De Amerikaanse presidentsverkiezingen van 2024 gaan hun laatste fase in, wat betekent dat door de staat gesponsorde hackers uit de schaduw tevoorschijn komen om zich op hun eigen speciale manier te bemoeien. Daartoe behoort ook de Iraanse APT42, een hackgroep die banden heeft met de Iraanse Islamitische Revolutionaire Garde en die zich volgens de Threat Analysis Group van Google heeft gericht op bijna een dozijn mensen die betrokken zijn bij de campagnes van Donald Trump en Joe Biden (nu Kamala Harris).
De aanhoudende ramp die de inbreuk op gegevensmakelaar en antecedentenonderzoeksbedrijf National Public Data inhoudt, is nog maar net begonnen. Hoewel de inbreuk maanden geleden plaatsvond, heeft het bedrijf dit pas maandag publiekelijk erkend nadat iemand naar eigen zeggen ‘2,9 miljard gegevens’ had vrijgegeven van mensen in de VS, het Verenigd Koninkrijk en Canada, inclusief namen, fysieke adressen en burgerservicenummers. Uit voortdurende analyse van de gegevens blijkt echter dat het verhaal veel rommeliger is – en dat geldt ook voor de risico’s.
Je kunt nu fietsderailleurs en gymkluisjes toevoegen aan de lijst met hackbare dingen. Beveiligingsonderzoekers onthulden deze week dat Shimano’s Di2 draadloze derailleurs kwetsbaar kunnen zijn voor een verscheidenheid aan radiogebaseerde aanvallen, waardoor iemand op afstand de versnelling van een rijder kan veranderen of kan voorkomen dat hij op een cruciaal moment in een race van versnelling verandert. Ondertussen hebben andere onderzoekers ontdekt dat het mogelijk is beheerderssleutels te extraheren uit elektronische kluisjes die worden gebruikt in sportscholen en kantoren over de hele wereld, waardoor een crimineel mogelijk toegang krijgt tot elk kluisje op één locatie.
Als je een Google Pixel-telefoon gebruikt, houd deze dan in de gaten: een niet-gepatchte kwetsbaarheid in een verborgen Android-app genaamd Showcase.apk kan een aanvaller de mogelijkheid geven om diepe toegang tot je apparaat te krijgen. Voor het misbruiken van de kwetsbaarheid kan fysieke toegang tot het beoogde apparaat nodig zijn, maar de onderzoekers van iVerify die de fout ontdekten, zeggen dat dit ook mogelijk zou kunnen zijn via andere kwetsbaarheden. Google zegt dat het van plan is “in de komende weken” een oplossing uit te brengen, maar dat is niet genoeg voor het data-analysebedrijf en het Amerikaanse militaire bedrijf Palantir, dat zal stoppen met het gebruik van alle Android-apparaten vanwege het gebrek aan reactie van Google.
Maar dat is niet alles. Elke week verzamelen we beveiligings- en privacynieuws dat we zelf niet diepgaand hebben behandeld. Klik op de koppen om de volledige verhalen te lezen. En wees veilig daarbuiten.
Een Amerikaans federaal hof van beroep oordeelde vorige week dat zogenaamde geofencing-bevelen de bescherming van het Vierde Amendement tegen onredelijke huiszoekingen en inbeslagnemingen schenden. Met geografische beschermingsbevelen kan de politie eisen dat bedrijven zoals Google een lijst overhandigen van elk apparaat dat op een bepaald tijdstip op een bepaalde locatie is verschenen. Het Amerikaanse Fifth Circuit Court of Appeals oordeelde op 9 augustus dat geofencing-bevelen “categorisch verboden zijn door het Vierde Amendement” omdat “ze nooit omvatten de specifieke gebruiker die moet worden geïdentificeerd, alleen de tijd en geografische locatie van elke gebruiker Kunnen neem na de zoektocht contact met mij op.” Met andere woorden: zij zijn de ongrondwettelijke visserij-expeditie die voorstanders van privacy en burgerlijke vrijheden al lang beweren.
