Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Beveiliging, Privacy | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle andere faalproducten die we het Internet der Dingen noemen. Maar ja.

De camera in het apparaat kan foto’s en video’s maken, die vervolgens via een app kunnen worden uitgelezen. Leuk bedoeld, alleen heeft men zo te zien hardware van een algemene IP-camera gebruikt. De camera is namelijk op afstand te benaderen, alleen is het wachtwoord een standaardwaarde en is de webinterface (de webinterface?!) geheel van wachtwoorden ontdaan. Ook kunnen zaken als lokale netwerknamen worden uitgelezen.

Een keiharde faal dus, dit apparaat. Alleen is dit dus enkel nieuws omdat het om een vibrator gaat: het is doodnormaal dat dergelijke internet-enabled apparaatjes worden voorzien van slechte beveiliging, standaardwachtwoorden en abuisievelijke achterdeuren. Wordt het niet eens tijd dat daar wat aan gedaan wordt?

In theorie zou dat hier kunnen: het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen) en moet daarom adequaat beveiligd zijn tegen datalekken en misbruik van persoonsgegevens. Een stevige boete zou hier dus wel op zijn plaats zijn. Maar ja.

Arnoud

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld en verkocht.

Het achterliggende argument lijkt te zijn dat de advertentiemarkt te veel in het voordeel van social media en zoekdiensten is. Die kunnen van alles en nog wat verzamelen en verkopen, en toestemming regelen ze met onleesbare gebruiksvoorwaarden die iedereen toch wel accepteert. Terwijl die arme zielige ISPs alle investeringen in infrastructuur mogen doen en dan niet eens een advertentietje hier of daar mogen doen om een centje bij te verdienen. Mogelijk zit er ook een stukje politiek achter, nu de huidige president de visie lijkt te hebben dat toezicht eigenlijk überhaupt een slecht idee is.

Elders wijst Bruce Schneier erop dat de belangrijkste pijn er hier in zit dat je gewoon niet van provider kunt wisselen. In theorie zou je kunnen stoppen bij Facebook (hoewel ik dan denk: moehaha yeah right) maar van provider wisselen is vaak gewoon onhaalbaar omdat er geen alternatief ís. Je onttrekken aan deze monitoring zou wellicht kunnen met een VPN, maar dat zijn weer forse extra kosten en vaak verminderde prestaties.

In Nederland zou dit nauwelijks te doen zijn. Privacy op internet is verankerd in Europese regels; ons parlement is niet eens bevoegd om zulke regels te maken waarbij opt-in zou worden afgeschaft. Weer zo’n juridisch verschil met de VS: privacy is daar beperkt tot wat je met de gordijnen dicht thuis doet, en dat gegevens over jou privacygevoelig zijn, wil er eigenlijk gewoon niet in bij ze.

Arnoud

Heeft Donald Trump het Privacy Shield opgeblazen?

| AE 9220 | Privacy | 8 reacties

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. Tot 2015 hadden we de Safe Harbor-regeling, maar die werd vernietigd door het Hof van Justitie. Haar opvolger het Privacy Shield werd in juni aangenomen en bevatte iets meer waarborgen voor Europese burgers.

Doel van Privacy Shield is Amerika zich te laten committeren aan de Europese privacyregels wanneer Amerikaanse bedrijven data opslaan van Europese burgers. Toegang tot die data mag wel, maar alleen onder strenge voorwaarden en in gevallen van strafbare zaken, nationale veiligheid en dergelijke. Niet arbitrair of zonder reden of procedurele waarborgen. En daar leek de VS mee in te stemmen.

Artikel 14 van een recente Executive Order bepaalt echter iets vervelends voor het Privacy Shield:

Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Gezien de context lijkt dit te zijn geschreven voor overheidsinstanties die betrokken zijn bij immigratie. Deze mogen geen beleid maken over persoonsgegevens waarmee illegal aliens enige aanspraak op privacy kunnen maken. Doel daarvan lijkt me logisch: zo snel mogelijk al deze personen op te kunnen sporen, en geen last van rare privacyregels waarmee je niet in iemands database zou mogen.

Betekent dit nu het einde van Privacy Shield? Immers, ook Europese burgers zijn “persons who are not United States citizens or lawful permanent residents” en die vallen nu buiten de Amerikaanse privacywet.

Gelukkig niet. De Europese Commissie reageerde snel met de toelichting dat deze wet sowieso niet bedoeld is voor buitenlanders. Dat was de hele reden dat de EU US Privacy Shield-overeenkomst moest worden gesloten, aldus de commissie. In combinatie met de zogeheten Umbrella Agreement is zo apart geregeld dat data van Europese burgers veilig verwerkt mag worden.

Deze executive order verandert niets aan het Privacy Shield of bijbehorende afspraken. Het lijkt dus een storm in een glas water te zijn geweest.

Arnoud

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

| AE 9215 | Privacy, Webwinkels | 25 reacties

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte… Lees verder

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

| AE 9016 | Privacy | 8 reacties

Het Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is. De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar:… Lees verder

Facebook moet gegevens Nederlandse gebruiker doorgeven om chantage

| AE 8976 | Aansprakelijkheid, Privacy | 5 reacties

Facebook moet gegevens van een gebruiker opsporen en doorgeven om vervolging van die persoon mogelijk te maken, meldde Nu.nl maandag. Het gaat om gegevens van iemand die dreigde intieme foto’s van een gebruiker te publiceren. De rechter bepaalde dat Facebook die moet afgeven. Opmerkelijk genoeg wel met de overweging dat Facebook terecht niet zelf die… Lees verder

Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

| AE 8971 | Privacy | 10 reacties

Alweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen. Al… Lees verder

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

| AE 8967 | Privacy, Strafrecht | 12 reacties

Facebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen… Lees verder