Onderzoeker: automobilisten eenvoudig te volgen via populaire parkeerapps

| AE 13579 | Ondernemingsvrijheid, Privacy, Security | 24 reacties

Meer dan een kwart van alle auto’s is eenvoudig te traceren door middel van populaire parkeerapps zoals EasyPark, Q-Park, Indigo Neo, Interparking en APCOA, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire op basis van eigen onderzoek. Dat meldde Security.nl onlangs. Bij al die apps kun je gemakkelijk kentekens toevoegen, maar zonder controle of je er houder van bent. Zo kun je dus vervolgens parkeeracties van die auto’s inzien. Inti maakte ook een opt-out.

De kern van het onderzoek is verbazingwekkend simpel. Vrijwel iedere parkeerapp biedt de mogelijkheid meerdere kentekens toe te voegen, waarbij geen enkele controle volgt of je daar houder van bent, of dat de eigenaar van die auto het goed vond. Een legitieme reden kan zijn dat je een buurman of vaste klant wilt laten parkeren via jouw app, maar je kunt zo ook mensen stalken (het nummerbord van je ex of die man/vrouw die je laatst klemreed bij de afrit Nieuwegein).

Natuurlijk werkt dat alleen als je vervolgens ook een parkeeractie uitvoert, pas dan zie je (ter controle) de straat of parkeergarage waar de auto is. Door sessies van 1 seconde te doen, voorkwam de onderzoeker dat de slachtoffers zouden zien dat ze al geparkeerd staan (als ze bijvoorbeeld dezelfde app hebben, of doordat de slagbomen opengaan zonder betalen).

Een gebrek bij kentekens is dat je geen verificatie kunt doen, zoals bij 06-nummers of e-mailadressen wel kan. Een systeem dat werkt op basis van kentekens (zoals parkeerapps) heeft dus fundamenteel dit probleem, en daar is geen oplossing voor behalve de RDW zo gek krijgen dat ze brieven gaan sturen naar de kentekenhouder wanneer een app deze wil registreren. (Ik zie dat niet gebeuren.)

De Ceukelaire merkt op dat parkeersessies een onschatbare bron van informatie prijsgeven over bestuurders. “Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen.”
Het onderzoek werd overigens netjes uitgevoerd op kentekens van vrijwilligers die wel eens wilden weten of ze werkelijk getrackt konden worden.

Arnoud

Rechtbank Breda veegt zaak met Sky-Ecc bewijs van tafel

| AE 13557 | Regulering, Security | 9 reacties

Een man die werd verdacht van handel in 40 kilo MDMA, 300.000 xtc-pillen en ruim twintig kilo ketamine is door de rechtbank in Breda geheel vrijgesproken omdat de rechtbank het enkele bewijs van een reeks door de politie ontsleutelde pgp-berichten van Sky-ECC niet voldoende vindt. Dat meldde Crimesite onlangs. De uitspraak is opmerkelijk, omdat in tientallen rechtszaken zwaar is geleund op Sky-ECC berichten zonder dat rechters daar moeite mee hadden.

In 2016 wist de Nederlandse politie een gouden greep te doen in afluisterland: men kreeg de sleutels te pakken waarmee versleutelde communicatie tussen criminelen te ontcijferen was – de app Sky ECC van het bedrijf Ennetcom. Sindsdien zijn de betreffende berichten in vele zaken gebruikt, een snelle zoekopdracht geeft 84 uitspraken waarbij het mede ging om Sky ECC berichten.

In vrijwel al die zaken maakte de advocaat een punt van de toelaatbaarheid van dit bewijs. Meestal ging het dan om inzage in de hele dataset die hoorde bij het account van de verdachte, omdat je berichten in de context wil kunnen beoordelen. Dat is een principieel punt, in het kader van een eerlijk proces (artikel 6 EVRM) moet je als verdediging het gebruikte bewijs kunnen beoordelen:

