#authenticatie — Public Fediverse posts

@harld : tikkie off-topic, want als je ergens een account hebt, zou het geen probleem moeten zijn om jouw gegevens bij een organisatie te kunnen wijzigen.

Als je dat *niet* (meer) hebt, is het voor organisaties veel lastiger om vast te stellen dat het NIET om een identiteitsfraudeur gaat, die vraagt om het verwijderen of wijzigen van geregistreerde persoonsgegevens.

De AP stuurt je ook op dit punt het bos in: als je https:⧸⧸www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk (klikbaar: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk) opent, zijn er in die pagina minstens twee links te zien die suggereren: daar staat het!

Echter, beide links openen dezelfde pagina - de eerste bovenaan, de tweede de volgende sectie met geen antwoord:
❝
Identiteit vaststellen

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. Daarmee voorkomt u dat u iemand toegang geeft tot de persoonsgegevens van een ander. U mag daarbij niet meer gegevens opvragen dan nodig is.
❞

Vragen "om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle" is idioterie.

@gvenema @apenkop

#Zucht #Duh #IdentiteitsFraude #Authenticatie

@harld : tikkie off-topic, want als je ergens een account hebt, zou het geen probleem moeten zijn om jouw gegevens bij een organisatie te kunnen wijzigen.

Als je dat *niet* (meer) hebt, is het voor organisaties veel lastiger om vast te stellen dat het NIET om een identiteitsfraudeur gaat, die vraagt om het verwijderen of wijzigen van geregistreerde persoonsgegevens.

De AP stuurt je ook op dit punt het bos in: als je https:⧸⧸www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk (klikbaar: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk) opent, zijn er in die pagina minstens twee links te zien die suggereren: daar staat het!

Echter, beide links openen dezelfde pagina - de eerste bovenaan, de tweede de volgende sectie met geen antwoord:
❝
Identiteit vaststellen

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. Daarmee voorkomt u dat u iemand toegang geeft tot de persoonsgegevens van een ander. U mag daarbij niet meer gegevens opvragen dan nodig is.
❞

Vragen "om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle" is idioterie.

@gvenema @apenkop

#Zucht #Duh #IdentiteitsFraude #Authenticatie

@harld : tikkie off-topic, want als je ergens een account hebt, zou het geen probleem moeten zijn om jouw gegevens bij een organisatie te kunnen wijzigen.

Als je dat *niet* (meer) hebt, is het voor organisaties veel lastiger om vast te stellen dat het NIET om een identiteitsfraudeur gaat, die vraagt om het verwijderen of wijzigen van geregistreerde persoonsgegevens.

De AP stuurt je ook op dit punt het bos in: als je https:⧸⧸www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk (klikbaar: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk) opent, zijn er in die pagina minstens twee links te zien die suggereren: daar staat het!

Echter, beide links openen dezelfde pagina - de eerste bovenaan, de tweede de volgende sectie met geen antwoord:
❝
Identiteit vaststellen

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. Daarmee voorkomt u dat u iemand toegang geeft tot de persoonsgegevens van een ander. U mag daarbij niet meer gegevens opvragen dan nodig is.
❞

Vragen "om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle" is idioterie.

@gvenema @apenkop

#Zucht #Duh #IdentiteitsFraude #Authenticatie

@harld : tikkie off-topic, want als je ergens een account hebt, zou het geen probleem moeten zijn om jouw gegevens bij een organisatie te kunnen wijzigen.

Als je dat *niet* (meer) hebt, is het voor organisaties veel lastiger om vast te stellen dat het NIET om een identiteitsfraudeur gaat, die vraagt om het verwijderen of wijzigen van geregistreerde persoonsgegevens.

De AP stuurt je ook op dit punt het bos in: als je https:⧸⧸www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk (klikbaar: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/voor-organisaties-privacyrechten-in-de-praktijk) opent, zijn er in die pagina minstens twee links te zien die suggereren: daar staat het!

