Autoriteit Persoonsgegevens lanceert keuzehulp voor videobel-apps
De Autoriteit Persoonsgegevens (AP) heeft vandaag een keuzehulp voor videobel-apps gelanceerd die naar de belangrijkste privacyaspecten van dertien verschillende apps kijkt. De toezichthouder heeft geen uitgebreid, technisch onderzoek naar de apps uitgevoerd, maar is afgegaan op wat de bedrijven zelf zeggen over hun videobel-apps, bijvoorbeeld in hun privacyverklaring.
Volgens de AP moeten organisaties die van videobel-apps gebruikmaken goed nadenken over de privacyaspecten en kan de keuzehulp hierbij helpen. Zo wordt er gekeken naar wat de apps voor functionaliteit bieden, welke gegevens ze verzamelen, voor welke doelen ze gegevens verwerken, hoe de informatiestroom verloopt, of de communicatie is beveiligd en hoe de apps geld verdienen.
Het gaat zoals gezegd om dertien apps, te weten: Discord, FaceTime, Google Hangouts, Google Hangouts Meets, Houseparty, Jitsi, Facebook Messenger, Signal, Skype, Nextcloud Talk, Microsoft Teams, Whatsapp en Zoom. Van deze apps zijn Jitsi, Signal en Nextcloud de enige die geen gegevens van gebruikers verzamelen. De andere apps doen dat wel, zoals adresboek, locatiegegevens, gespreksgegevens en metadata.
Verder zijn Jitsi, Signal en Nextcloud Talk ook de enige drie apps waarvan de broncode open source is. Tevens bieden de apps end-to-end encryptie. Dat geldt ook voor Facetime. In het geval van Skype is end-to-end encryptie alleen mogelijk bij privégesprekken.
Ik mis de apps Wire en Threema. Skype for Business had er nog bij genomen, al gaat dit uitgefaseerd worden ten behoeven van Teams. Wat audio-only oplossingen betreft had Mumble er nog bij gemogen.
Jitsi maakt geen gebruik van End-to-End Encryptie bij groepsgesprekken. Ik meen dat dit ook voor Talk geldt (het is immers een WebRTC beperking bij gebruik van een relay server).
Waarom 'Gegevens blijven in Nederland' staat aangevinkt bij Signal is mij onduidelijk, dat lijkt mij zeker niet het geval.
Voor gebruik van Signal is toch gewoon een account verplicht?
Technisch gezien kun je Whatsapp gebruiken zonder toestemming te geven tot je adresboek, al is het wat omslachtig.
Dat Discord zonder account te gebruiken is, is misleidend. In mijn ervaring krijg je al vrij snel captcha's en verplichte telefoonnummer controles (als onderdeel van de anti-spam maatregelen).
(Om flauw te zijn kun je nog stellen de inkomsten van Signal niet komen uit donaties, maar advertenties. Het is immers geld van Facebook waar deze organisatie mee overeind blijft.)
Als je op zoek bent naar Jitsi servers in Nederland, kijk dan eens op https://vc4all.nl
EDIT: Volgens mij is de lijst bijgewerkt dat gegevens van Signal nu zowel in EU als NL blijven. Ik kan echter nergens in de privacy verklaring lezen dat dat het geval is. Technisch gezien lopen de gegevens namelijk via Google servers en die staan niet per se in de EU.
De ene encryptie die de ene App gebruikt is die van de andere niet,
de ene App wil nog wel eens end to end encryptie met het verkeer maar weer niet volledig op logs op hun servers of op de client-hardware bieden.
De ene App wil in gevallen wel grotere bit-encryptie toepassen maar ondersteunt bijvoorbeeld weer oudere hash-protocollen en oudere web-certificaten.
Ondanks dit alles kan het dan wel nuttig zijn dat alles, net als bij de opties-tabel van de AP zaken in functionele zin zijn geformuleerd en afgewogen.
Maar dat kunnen en hebben andere sites ook echt al wel gedaan.
Waarom adviseert het AP mensen niet in plaats van de AP bad-eendjes te erop na te slaan dat mensen de informatie van fora als security.nl erop na te slaan??????
URL erbij enzo.
