Een schutter probeerde afgelopen weekend het Correspondents’ Dinner van het Witte Huis in Washington DC binnen te komen, terwijl president Donald Trump, vice-president JD Vance en andere regeringsfunctionarissen aanwezig waren. Mediaberichten en Trump zelf identificeerde snel de vermoedelijke schutter als de 31-jarige ingenieur en computerwetenschapper Cole Tomas Allen. De inwoner van Californië werd zaterdag ter plaatse gearresteerd en verscheen maandag voor de Amerikaanse rechtbank voor het District of Columbia geconfronteerd met drie federale aanklachten: een poging om de president te vermoorden, het transport van een vuurwapen in de interstatelijke handel en het afwerpen van een vuurwapen tijdens een geweldsmisdrijf.
De instantie voor authenticatiestandaarden, bekend als de FIDO Alliance, heeft deze week werkgroepen aangekondigd om samen met Google en Mastercard technische vangrails te ontwikkelen voor het valideren en het beschermen van transacties die zijn geïnitieerd door een AI-agent. Ondertussen, gezien de proliferatie en toenemende gevoeligheid van sommige werkzaamheden waarbij gebruik wordt gemaakt van AI, OpenAI heeft een ‘geavanceerde’ beveiligingsrisicomodus geïntroduceerd voor ChatGPT- en Codex-accounts die een verhoogd risico lopen op aanvallen.
Nieuw onderzoek deze week werpt licht op een incident waarbij Online werden 90.000 screenshots van de telefoon van een Europese beroemdheid getoond– het onderstrepen van de risico’s van in de handel verkrijgbare spyware, zowel als een inbreuk op de persoonlijke privacy als als een bedreiging voor wijdverbreide datalekken en -misbruik. En WIRED keek ernaar arrestaties in de Verenigde Arabische Emiraten als gevolg van het delen van screenshots door mensen en andere online-inhoud.
En er is meer. Elke week verzamelen we het beveiligings- en privacynieuws dat we zelf niet diepgaand hebben behandeld. Klik op de koppen om de volledige verhalen te lezen. En blijf veilig daarbuiten.
De gelukkigste plek op aarde is zojuist een beetje griezeliger geworden. De Walt Disney Company aangekondigd deze week zullen bezoekers van het Disneyland Park en Disney California Adventure Park de mogelijkheid hebben om te “kiezen” om het park te betreden via een baan die is uitgerust met gezichtsherkenningstechnologie. Hoewel het bedrijf zegt dat jezelf onderwerpen aan gezichtsherkenning “volledig optioneel” is, merkt het op dat “je nog steeds een foto kunt laten maken” als je de parken betreedt via rijstroken zonder gezichtsherkenningssystemen. De gezichtsherkenning van Disney werkt, net als vele andere, door afbeeldingen van de gezichten van mensen om te zetten in een numerieke waarde, die vervolgens kan worden gebruikt om gezichten in andere afbeeldingen te matchen. Het bedrijf zegt dat deze numerieke waarden na 30 dagen zullen worden verwijderd, “behalve in gevallen waarin gegevens moeten worden bewaard voor juridische doeleinden of fraudepreventiedoeleinden.”
Gezichtsherkenningssystemen worden veel gebruikt in de Verenigde Staten en de rest van de wereld. Wetshandhavingsinstanties maken veelvuldig gebruik van de technologie, maar deze heeft zich ook verspreid naar alledaagse aspecten van het leven luchthavens naar MLB en NFL stadions naar Madison Square-tuin.
Het Mythos Preview AI-model van Anthropic wordt beschreven als zo bedreven in het opsporen van hackbare bugs in software dat het gebruik ervan tot nu toe zorgvuldig is beperkt om te voorkomen dat het in handen van kwaadwillende hackers valt. Dus misschien zou het meer een verrassing zijn als de National Security Agency dat wel zou doen niet probeer het al uit.