Echter, beide links openen dezelfde pagina - de eerste bovenaan, de tweede de volgende sectie met geen antwoord:
❝
Identiteit vaststellen

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. Daarmee voorkomt u dat u iemand toegang geeft tot de persoonsgegevens van een ander. U mag daarbij niet meer gegevens opvragen dan nodig is.
❞

Vragen "om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle" is idioterie.

@gvenema @apenkop

#Zucht #Duh #IdentiteitsFraude #Authenticatie

Al jaren waarschuw ik voor de risico's van online authenticatie (authenticatie = identiteitsverificatie, bewijzen wie je bent die je zegt te zijn).

*NIETS* kan op tegen authenticatie in levenden lijve m.b.v. een op echtheid gecontroleerd identiteitsbewijs door een (essentieel!) betrouwbaar persoon.

Online authenticatie wordt met de dag onbetrouwbaarder om minstens twee redenen:

1) M.b.v. AI wordt het steeds eenvoudiger om identiteitsbewijzen *zichtbaar* te vervalsen - uiteindelijk wordt een manipuleerbaar plaatje geüpload;

2) Criminelen lokken mensen naar valse websites waar slachtoffers moeten authenticeren. Die informatie zetten de criminelen live door naar een echte banksite, maar vullen andere adresgegevens in zodat een bankpas bij hén wordt afgeleverd.

Dat banken het zó bont maken als beschreven in https://www.security.nl/posting/929025/OM+eist+celstraf+voor+omzeilen+van+ID-scan+en+verificatiemethodes+van+bank had zelfs ik niet verwacht, maar dit betrof waarschijnlijk een sukkel die de laatsts AI trucjes niet kent. Uit dat artikel:
❝
De verdachte zou identiteitsbewijzen van meerdere mensen hebben vervalst en gebruikt om op naam van deze slachtoffers bankrekeningen te openen. De betreffende bank, die niet bij naam wordt genoemd, startte vorig jaar mei een onderzoek naar aanleiding van een 'intern signaal'.
❞
gevolgd door de tekst hieronder.

#Authenticatie #VideoIdent

Al jaren waarschuw ik voor de risico's van online authenticatie (authenticatie = identiteitsverificatie, bewijzen wie je bent die je zegt te zijn).

*NIETS* kan op tegen authenticatie in levenden lijve m.b.v. een op echtheid gecontroleerd identiteitsbewijs door een (essentieel!) betrouwbaar persoon.

Online authenticatie wordt met de dag onbetrouwbaarder om minstens twee redenen:

1) M.b.v. AI wordt het steeds eenvoudiger om identiteitsbewijzen *zichtbaar* te vervalsen - uiteindelijk wordt een manipuleerbaar plaatje geüpload;

2) Criminelen lokken mensen naar valse websites waar slachtoffers moeten authenticeren. Die informatie zetten de criminelen live door naar een echte banksite, maar vullen andere adresgegevens in zodat een bankpas bij hén wordt afgeleverd.

Dat banken het zó bont maken als beschreven in https://www.security.nl/posting/929025/OM+eist+celstraf+voor+omzeilen+van+ID-scan+en+verificatiemethodes+van+bank had zelfs ik niet verwacht, maar dit betrof waarschijnlijk een sukkel die de laatsts AI trucjes niet kent. Uit dat artikel:
❝
De verdachte zou identiteitsbewijzen van meerdere mensen hebben vervalst en gebruikt om op naam van deze slachtoffers bankrekeningen te openen. De betreffende bank, die niet bij naam wordt genoemd, startte vorig jaar mei een onderzoek naar aanleiding van een 'intern signaal'.
❞
gevolgd door de tekst hieronder.

#Authenticatie #VideoIdent

Al jaren waarschuw ik voor de risico's van online authenticatie (authenticatie = identiteitsverificatie, bewijzen wie je bent die je zegt te zijn).

*NIETS* kan op tegen authenticatie in levenden lijve m.b.v. een op echtheid gecontroleerd identiteitsbewijs door een (essentieel!) betrouwbaar persoon.