De rechtbank stelt vast dat er verschillende niveaus van onderzoek aan data te onderscheiden zijn. Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de primaire dataset). … In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden.
Een Excelsheet met de relevante conversatiedraden kun je krijgen, en voor de rest kun je spelen met het systeem van het NFI. Wie om meer vraagt (zoals alle ruwe data over de zaak, alle gesprekken waar je aan deelnam, of documentatie over hoe alles precies is verkregen) krijgt al snel het verwijt van “fishing expedition” om de oren:
Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende.
In de zaak waar deze blog mee begon, zit de rechter er zelf ook mee dat ze niet alle berichten kan inzien:
De rechtbank stelt vast dat de verdenkingen tegen verdachte gebaseerd zijn op de in het procesdossier aanwezige Sky ECC-berichten. Deze berichten komen naar het oordeel van de rechtbank allemaal uit één bron, namelijk de gekraakte berichtendienst Sky ECC. Dat door het Openbaar Ministerie wordt verwezen naar meerdere chatsessies van het account [accountnummer] met verschillende andere gebruikers van Sky ECC maakt dit niet anders. In het procesdossier zijn geen bewijsmiddelen opgenomen die de inhoud van de berichten ondersteunen. Hierdoor is de inhoud van de berichten niet te toetsen. De rechtbank is van oordeel dat hierdoor het wettige bewijs voor de tenlastegelegde feiten ontbreekt. Zij spreekt verdachte daarom vrij van alle tenlastegelegde feiten.
Bij Crimesite lees ik dan als conclusie dat “[z]onder context van alle berichten zouden de Sky-berichten die het Openbaar Ministerie heeft aangedragen [] moeten worden uitgesloten van het bewijs.” Dat gaat me dan weer wat ver. Ik haal uit deze uitspraak dat er geen ander bewijs was tegen de verdachte, zoals bij hem gevonden drugs (deze of deze zaak). Ik zie in de tenlastelegging bijvoorbeeld dat de verdachte enorme hoeveelheden xtc en mdma zou hebben gehad en verhandeld, maar niets over een huiszoeking waar dat gevonden zou zijn of een getuige die de verkoop heeft gezien bijvoorbeeld.

Maar het punt is op zich wel heel belangrijk: hoe stel je vast dat een chatlog een betrouwbare weergave is van wat de verdachte gechat heeft? Natuurlijk zit er een hele bewijsketen aan vast om precies dit vast te stellen, bij instanties als TNO (de Hansken-tool, waarmee deze berichten worden doorzocht, komt van TNO) mag je er wel op vertrouwen dat die het goed op orde hebben. Maar als het gaat om vragen als “hebben we alle relevante berichten” of “wat is er gezegd óver de verdachte” dan ontstijg je dat niveau.

Arnoud

 

Moet je van de AVG een wachtwoordresetoptie bieden?

| AE 13540 | Security | 20 reacties

jarmoluk / Pixabay

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?
De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

  • Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?

| AE 13549 | Security | 41 reacties

Een lezer vroeg me: Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen? Die oudere D-Link routers blijken… Lees verder

Man die persoonsgegevens stal uit GGD-coronasysteem veroordeeld door rechtbank

| AE 13538 | Regulering, Security | 27 reacties

De rechtbank in Utrecht heeft een 23-jarige Rotterdammer veroordeeld voor de diefstal van persoonsgegevens uit het coronasysteem van de GGD in 2020. Dat meldde Tweakers vorige week. Het is een vervolg op een ontdekking uit januari vorig jaar, toen grootschalig bleek te worden gehandeld in GGD-gegevens uit deze systemen. Er werden toen ook twee mensen… Lees verder

Tesla eist dat beelden van aangereden kinderpoppen worden verwijderd

| AE 13517 | Innovatie, Regulering, Security | 16 reacties

Tesla eist dat een belangenorganisatie video’s verwijdert waarin auto’s van de fabrikant over etalagepoppen van kinderen rijden. Dat meldde Nu.nl op gezag van The Washington Post donderdag. In die video’s van The Dawn Project zag de nieuwste software van Tesla’s Full Self-Driving-functie meerdere keren een pop ter grootte van een kind over het hoofd. Dat gaf nogal… Lees verder

Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij

| AE 13510 | Regulering, Security | 13 reacties

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken, las ik bij Security.nl. Dit omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Is dat een pietluttig… Lees verder

Man krijgt drie jaar cel voor grootschalige datahandel

| AE 13381 | Regulering, Security | 1 reactie

Een 35-jarige man uit Heerenveen is dinsdag veroordeeld tot drie jaar cel, las ik bij Nu.nl. Hij verkocht op internet lijsten met niet openbaar beschikbare persoonsgegevens, die door criminelen misbruikt konden worden voor verschillende vormen van fraude. Bij de strafmaat zit ook hennepbezit en witwassen van 70k, maar toch: dat zie je niet vaak, persoonsgegevenshandel…. Lees verder

Mag ik als securitytester phishingmails versturen met andermans logo?

| AE 13383 | Intellectuele rechten, Ondernemingsvrijheid, Security | 10 reacties

Een lezer vroeg me: Ik ben security consultant en deel van mijn werk is het organiseren van phishing tests bij organisaties. Daarvoor moet ik natuurlijk logo’s en huisstijlen van bekende dienstverleners (zoals Microsoft of Apple, maar ook Nederlandse bedrijven zoals salarisadministrateurs) gebruiken om de testmails en nepsites echt te laten lijken. Nu maakt een klant… Lees verder

Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer

| AE 13326 | Regulering, Security | 3 reacties

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke… Lees verder