image

Consumentenbond: kwart organisaties reageert niet goed op inzageverzoeken

woensdag 1 maart 2023, 09:29 door Redactie, 5 reacties

Een kwart van de organisaties reageert niet goed op inzageverzoeken, zo stelt de Consumentenbond op basis van eigen onderzoek onder honderd verschillende organisaties. Verzoeken worden te laat of helemaal niet afgehandeld. Onder de AVG heeft iedereen een recht op inzage en kan zo opvragen welke persoonsgegevens een organisatie over hem of haar heeft. De organisatie moet die vervolgens binnen een bepaalde tijd verstrekken.

"De kans bestaat dat je niet direct een reactie krijgt op je inzageverzoek", aldus de Consumentenbond. Tijdens het onderzoek eind 2022 werd bij honderd uiteenlopende organisaties een inzageverzoek ingediend. Zeventien organisaties reageerden niet binnen een maand en bij zes organisaties werd het verzoek verkeerd begrepen. Bij vier organisaties ging er technisch iets mis en bij T-Mobile spelen volgens de Consumentenbond meerdere problemen tegelijk.

Onder de partijen die te laat of niet reageren bevinden zich ASN Bank, de Belastingdienst, Blokker, Greenchoice, Kruidvat, Mediamarkt, Otto, Oxxio, Park-line, Regiobank, SNS, T-Mobile en Wehkamp. Bij Aliexpress, Ikea, TikTok en Tuya was er een technisch probleem, zoals een foutmelding bij het indienen van het inzageverzoek of een zip-bestand met gegevens dat niet goed kan worden uitgepakt.

Verder vroeg de Consumentenbond tien organisaties om de klantgegevens te verwijderen. "Zo voorkom je ongewenste reclameberichten en verklein je het risico op het lekken van je data", aldus de bond. De meeste organisaties volgden het verzoek snel op. De Consumentenbond suggereert dan ook dat het verwijderen van gegevens beter werkt dan het opvragen van een kopie ervan.

Reacties (5)
01-03-2023, 09:36 door Anoniem
en bij T-Mobile spelen volgens de Consumentenbond meerdere problemen tegelijk.

Bij T-Mobile spelen er zo veel problemen dat ik vermoed dat hun management kapot is.
Als in: er is geen goed duidelijk bestuur gaande, dus loopt alles vast.

Daarom word er niks gedaan met dingen zoals inzage verzoeken en forumreacties, maar ook het bijhouden van de infrastructuur gaat moeizaam, zoals bijvoorbeeld de uitrol van IPv6.

Ik zou wel eens daar langs willen gaan om te zien of ik ze wakker kan schudden.
01-03-2023, 10:02 door Erik van Straten
Over T-Mobile USA, uit https://krebsonsecurity.com/2023/02/hackers-claim-they-breached-t-mobile-more-than-100-times-in-2022/:
February 28, 2023, door Brian Krebs: Hackers Claim They Breached T-Mobile More Than 100 Times in 2022
Three different cybercriminal groups claimed access to internal networks at communications giant T-Mobile in more than 100 separate incidents throughout 2022, new data suggests. In each case, the goal of the attackers was the same: Phish T-Mobile employees for access to internal company tools, and then convert that access into a cybercrime service that could be hired to divert any T-Mobile user’s text messages and phone calls to another device.

The conclusions above are based on an extensive analysis of Telegram chat logs from three distinct cybercrime groups or actors that have been identified by security researchers as particularly active in and effective at “SIM-swapping,” which involves temporarily seizing control over a target’s mobile phone number.
[...]
While it is true that each of these cybercriminal actors periodically offer SIM-swapping services for other mobile phone providers — including AT&T, Verizon and smaller carriers — those solicitations appear far less frequently in these group chats than T-Mobile swap offers. And when those offers do materialize, they are considerably more expensive.
[...]

Uit de comments onder het artikel:
28 feb, door vaadu: T-Mobile account login has a serious flaw when it comes to MFA. You can set up your account to use TOTP. But you are still presented with the option to use SMS for 2FA at every login.