Online authenticatie wordt met de dag onbetrouwbaarder om minstens twee redenen:

1) M.b.v. AI wordt het steeds eenvoudiger om identiteitsbewijzen *zichtbaar* te vervalsen - uiteindelijk wordt een manipuleerbaar plaatje geüpload;

2) Criminelen lokken mensen naar valse websites waar slachtoffers moeten authenticeren. Die informatie zetten de criminelen live door naar een echte banksite, maar vullen andere adresgegevens in zodat een bankpas bij hén wordt afgeleverd.

Dat banken het zó bont maken als beschreven in https://www.security.nl/posting/929025/OM+eist+celstraf+voor+omzeilen+van+ID-scan+en+verificatiemethodes+van+bank had zelfs ik niet verwacht, maar dit betrof waarschijnlijk een sukkel die de laatsts AI trucjes niet kent. Uit dat artikel:
❝
De verdachte zou identiteitsbewijzen van meerdere mensen hebben vervalst en gebruikt om op naam van deze slachtoffers bankrekeningen te openen. De betreffende bank, die niet bij naam wordt genoemd, startte vorig jaar mei een onderzoek naar aanleiding van een 'intern signaal'.
❞
gevolgd door de tekst hieronder.

#Authenticatie #VideoIdent

Al jaren waarschuw ik voor de risico's van online authenticatie (authenticatie = identiteitsverificatie, bewijzen wie je bent die je zegt te zijn).

*NIETS* kan op tegen authenticatie in levenden lijve m.b.v. een op echtheid gecontroleerd identiteitsbewijs door een (essentieel!) betrouwbaar persoon.

Online authenticatie wordt met de dag onbetrouwbaarder om minstens twee redenen:

1) M.b.v. AI wordt het steeds eenvoudiger om identiteitsbewijzen *zichtbaar* te vervalsen - uiteindelijk wordt een manipuleerbaar plaatje geüpload;

2) Criminelen lokken mensen naar valse websites waar slachtoffers moeten authenticeren. Die informatie zetten de criminelen live door naar een echte banksite, maar vullen andere adresgegevens in zodat een bankpas bij hén wordt afgeleverd.

Dat banken het zó bont maken als beschreven in https://www.security.nl/posting/929025/OM+eist+celstraf+voor+omzeilen+van+ID-scan+en+verificatiemethodes+van+bank had zelfs ik niet verwacht, maar dit betrof waarschijnlijk een sukkel die de laatsts AI trucjes niet kent. Uit dat artikel:
❝
De verdachte zou identiteitsbewijzen van meerdere mensen hebben vervalst en gebruikt om op naam van deze slachtoffers bankrekeningen te openen. De betreffende bank, die niet bij naam wordt genoemd, startte vorig jaar mei een onderzoek naar aanleiding van een 'intern signaal'.
❞
gevolgd door de tekst hieronder.

#Authenticatie #VideoIdent

"Onze privé-gegevens zijn niet veilig als een Amerikaans IT-bedrijf op het punt staat eigenaar te worden van DigiD!"
— https://actie.degoedezaak.org/petitions/stop-de-amerikaanse-overname-digid

Klopt. Maar ik teken NIET want dit soort petities zijn BULL SHIT:

1️⃣ Als je tekent, geef je jouw gegevens aan de eigenaar van "degoedezaak.org". Waarom verzamelt die club onze persoonsgegevens, en wat doen ze daar WERKELIJK mee?

2️⃣ Daarnaast deel je jouw gegevens met tal van Amerikaanse BigTech bedrijven: Cloudflare, Google, Amazon, Facebook, BlueSky en vermoedelijk ook Twitter.

3️⃣ Je kunt natuurlijk liegen over jouw identiteit, maar dan kun je ook tig keer stemmen (bij het songfestival "beperkt" tot 10x per persoon: https://security.nl/posting/913878). Hoeveel stemmen zijn authentiek en beperkt tot ÉÉN per levende Nederlandse burger?

4️⃣ Uit https://www.degoedezaak.org/privacyverklaring/:
"13. Als bewijs voor daadwerkelijke steun voor petities en burgerinitiatieven (burgerinitiatieven vereisen minimaal naam, adres en geboortedatum)"
Deze petitie vraagt, zo te zien, niet om een geboortedatum en is -naar verluidt- dus ongeldig.