Dat biedt verdere kennisverbreding.
Zo mogelijk lost het ook nog een beetje wat filter-bubbles van fake news of gevalideerde propaganda op.
De ene encryptie die de ene App gebruikt is die van de andere niet,
de ene App wil nog wel eens end to end encryptie met het verkeer maar weer niet volledig op logs op hun servers of op de client-hardware bieden.
De ene App wil in gevallen wel grotere bit-encryptie toepassen maar ondersteunt bijvoorbeeld weer oudere hash-protocollen en oudere web-certificaten.
Ondanks dit alles kan het dan wel nuttig zijn dat alles, net als bij de opties-tabel van de AP zaken in functionele zin zijn geformuleerd en afgewogen.
Maar dat kunnen en hebben andere sites ook echt al wel gedaan.
Waarom adviseert het AP mensen niet in plaats van de AP bad-eendjes te erop na te slaan dat mensen de informatie van fora als security.nl erop na te slaan??????
URL erbij enzo.
Dat biedt verdere kennisverbreding.
Zo mogelijk lost het ook nog een beetje wat filter-bubbles van fake news of gevalideerde propaganda op.
Klaar met je azijn?
Het is zo makkelijk om alleen maar negatief te zijn, wees blij dat de AP deze lijst maakt. Ik ben tenminste blij omdat dit lijstje laat zien dat er naast het Z-woord ook nog andere zwakheden zijn. Maar we hebben wat te kiezen, ik ben er blij mee.
Mijn persoonlijke voorkeur gaat uit naar een organisatie als Bits of Freedom (ben ik zelf niet bij betrokken) waar wel mensen technisch onderzoek (voor) verrichten.
Wij van wc eend adviseren en daarom is het veilig.
Ik wil de eerste onderzoek na weer een zoom hack zien en dan verwijzen naar dit lijstje van de AP.
Uit de vele security.nl artikelen is allang gebleken dat met name Zoom niet eerlijk is, en gebruikt maakt van zwakke encryptie en sleutels uitgeeft in China.
AP vinkt encryptie zonder voorbehoud gewoon aan (schijnveiligheid). Goed advies AP [sarcasm].
Waarom 'Gegevens blijven in Nederland' staat aangevinkt bij Signal is mij onduidelijk, dat lijkt mij zeker niet het geval.
Voor gebruik van Signal is toch gewoon een account verplicht?
Als je op zoek bent naar Jitsi servers in Nederland, kijk dan eens op https://vc4all.nl
EDIT: Volgens mij is de lijst bijgewerkt dat gegevens van Signal nu zowel in EU als NL blijven. Ik kan echter nergens in de privacy verklaring lezen dat dat het geval is. Technisch gezien lopen de gegevens namelijk via Google servers en die staan niet per se in de EU.
Bij Signal worden de gesprekken lokaal op je device bewaard.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity trainen op een Cyber Range: zo doet KPN dat
Een Cyber Range is een gecontroleerde omgeving waar gebruikers cyberaanvallen leren detecteren en afzwakken. Zo vergroten bedrijven technische kennis rondom cyber-response. KPN helpt organisaties hierbij met een keur aan specialisten. Met uiteenlopende projecten als pentesten van drones die Epi-Pennen en pizza’s bezorgen tot het inbreken bij zwaarbeveiligde gebouwen, is geen dag hetzelfde.
Senior Adviseur
Economische Veiligheid
Nationaal Cyber Security Centrum
Door het snelgroeiende en veranderende cybersecuritydomein groeit ook de dreiging op onze economische veiligheid. Het is mede aan jou om ervoor te zorgen dat op tactisch en strategisch niveau de juiste kennis en samenwerkingsverbanden aanwezig zijn, zodat we gezamenlijk juist en tijdig op deze dreigingen kunnen anticiperen.
Tactisch specialist informatieveiligheid
Wist jij dat het één van onze ambities is om datagedreven werken in al onze processen de standaard te maken? Om onze ambities kracht bij te zetten zijn wij op zoek naar een verbindende tactisch specialist informatie-veiligheid die ons helpt met de bruikbaarheid en veiligheid van onze informatiesystemen. Klinkt dat als iets voor jou?
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?