There is no way to disable the SMS option.
01-03-2023, 11:22 door Anoniem
Het negeren van wettelijke verplichtingen door overheidsinstanties zoals de Belastingdienst is onacceptabel. De overheid heeft de plicht om het goede voorbeeld te geven en de wet te handhaven, in plaats van deze te overtreden. Wanneer overheidsinstanties zich niet aan de wet houden, ondermijnt dit het vertrouwen van de samenleving in de overheid en in de rechtsstaat.

Het is belangrijk dat de overheid het voortouw neemt in het naleven van wet- en regelgeving, zoals het recht op toegang tot persoonlijke gegevens onder de AVG. Dit concept van "lead by example" is essentieel voor het behouden van de geloofwaardigheid van de overheid en het versterken van het vertrouwen van burgers in de democratische instituties.

Als de overheid de wet overtreedt, kan dit leiden tot een cultuur van straffeloosheid en een vermindering van de verantwoordingsplicht. Dit kan op zijn beurt het vertrouwen van burgers in de overheid nog verder ondermijnen. Het is daarom essentieel dat de overheid de wet naleeft en een voorbeeld is voor anderen om te volgen.

Het is niet alleen de taak van de overheid om de wet na te leven, maar ook van commerciële bedrijven. Bedrijven moeten hun verantwoordelijkheid nemen en zich houden aan wet- en regelgeving, zoals het recht op toegang tot persoonlijke gegevens onder de AVG.

Het is mogelijk dat het slechte voorbeeld vanuit de overheid invloed heeft op het gedrag van commerciële bedrijven. Wanneer overheidsinstanties de wet niet naleven, kan dit een signaal afgeven dat het niet zo belangrijk is om de wet te gehoorzamen. Dit kan bedrijven aanmoedigen om zich ook niet aan de wet te houden, omdat ze denken dat ze ermee weg kunnen komen.

Daarom is het des te belangrijker dat de overheid het goede voorbeeld geeft en de wet naleeft. Alleen dan kunnen we een cultuur van naleving en verantwoordingsplicht creëren, die niet alleen voor de overheid maar ook voor commerciële bedrijven geldt.
01-03-2023, 12:59 door Anoniem
@Erik van Straaten,
T Mobile usa is voor zover ik weet jaren geleden verzelfstandigd.
T Mobile NL was toen nog een dochter van Deutsche Telekom en is dit vziw nog steeds. Dus die twee zijn niet direct vergelijkbaar. Er zitten twee nieuwe generaties telefoon systemen tussen de afsplitsing en nu.
02-03-2023, 01:12 door Erik van Straten
Door Anoniem: @Erik van Straaten,
T Mobile usa is voor zover ik weet jaren geleden verzelfstandigd.
T Mobile NL was toen nog een dochter van Deutsche Telekom en is dit vziw nog steeds. Dus die twee zijn niet direct vergelijkbaar. Er zitten twee nieuwe generaties telefoon systemen tussen de afsplitsing en nu.
Kan zijn, maar er bestaat duidelijk ook een relatie tussen t-mobile.com en Deutsche Telekom (telekom.com), want die eerste verwijst (links onderaan de homepage) naar die tweede.

eSIM-swapping binnenkort mogelijk!
En, alsof er nog niet genoeg ongewenste SIM-swaps zijn, uit https://www.telekom.com/en/media/media-information/archive/esim-transfer-made-easy-1028038:
Media information: eSIM transfer made easy
Media | 03-01-2023 | Verena Fulde | 0 Comments

Deutsche Telekom revolutionizes eSIM transfer with Google
• The process developed is both simple and secure
[...]
All a customer needs is their old and new cell phones in close proximity to each other to enable a simple and secure transfer.
[...]
This feature will enable customers to seamlessly switch to their new Android device upon setup, without having to wait for a physical SIM, or contact carrier support.
[...]
Dat is vast veel veiliger dan "knip uw oude SIM-kaart doormidden en wacht tot een koerier deze komt ophalen, uw nieuwe SIM-kaart ontvangt u binnen 5 werkdagen".

Maar... waarom zou ik m'n oude fysieke SIM-kaart niet gewoon in m'n nieuwe smartphone stoppen?