P.S. er is een fix voor de meeste problemen: https://www.security.nl/posting/912595/Idee%3A+DigiD%2B%2B+voor+petities%3F.

#OnlinePetities #ONBETROUWBAAR #OnlineAuthenticatie #Authenticatie #Impersponatie #Identificatie #Petities #Privacy #Risicos #DataGraaiers #BigTechisEvil #GoogleIsEvil #CloudFlareIsEvil

"Onze privé-gegevens zijn niet veilig als een Amerikaans IT-bedrijf op het punt staat eigenaar te worden van DigiD!"
— https://actie.degoedezaak.org/petitions/stop-de-amerikaanse-overname-digid

Klopt. Maar ik teken NIET want dit soort petities zijn BULL SHIT:

1️⃣ Als je tekent, geef je jouw gegevens aan de eigenaar van "degoedezaak.org". Waarom verzamelt die club onze persoonsgegevens, en wat doen ze daar WERKELIJK mee?

2️⃣ Daarnaast deel je jouw gegevens met tal van Amerikaanse BigTech bedrijven: Cloudflare, Google, Amazon, Facebook, BlueSky en vermoedelijk ook Twitter.

3️⃣ Je kunt natuurlijk liegen over jouw identiteit, maar dan kun je ook tig keer stemmen (bij het songfestival "beperkt" tot 10x per persoon: https://security.nl/posting/913878). Hoeveel stemmen zijn authentiek en beperkt tot ÉÉN per levende Nederlandse burger?

4️⃣ Uit https://www.degoedezaak.org/privacyverklaring/:
"13. Als bewijs voor daadwerkelijke steun voor petities en burgerinitiatieven (burgerinitiatieven vereisen minimaal naam, adres en geboortedatum)"
Deze petitie vraagt, zo te zien, niet om een geboortedatum en is -naar verluidt- dus ongeldig.

P.S. er is een fix voor de meeste problemen: https://www.security.nl/posting/912595/Idee%3A+DigiD%2B%2B+voor+petities%3F.

#OnlinePetities #ONBETROUWBAAR #OnlineAuthenticatie #Authenticatie #Impersponatie #Identificatie #Petities #Privacy #Risicos #DataGraaiers #BigTechisEvil #GoogleIsEvil #CloudFlareIsEvil

"Onze privé-gegevens zijn niet veilig als een Amerikaans IT-bedrijf op het punt staat eigenaar te worden van DigiD!"
— https://actie.degoedezaak.org/petitions/stop-de-amerikaanse-overname-digid

Klopt. Maar ik teken NIET want dit soort petities zijn BULL SHIT:

1️⃣ Als je tekent, geef je jouw gegevens aan de eigenaar van "degoedezaak.org". Waarom verzamelt die club onze persoonsgegevens, en wat doen ze daar WERKELIJK mee?

2️⃣ Daarnaast deel je jouw gegevens met tal van Amerikaanse BigTech bedrijven: Cloudflare, Google, Amazon, Facebook, BlueSky en vermoedelijk ook Twitter.

3️⃣ Je kunt natuurlijk liegen over jouw identiteit, maar dan kun je ook tig keer stemmen (bij het songfestival "beperkt" tot 10x per persoon: https://security.nl/posting/913878). Hoeveel stemmen zijn authentiek en beperkt tot ÉÉN per levende Nederlandse burger?

4️⃣ Uit https://www.degoedezaak.org/privacyverklaring/:
"13. Als bewijs voor daadwerkelijke steun voor petities en burgerinitiatieven (burgerinitiatieven vereisen minimaal naam, adres en geboortedatum)"
Deze petitie vraagt, zo te zien, niet om een geboortedatum en is -naar verluidt- dus ongeldig.

P.S. er is een fix voor de meeste problemen: https://www.security.nl/posting/912595/Idee%3A+DigiD%2B%2B+voor+petities%3F.

