanse scam waarbij je eerst een bedrag moet storten om er vervolgens een berg meer voor terug te krijgen…althans dat is wat je wordt wijsgemaakt.

Volgens mij moeten we ons de vraag stellen tegen wie we onze privacy willen beschermen. Is dat tegen de overheid, tegen hackers of tegen allebei? Welk risico is groter? Dat de overheid veel van ons weet en dat tegen ons kan gebruiken of dat een hacker mij zo interessant vindt dat hij besluit mijn gegevens te hacken? Persoonlijk denk ik dat we ons tegen beide moeten beschermen. De overheid mag best veel van me weten maar het liefst niet alles en een hacker hou ik graag buiten de deur omdat ik anders helemaal niet meer weet wat er met mijn gegevens gebeurt.

Het middel (het opgeven van onze privacy aan de overheid) lijkt me hier erger dan de kwaal (de kans dat een hacker het op mij heeft voorzien). En laten we eerlijk zijn, hebben we niet legio incidenten voorbij zien komen waarbij de persoonsgegevens op straat kwamen doordat een overheidsdienst gehackt werd?

Nee, Chertoff, leuk geprobeerd, maar ik trap er even niet in. We zullen afsluiten met wederom een kip en ei verhaal: als de overheden ervoor zorgen dat onze gegevens gewaarborgd zijn dan zijn we wellicht bereid om meer van onze gegevens beschikbaar te stellen…maar daarvoor moet er eerst nog wel wat water door de Maas.

De politie moet een bekeuring krijgen…

De controlerende macht (de politie) overtreedt de wet. Wie gaat de bekeuringen uitdelen?

Het College Bescherming Persoonsgegevens (CBP) concludeert na onderzoek dat de KLPD in strijd met de wet handelt bij het invoeren van politiegegevens van verdachten in het Europol Informatiesysteem (EIS)…Zo worden onvoldoende maatregelen getroffen om te waarborgen dat de politiegegevens juist en nauwkeurig zijn. Er is bijvoorbeeld geen controle of aan de opnamecriteria is voldaan..Daarnaast onderneemt het Korps landelijke politiediensten (KLPD) onvoldoende actie om ervoor te zorgen dat de gegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn of wanneer de wet eist dat de gegevens verwijderd worden (bron).

Je gaat er toch vanuit dat de overheid zorgvuldig met je gegevens omgaat. Ja ik weet het, daar zijn al vele discussies over gevoerd en al snel wordt gezegd dat wie niets te verbergen heeft ook niets te vrezen heeft. Ja ja, geloof me ik heb weinig te verbergen maar krijg steeds grotere rillingen als ik dit soort berichten lees. Meer en meer gegevens worden opgeslagen in systemen waar we geen zicht op hebben, we moeten er maar op vertrouwen dat de gegevens goed beveiligd zijn…niet dus. We krijgen een elektronisch patiëntendossier, de OV-chip wordt ons ook door de strot geduwd en de politie houdt ook nogal wat van ons bij. Combineer alle gegevens en je kunt een aardig profiel opmaken.

Juist bij een instantie als de politie ga je er toch vanuit dat het allemaal goed geregeld is. Dat ze de gegevens goed checken en dat ze verwijderd worden als ze niet meer nodig zijn. Het kan nogal een impact hebben als je onterecht in deze systemen voorkomt. Leg dat maar eens uit als je staande wordt gehouden. Een lastig verhaal en jij zit een nachtje op water en brood. Zeker als het een Europol systeem is, ik weet niet hoe goed bijvoorbeeld jouw Frans is, maar ik kan net een stokbrood bestellen en zeker niet uitleggen dat ik niet degene ben die in het systeem staat.

Ziekenhuis verliest laptops met patientgegevens

Een Amerikaans ziekenhuis is twee onversleutelde laptops met de gegevens van ruim tweeduizend patiënten verloren, zo heeft het bekendgemaakt. Op de gestolen machines stonden namen, datum van opname, medisch dossiernummer, patiëntnummer, social security nummer, ras, verzekeringsmaatschappij, adres, telefoonnummer, geslacht, geboortedatum, allergieën en eerste diagnose van de patiënt…De laptops waren wel met een wachtwoord beveiligd, maar om gegevens in de toekomst adequaat te beschermen gaat het Jewish Hospital alle computers voortaan versleutelen (bron).

Het is alweer enige tijd geleden dat we het hier hadden over ziekenhuizen die gegevens verliezen. Er gebeurt ook zoveel op beveiligingsgebied dat we keuzes moeten maken in de onderwerpen die aandacht krijgen.

Inmiddels zou je toch denken dat ziekenhuizen hun lesje geleerd hebben en de minimale beveiligingsmaatregelen wel geïmplementeerd zijn. Zeker in Amerika waar de regelgeving toch wat strikter is dan hier. Maar niet dus, vraag jij je ook wel eens af hoeveel ziekenhuizen kwetsbaar zijn en wat er in Nederland eigenlijk allemaal op dit gebied gebeurt? In Amerika zijn instanties verplicht dit soort incidenten te melden en openbaar te maken, in Nederland geldt dat nog steeds niet. We weten dus helemaal niet welke incidenten zich hier voor doen.

Het College Bescherming Persoonsgegevens gaf een aantal maanden geleden aan minder aan preventief advies en meer aan controle te gaan doen. Als ik eerlijk ben heb ik daarna niet zoveel meer van ze gehoord. Dat hoeft niet te betekenen dat ze niet gecontroleerd hebben en/of niets gevonden hebben, maar kan ook betekenen dat we als burgers daar niet van op de hoogte worden gebracht.

Identiteitsdiefstallen wordt een steeds groter probleem maar het krijgt nog niet de aandacht die het verdient. Bij verlies van persoonlijke gegevens schreeuwen we om het hardst dat onze privacy geschonden is, maar de link naar identiteitsdiefstal wordt nog niet door iedereen gelegd. Ik heb er eigenlijk minder moeite mee als mijn gegevens verloren raken en niemand daar iets mee kan (dan blijven het gewoon gegevens en wordt het nooit informatie), ik heb er veel meer moeite mee als iemand wat met die gegevens kan doen. Verzekeraars bijvoorbeeld die mijn premie er op aanpassen of criminelen die mijn gegevens gebruiken om leningen mee af te sluiten.

Privacy. Er is al veel over gezegd en geschreven en er zal de komende jaren nog veel meer over gezegd en geschreven worden. Met het digitaliseren van de wereld wordt het alleen nog maar een grotere uitdaging om de privacy zo goed mogelijk te beschermen. Misschien moeten we over een aantal jaar echt wel concluderen dat privacy niet meer bestaat. Eng? Ja, maar wat kun je er als individu aan doen?