Google, dat de locatiegeschiedenis van tientallen miljoenen inwoners van de VS verzamelt en het vaakst doelwit is van geofencing-bestellingen, beloofde eind vorig jaar de manier waarop het locatiegegevens opslaat zo te veranderen dat geofencing-bestellingen mogelijk niet langer worden uitgevoerd. geef de gegevens terug zodra ze dat zijn. Juridisch gezien is de kwestie echter verre van opgelost: de uitspraak van het Vijfde Circuit is alleen van toepassing op wetshandhavingsactiviteiten in Louisiana, Mississippi en Texas. Bovendien kunnen wetshandhavingsinstanties, vanwege de zwakke Amerikaanse privacywetten, eenvoudigweg de gegevens opkopen en het vervelende proces van het uitvaardigen van een bevel geheel overslaan. Wat de appellanten in de zaak voor het Vijfde Circuit betreft, ze zijn niet beter af: de rechtbank oordeelde dat de politie het bevel tot geofencing ‘te goeder trouw’ gebruikte toen het in 2018 werd uitgevaardigd, dus ze kunnen het bewijsmateriaal dat ze hebben nog steeds gebruiken. verkregen kwam.
Het Committee on Foreign Investment in the U.S. (CFIUS) heeft het Duitse T-Mobile deze week een recordboete van $60 miljoen opgelegd wegens het verkeerd omgaan met gegevens tijdens de integratie met US Sprint na de fusie van de bedrijven in 2020. Volgens CFIUS “heeft T-Mobile geen passende maatregelen genomen om ongeoorloofde toegang tot bepaalde gevoelige gegevens te voorkomen”, in strijd met de National Security Agreement die het bedrijf heeft ondertekend met de commissie, die de gevolgen voor de nationale veiligheid van buitenlandse zakelijke transacties met Amerikaanse bedrijven beoordeelt. . T-Mobile zei in een verklaring dat technische problemen van invloed waren op “informatie die werd gedeeld vanuit een klein aantal verzoeken om informatie door wetshandhavers.” Hoewel het bedrijf beweert dat het “snel” en “tijdig” heeft gehandeld, beweert CFIUS dat T-Mobile “er niet in is geslaagd om onmiddellijk enkele incidenten van ongeautoriseerde toegang tot CFIUS te melden, waardoor de inspanningen van de commissie om mogelijke schade te onderzoeken en te beperken worden vertraagd.”
Het twaalf jaar durende verhaal van de vervolging van Kim Dotcom ging deze week verder toen de Nieuw-Zeelandse minister van Justitie een Amerikaans verzoek om uitlevering van de controversiële zakenman goedkeurde. Dotcom creëerde de dienst voor het delen van bestanden Megaupload, die volgens de Amerikaanse autoriteiten werd gebruikt voor wijdverbreide inbreuk op het auteursrecht. De VS namen Megaupload in 2012 in beslag en klaagden Dotcom aan wegens afpersing, inbreuk op het auteursrecht en het witwassen van geld. Dotcom heeft alle vergrijpen ontkend, maar verloor in 2017 een poging om de uitlevering te blokkeren en vecht daar sindsdien tegen. Ondanks het besluit van de minister van Justitie beloofde Dotcom sinds 2010 in het land te blijven waar hij legaal verblijft. “Ik hou van Nieuw-Zeeland”, schreef hij. “Ik ga niet weg.”
De groeiende plaag van deepfake-pornografie – expliciete beelden die mensen digitaal ‘uitkleden’ zonder hun toestemming – kan eindelijk een grote juridische hindernis zijn tegengekomen. San Francisco plaatsvervangend stadsadvocaat Yvonne Meré – en bij uitbreiding de stad San Francisco – heeft een rechtszaak aangespannen tegen 16 van de meest populaire ‘nudificatie’-websites. Met deze sites en apps kunnen mensen expliciete nepbeelden van bijna iedereen maken, maar ze worden steeds vaker door jongens gebruikt om materiaal te maken over het seksueel misbruiken van hun minderjarige klasgenoten. Hoewel verschillende staten de creatie en distributie van door AI gegenereerd materiaal over seksueel kindermisbruik hebben gecriminaliseerd, is de rechtszaak van Mere er feitelijk op gericht om de sites volledig te sluiten.