#OnlinePetities #ONBETROUWBAAR #OnlineAuthenticatie #Authenticatie #Impersponatie #Identificatie #Petities #Privacy #Risicos #DataGraaiers #BigTechisEvil #GoogleIsEvil #CloudFlareIsEvil

"Onze privé-gegevens zijn niet veilig als een Amerikaans IT-bedrijf op het punt staat eigenaar te worden van DigiD!"
— https://actie.degoedezaak.org/petitions/stop-de-amerikaanse-overname-digid

Klopt. Maar ik teken NIET want dit soort petities zijn BULL SHIT:

1️⃣ Als je tekent, geef je jouw gegevens aan de eigenaar van "degoedezaak.org". Waarom verzamelt die club onze persoonsgegevens, en wat doen ze daar WERKELIJK mee?

2️⃣ Daarnaast deel je jouw gegevens met tal van Amerikaanse BigTech bedrijven: Cloudflare, Google, Amazon, Facebook, BlueSky en vermoedelijk ook Twitter.

3️⃣ Je kunt natuurlijk liegen over jouw identiteit, maar dan kun je ook tig keer stemmen (bij het songfestival "beperkt" tot 10x per persoon: https://security.nl/posting/913878). Hoeveel stemmen zijn authentiek en beperkt tot ÉÉN per levende Nederlandse burger?

4️⃣ Uit https://www.degoedezaak.org/privacyverklaring/:
"13. Als bewijs voor daadwerkelijke steun voor petities en burgerinitiatieven (burgerinitiatieven vereisen minimaal naam, adres en geboortedatum)"
Deze petitie vraagt, zo te zien, niet om een geboortedatum en is -naar verluidt- dus ongeldig.

P.S. er is een fix voor de meeste problemen: https://www.security.nl/posting/912595/Idee%3A+DigiD%2B%2B+voor+petities%3F.

#OnlinePetities #ONBETROUWBAAR #OnlineAuthenticatie #Authenticatie #Impersponatie #Identificatie #Petities #Privacy #Risicos #DataGraaiers #BigTechisEvil #GoogleIsEvil #CloudFlareIsEvil

@rrustema : de Pettit Petitie is gesloten, dan maar op een andere petitie laten zien hoe DOODSIMPEL het is om je op internet vóór te doen als iemand anders (en dan heb ik tussendoor nog gegeten ook):

https://petities.nl/petitions/voorkom-een-regering-jetten1-met-d66-en-groenlinkspvda/signatures/32331992?locale=nl
(gearchiveerd in https://archive.is/oqID0)

Laat je niet belazeren! On the internet, nobody knows you're a dog…

#OnlinePetities #ONBETROUWBAAR #Impersonatie #Authenticatie

@rrustema : de Pettit Petitie is gesloten, dan maar op een andere petitie laten zien hoe DOODSIMPEL het is om je op internet vóór te doen als iemand anders (en dan heb ik tussendoor nog gegeten ook):

https://petities.nl/petitions/voorkom-een-regering-jetten1-met-d66-en-groenlinkspvda/signatures/32331992?locale=nl
(gearchiveerd in https://archive.is/oqID0)

Laat je niet belazeren! On the internet, nobody knows you're a dog…

#OnlinePetities #ONBETROUWBAAR #Impersonatie #Authenticatie

@rrustema : de Pettit Petitie is gesloten, dan maar op een andere petitie laten zien hoe DOODSIMPEL het is om je op internet vóór te doen als iemand anders (en dan heb ik tussendoor nog gegeten ook):

https://petities.nl/petitions/voorkom-een-regering-jetten1-met-d66-en-groenlinkspvda/signatures/32331992?locale=nl
(gearchiveerd in https://archive.is/oqID0)

Laat je niet belazeren! On the internet, nobody knows you're a dog…

#OnlinePetities #ONBETROUWBAAR #Impersonatie #Authenticatie

@rrustema : de Pettit Petitie is gesloten, dan maar op een andere petitie laten zien hoe DOODSIMPEL het is om je op internet vóór te doen als iemand anders (en dan heb ik tussendoor nog gegeten ook):

https://petities.nl/petitions/voorkom-een-regering-jetten1-met-d66-en-groenlinkspvda/signatures/32331992?locale=nl
(gearchiveerd in https://archive.is/oqID0)

Laat je niet belazeren! On the internet, nobody knows you're a dog…

#OnlinePetities #ONBETROUWBAAR #Impersonatie #Authenticatie

@rrustema : "En ja, hij heeft zelf ook ondertekend."