Dat is -toegegeven- wat lastiger met een eSIM, maar was dat niet by design om eSIM-swapping niet supereenvoudig te maken, wat we nu supereenvoudig gaan maken?

www.t-mobile.nl privacy-attacks
Los van de aangekondigde eSIM-swaps zie ik veel rottigheid op de site van t-mobile.nl: de halve analytics-, tracking- en advertising-wereld kijkt mee. Naast met www.t-mobile.nl, wordt er verbinding gemaakt met:
4228588.fls.doubleclick.net
6004843.global.siteimproveanalytics.io
adservice.google.com
adservice.google.nl
analytics.twitter.com
bam.nr-data.net
bat.bing.com
bc.t-mobile.nl
cdn.blueconic.net
collect.t-mobile.nl
connect.facebook.net
ct.pinterest.com
deploy.mopinion.com
dev.visualwebsiteoptimizer.com
fonts.gstatic.com
googleads.g.doubleclick.net
js-agent.newrelic.com
opt.objectiveportal.com
s.pinimg.com
s2.adform.net
sc-static.net
script.hotjar.com
server.adform.net
siteimproveanalytics.com
static.ads-twitter.com
static.hotjar.com
stats.g.doubleclick.net
t.co
tags.tiqcdn.com
tr.snapchat.com
www.facebook.com
www.google-analytics.com
www.google.com
www.google.nl
www.googleadservices.com
www.googletagmanager.com
www.gstatic.com

Automatisch niet inloggen, wel http
En als ik automatisch inloggen aanzet (gebaseerd op mijn T-Mobile telefoonnummer, zie https://www.security.nl/posting/622467/T-Mobile+autologon+en+eSIM+risico%27s), en ik 4G gebruik (WiFi uitzet), en in https://www.t-mobile.nl/ op INLOGGEN druk, vindt (tussendoor) een redirect plaats naar

http://www.t-mobile.nl/login (let op: http)

waarna een redirect plaatsvindt naar:

https://www.t-mobile.nl/login?NATicket=<lange_hex_string>

Gokje: NA = Network Authentication. Welke malloot heeft bedacht dat het OK is om mijn browser naar http te laten schakelen tijdens inloggen en een authentication token via http te verzenden? (Nb. dit gebeurt alleen via 4G met een T-Mobile telefoonnummer). Dat dit gebeurt kun je niet missen als jouw browser is ingesteld op https only, want dan verschijnt er een vette waarschuwing.

Duidelijk is ook dat www.t-mobile.nl geen HSTS gebruikt, want dan zou dit naar http terugzakken niet eens mogelijk zijn.

Automatisch inloggen krijg ik echter niet aan de praat (wellicht door beveiligingsinstellingen op mijn devices), ik moet en zal e-mail-adres, wachtwoord en "I'm not a robot" aanvinken - waarbij ik op m'n desktop browser (thethering via de smartphone) ook van tig plaatjes moet aangeven wat er wel of juist niet op te zien is.

Oeps als een AitM NATicket in handen krijgt
Echter, op mijn desktop browser zie ik achter INLOGGEN wel mijn 06-nummer verschijnen, en in de browser debug logs (naast 06-nr.) o.a. mijn geboortedatum, klantnummer, CellLocation, SubscriptionType, IsTwoFactorAuthDisabled etc. Die (privacy-gevoelige) gegevens worden ook naar collect.t-mobile.nl gestuurd met IP-adres 52.223.16.43 - zo te zien Amazon USA.

Nu is 4G wellicht niet zo eenvoudig te AitM'en als public WiFi, maar dit stinkt aan alle kanten.

Stompzinnige instellingen en default
Ook kun je in de instellingen op de website niet zien of "automatisch inloggen" aan staat of niet. Als dat uit staat (d.w.z. je het hebt uitgezet, uitgelogd bent en weer ingelogd), en de instellingen hiervoor weer opent, is de default keuze niet de huidige instelling (uit), maar automatisch inloggen met "volledige toegang". T-Mobile (NL) wil dus duidelijk erg graag dat je dat kiest - terwijl het niet werkt maar wel onveilig is.

Geen extra beveiliging tegen (e)SIM-swaps
Daarnaast zie ik in de instellingen nog steeds geen mogelijkheid om (e)SIM-swaps met een extra beveiligingscode te blokkeren (los van hoeveel dat helpt, ik heb -ik weet niet meer waar- gelezen dat je in de USA wel zo'n code kunt zetten, maar dat ondanks dat SIM-swaps soms toch mogelijk blijken).

Simpele fix (voor SMS, niet voor voice): https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.