Gepseudonimiseerde data zijn te kraken, ook die van de CoronaMelder

/door

krakenOp de website www.security.nl verscheen op 2 november 2020 een interessant redactioneel artikel. Daarin maakt men duidelijk dat privacy-ontwerper en technologiecriticus Tijmen Schep een manier bedacht heeft waarmee elke geïnteresseerde met behulp van een programma kan achterhalen of gebruikers van de CoronaMelder-app in zijn of haar omgeving besmet is. Dat gebeurt met behulp van een door Schep geschreven programma op de website www.coronadectective.eu. Dat programma, CoronaDetective, vraagt dan toegang tot bluetooth en scant de directe omgeving op smartphones van mensen die de CoronaMelder geïnstalleerd hebben. Je hoeft niet eens zelf de CoronaMelder geïnstalleerd te hebben. Door die app worden codes(pseudoniemen) uitgezonden die geregistreerd worden door de CoronaDetective. Je kunt ermee zien of een persoon ver weg was of dichtbij, of hij net vertrokken is. Ook of een smartphone naar je toe komt of  zich verwijdert. Je kunt zo identiteiten van mensen koppelen aan die pseudoniemen. Lees meer

Opnieuw zeldzaam gesukkel met NHSCOVID-19 app in UK

/door

gesukkelDe NHSCOVID-19 app die de National Health Service(NHS) in het Verenigd Koninkrijk op 24 september 2020 uitrolde trekt weer zeer negatief de aandacht. Op 1 november 2020 maakten twee journalisten van de Sunday Times, Tom Calver en Gabriel Pogrund dat de grenswaarde die ingesteld was om mensen die langer dan 15 minuten binnen korte afstand van een besmet persoon verkeerd stond ingesteld. Dat gold vooral voor smartphones met Android als besturingssysteem. De software rond de Bluetooth-technologie die de directe nabijheid van andere smartphones moet vastleggen legde daardoor vast dat de bezitter van de smartphone te ver weg was van andere toesteldragers om het virus tussen hen uit te kunnen wisselen. Daardoor zijn vele duizenden mensen niet gewaarschuwd terwijl ze wel aan de contactvoorwaarden voldeden. Lees meer

Cyberaanvallen van ziekenhuizen door UNC1878 groep met Ryuk-ransomware

/door

CyberaanvallenRansomware-aanvallen met het Ryuk-virus van ziekenhuizen leidt in de Verenigde Staten de laatste 24 uur tot verhitte gemoederen. Op 26 oktober liet het cybersecuritybedrijf Hold Security via haar topman Alex Holden weten dat leden een Oost-Europese, waarschijnlijk Russische, hackersgroep met de codenaam UNC1878 drieste plannen hadden. Het bedrijf onderschepte onderlinge  communicatie over plannen om ransomware bij meer dan 400 ziekenhuizen in de VS te installeren. Daarbij gebruik makend van het Ryuk-virus. Het vehikel is een phishing-email.  Over dit ramsomware-virus publiceerde ik op  6 oktober 2020, toen dit virus een ziekenhuisketen met 250 vestigingen trof. Alex Holden deelde de informatie o.a. met cybersecurity-journalist Brian Krebs op 27 oktober. Die publiceerde er op 28 oktober over.  Inmiddels verscheen een gemeenschappelijk statement van 15 pagina’s afkomstig van de FBI, het Homeland security Department en het U.S. Department of Health and Human Services. Daarin beschrijft men het mechanisme van de aanvallen. Lees meer

Problematische inzage gepseudonimiseerde microdata via CBS, ook door Chinese universiteiten

/door

ChineseAlhier publiceerde ik enkele malen(A, B, C ) over de zeer problematische inzage van microdata van het Centraal Bureau van de Statistiek(CBS) door derden. Dat betreft hoofdzakelijk om universitaire instellingen, maar ook om bedrijven en organisaties. Op de lijst van instellingen die gebruik mogen maken van microdata staan echter ook twee universiteiten in Hong Kong. Sinds 1 juli 1997 is Hong Kong een speciale bestuurlijke regio van China en valt dus onder Chinese jurisdictie. Het is de vraag of het gewenst is dat universiteiten die vallen onder een hier ongewenste staatsvorm microdata van het CBS mogen inzien. Buitengewoon problematisch is het dat daarbij om gepseudonimiseerde data gaat. Die dienen door de uitspraak van de artikel 29 werkgroep van Europese privacy-toezichthouders in april 2014 zeker vanaf dat moment toch als (bijzondere) persoonsgegevens beschouwd te worden. Door intelligente koppelingen tussen databestanden kunnen data namelijk toch naar een persoon herleid worden. Lees meer