Daar geloof ik helemaal NIETS van. Iedereen kan zich voordoen als wie dan ook. Dat je een e-mailadres hebt waarmee re kunt replyen bewijst HELEMAAL NIETS over jouw identiteit.

Betrouwbare online authenticatie is hartstikke lastig omdat impersonatie meestal supersimpel is.

#Authenticatie #Impersponatie #Identificatie #OnlineAuthenticatie

@rrustema : "En ja, hij heeft zelf ook ondertekend."

Daar geloof ik helemaal NIETS van. Iedereen kan zich voordoen als wie dan ook. Dat je een e-mailadres hebt waarmee re kunt replyen bewijst HELEMAAL NIETS over jouw identiteit.

Betrouwbare online authenticatie is hartstikke lastig omdat impersonatie meestal supersimpel is.

#Authenticatie #Impersponatie #Identificatie #OnlineAuthenticatie

@rrustema : "En ja, hij heeft zelf ook ondertekend."

Daar geloof ik helemaal NIETS van. Iedereen kan zich voordoen als wie dan ook. Dat je een e-mailadres hebt waarmee re kunt replyen bewijst HELEMAAL NIETS over jouw identiteit.

Betrouwbare online authenticatie is hartstikke lastig omdat impersonatie meestal supersimpel is.

#Authenticatie #Impersponatie #Identificatie #OnlineAuthenticatie

@rrustema : "En ja, hij heeft zelf ook ondertekend."

Daar geloof ik helemaal NIETS van. Iedereen kan zich voordoen als wie dan ook. Dat je een e-mailadres hebt waarmee re kunt replyen bewijst HELEMAAL NIETS over jouw identiteit.

Betrouwbare online authenticatie is hartstikke lastig omdat impersonatie meestal supersimpel is.

#Authenticatie #Impersponatie #Identificatie #OnlineAuthenticatie

Dat de overheid eist dat werkgevers kopieën van paspoorten bewaren, SLAAT NERGENS OP - want een kopie bewijst NIKS (noteer de gegevens, dat volstaat).

Daarnaast zegt HELEMAAL NIEMAND dat je die kopieën digitaal ONLINE moet bewaren.

Nieuwe paspoorten aanvragen helpt ook nauwelijks, want er is geen openbaar register voor ingetrokken identiteitsbewijzen; de kopiejatters kunnen de kopieën in veel gevallen gewoon misbruiken.

En een nieuw BSN zit er al helemaal niet in (dat zou ook niet nodig moeten zijn om identiteitsfraude tegen te gaan).

Alle risico's zijn weer voor individuele burgers die geen keuze hebben.

https://nos.nl/artikel/2587574-opnieuw-hack-bij-albert-heijn-winkels-paspoorten-en-beoordelingen-buitgemaakt
Zie ook: https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21

#HersenlozeOverheid #HersenlozeWerkgevers #IdentiteitsFraude #Authenticatie #Impersonatie #IdentiteitsBewijs #KopieID #Paspoort

Dat de overheid eist dat werkgevers kopieën van paspoorten bewaren, SLAAT NERGENS OP - want een kopie bewijst NIKS (noteer de gegevens, dat volstaat).

Daarnaast zegt HELEMAAL NIEMAND dat je die kopieën digitaal ONLINE moet bewaren.

Nieuwe paspoorten aanvragen helpt ook nauwelijks, want er is geen openbaar register voor ingetrokken identiteitsbewijzen; de kopiejatters kunnen de kopieën in veel gevallen gewoon misbruiken.

En een nieuw BSN zit er al helemaal niet in (dat zou ook niet nodig moeten zijn om identiteitsfraude tegen te gaan).

Alle risico's zijn weer voor individuele burgers die geen keuze hebben.

https://nos.nl/artikel/2587574-opnieuw-hack-bij-albert-heijn-winkels-paspoorten-en-beoordelingen-buitgemaakt
Zie ook: https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21

#HersenlozeOverheid #HersenlozeWerkgevers #IdentiteitsFraude #Authenticatie #Impersonatie #IdentiteitsBewijs #KopieID #Paspoort

Dat de overheid eist dat werkgevers kopieën van paspoorten bewaren, SLAAT NERGENS OP - want een kopie bewijst NIKS (noteer de gegevens, dat volstaat).

Daarnaast zegt HELEMAAL NIEMAND dat je die kopieën digitaal ONLINE moet bewaren.

Nieuwe paspoorten aanvragen helpt ook nauwelijks, want er is geen openbaar register voor ingetrokken identiteitsbewijzen; de kopiejatters kunnen de kopieën in veel gevallen gewoon misbruiken.

En een nieuw BSN zit er al helemaal niet in (dat zou ook niet nodig moeten zijn om identiteitsfraude tegen te gaan).

Alle risico's zijn weer voor individuele burgers die geen keuze hebben.

https://nos.nl/artikel/2587574-opnieuw-hack-bij-albert-heijn-winkels-paspoorten-en-beoordelingen-buitgemaakt
Zie ook: https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21

#HersenlozeOverheid #HersenlozeWerkgevers #IdentiteitsFraude #Authenticatie #Impersonatie #IdentiteitsBewijs #KopieID #Paspoort

Dat de overheid eist dat werkgevers kopieën van paspoorten bewaren, SLAAT NERGENS OP - want een kopie bewijst NIKS (noteer de gegevens, dat volstaat).

Daarnaast zegt HELEMAAL NIEMAND dat je die kopieën digitaal ONLINE moet bewaren.

Nieuwe paspoorten aanvragen helpt ook nauwelijks, want er is geen openbaar register voor ingetrokken identiteitsbewijzen; de kopiejatters kunnen de kopieën in veel gevallen gewoon misbruiken.

En een nieuw BSN zit er al helemaal niet in (dat zou ook niet nodig moeten zijn om identiteitsfraude tegen te gaan).

Alle risico's zijn weer voor individuele burgers die geen keuze hebben.

https://nos.nl/artikel/2587574-opnieuw-hack-bij-albert-heijn-winkels-paspoorten-en-beoordelingen-buitgemaakt
Zie ook: https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21

#HersenlozeOverheid #HersenlozeWerkgevers #IdentiteitsFraude #Authenticatie #Impersonatie #IdentiteitsBewijs #KopieID #Paspoort

🧵1/3 met screenshot 5️⃣ behorende bij https://www.security.nl/posting/904175/qrco_de+op+parkeerautomaat - één dag na publicatie van dat artikel en de follow-up zojuist (https://www.security.nl/posting/904328).

Bron voor de QR-code: https://www.omroepwest.nl/verkeer/5012600/waarschuwing-voor-oplichting-met-valse-qr-stickers-op-parkeerautomaten.

De screenshot hieronder, nummer 5️⃣, is van na de volgende handelingen: (in gevaarlijke links heb ik de '/' vervangen door '\' om onbedoeld openen te voorkómen):

1️⃣ In Chrome onder Android openen van de link in de QR-code:
https:\\qrco.de\bgEGZn

2️⃣ In een pagina met een EasyPark logo staat:
Waar ben je geparkeerd ?
met een invulveld voor een vier-cijferige code. Ik voer wat willekeurigs in.

In de volgende pagina (waar ik geen screenshot van toon, niet echt boeiend) wordt om een autokenteken (zonder streepjes) gevraagd. Daar vul ik in:
27XKH5
(volgens https://www.rdwdata.nl/kenteken/27XKH5?search=1 was van de auto met dat kenteken de APK-vervaldatum 22-06-2017).

3️⃣ Er verschijnt een pagina met de vraag hoe lang je wilt parkeren. Opmerkelijk: hierin verschijnt de volgende ROEMEENSE tekst:
"Tariful se calculează automat."
En in het invulveld (feitelijk een dropdown menu) voor uren staat: "0 ore" vóóringevuld.

Erg slordig, maar ga er veiligheidshalve vanuit dat er bij een volgende aanval niet van dit soort stomme (vertaal-/taal-) fouten worden gemaakt.

4️⃣ Na drukken op het urenveld verschijnt een pagina met keuzes voor resp.
0 ore
1 oră
2 ore
3 ore
etcetera.

Ik kies voor "2 ore". Bij terugkomst in 3️⃣ laat ik minuten op nul en druk op de knop "Continuă".

5️⃣ De betaalpagina verschijnt, deze heeft de volgende URL:
https:\\161-35-211-42.cprapid.com\easy\pay.php
(die link openen zonder voornoemde stappen te doorlopen werkte zojuist ook, er is dan geen kenteken en geen parkeertijd zichtbaar).

6️⃣ Dezelfde betaalpagina (een deel ervan) in landschapsmodus , met de hele URL zichtbaar.

Screenshots 1️⃣ t/m 4️⃣ ziet u in🧵2/3 en
screenshot 6️⃣ in🧵3/3.

#Phishing #QRcode #EasyPark #Parkeren #Authenticatie #Impersonatie #Oplichting #InfoSec #QR #DV #DVcerts #BigTechIsEvil #DigitalOcean #LetsEncrypt

🧵1/3 met screenshot 5️⃣ behorende bij https://www.security.nl/posting/904175/qrco_de+op+parkeerautomaat - één dag na publicatie van dat artikel en de follow-up zojuist (https://www.security.nl/posting/904328).

Bron voor de QR-code: https://www.omroepwest.nl/verkeer/5012600/waarschuwing-voor-oplichting-met-valse-qr-stickers-op-parkeerautomaten.

De screenshot hieronder, nummer 5️⃣, is van na de volgende handelingen: (in gevaarlijke links heb ik de '/' vervangen door '\' om onbedoeld openen te voorkómen):

1️⃣ In Chrome onder Android openen van de link in de QR-code:
https:\\qrco.de\bgEGZn

2️⃣ In een pagina met een EasyPark logo staat:
Waar ben je geparkeerd ?
met een invulveld voor een vier-cijferige code. Ik voer wat willekeurigs in.

In de volgende pagina (waar ik geen screenshot van toon, niet echt boeiend) wordt om een autokenteken (zonder streepjes) gevraagd. Daar vul ik in:
27XKH5
(volgens https://www.rdwdata.nl/kenteken/27XKH5?search=1 was van de auto met dat kenteken de APK-vervaldatum 22-06-2017).

3️⃣ Er verschijnt een pagina met de vraag hoe lang je wilt parkeren. Opmerkelijk: hierin verschijnt de volgende ROEMEENSE tekst:
"Tariful se calculează automat."
En in het invulveld (feitelijk een dropdown menu) voor uren staat: "0 ore" vóóringevuld.

Erg slordig, maar ga er veiligheidshalve vanuit dat er bij een volgende aanval niet van dit soort stomme (vertaal-/taal-) fouten worden gemaakt.

4️⃣ Na drukken op het urenveld verschijnt een pagina met keuzes voor resp.
0 ore
1 oră
2 ore
3 ore
etcetera.

Ik kies voor "2 ore". Bij terugkomst in 3️⃣ laat ik minuten op nul en druk op de knop "Continuă".

5️⃣ De betaalpagina verschijnt, deze heeft de volgende URL:
https:\\161-35-211-42.cprapid.com\easy\pay.php
(die link openen zonder voornoemde stappen te doorlopen werkte zojuist ook, er is dan geen kenteken en geen parkeertijd zichtbaar).

6️⃣ Dezelfde betaalpagina (een deel ervan) in landschapsmodus , met de hele URL zichtbaar.

Screenshots 1️⃣ t/m 4️⃣ ziet u in🧵2/3 en
screenshot 6️⃣ in🧵3/3.

#Phishing #QRcode #EasyPark #Parkeren #Authenticatie #Impersonatie #Oplichting #InfoSec #QR #DV #DVcerts #BigTechIsEvil #DigitalOcean #LetsEncrypt