Bloomberg Nieuws en Axios meldde deze week dat de NSA een van de agentschappen en bedrijven was die vroege toegang kregen tot Mythos, wat volgens Axios tot nu toe beperkt is tot 40 organisaties. Het bureau heeft de tool gebruikt om te zoeken naar bugs in de software van Microsoft (uiteraard gezien het feit dat deze nog steeds op de meeste pc’s ter wereld draait) en is onder de indruk van de snelheid en effectiviteit bij het vinden van exploiteerbare kwetsbaarheden, aldus bronnen die anoniem met Bloomberg hebben gesproken. De opdracht van het agentschap omvat immers een aantal elementen van het helpen van de Amerikaanse overheid bij het ontdekken en patchen van beveiligingskwetsbaarheden in de software die zij gebruikt, en soms ook het exploiteren van deze kwetsbaarheden in de eigen activiteiten van de NSA.
Het testen of adopteren van de AI-tool van Anthropic door de NSA lijkt te zijn doorgegaan ondanks het door het ministerie van Defensie afgekondigde verbod op Anthropic, dat volgde op de bewering van minister van Defensie Pete Hegseth dat het bedrijf een risico voor de toeleveringsketen vormde. Hegseth zei echter in februari dat de DOD over een periode van zes maanden zal afstappen van de instrumenten van Anthropic, en Anthropic heeft een rechtszaak aangespannen om te voorkomen dat het verbod wordt uitgevaardigd. Gegeven het feit dat de NSA deel uitmaakt van de DOD, is het op dit moment niet duidelijk of de NSA Mythos alleen maar gebruikt in de etalage voordat het verbod van kracht wordt, of dat het instrument krachtig genoeg is om de NSA ervan te overtuigen het verbod te heroverwegen – of een uitzondering te maken.
De ransomwaregroep die bekend staat als Scattered Spider is verantwoordelijk geweest voor enkele van de meest schadelijke, op afpersing gerichte hackcampagnes uit de recente geschiedenis, waaronder de inbreuken op MGM Resorts, Caesars Entertainment en retailers als M&S en Harrods. Het onderscheidt zich ook onder de ransomwarebendes vanwege het lidmaatschap: vaak zeer jonge, Engelssprekende hackers die gevestigd zijn in landen die samenwerken met de Amerikaanse wetshandhaving – en daarom de neiging hebben gearresteerd te worden.
Het laatste vermeende lid van de groep dat moet worden geïdentificeerd en aangeklaagd is de 19-jarige Peter Stokes, die werd gearresteerd op een luchthaven in Finland, waar hij van plan was aan boord van een vlucht naar Japan te gaan. Volgens de Chicago Tribune wordt de vermeende betrokkenheid van Stokes bij het aanvallen van vier Scattered Spider-slachtofferbedrijven beschreven in een strafrechtelijke klacht die sindsdien onder verzegeling is geplaatst. Stokes wordt naar verluidt beschuldigd van het helpen stelen van miljoenen van deze niet-geïdentificeerde slachtofferbedrijven, waaronder een online communicatieplatform en een luxe retailer. Volgens de klacht leidde hij ook een jetsetleven, waarbij hij van Dubai naar Thailand naar New York reisde en op een foto verscheen met een halsketting met diamanten erop met de tekst ‘HACK THE PLANET’.
Een Medicare-database die op het open internet toegankelijk was gelaten, onthulde onbedoeld de burgerservicenummers en andere persoonlijke informatie van zorgverleners in de VS, meldt de Washington Post. De database was gekoppeld aan een online directeur voor de Centers for Medicare en Medicaid Services (CMS), waardoor Medicare-patiënten konden controleren welke verzekeringsplannen zorgverleners accepteren. Volgens de Post stonden de blootgestelde gevoelige gegevens “minstens enkele weken” online. Het uitrollen van de directory maakt deel uit van een poging van de regering-Trump om ‘een nationale database van zorgverleners te creëren’, meldt de Post, waarop toezicht wordt gehouden door Amy Gleason, het waarnemend hoofd van de Amerikaanse DOGE Service, die ook als ambtenaar bij CMS fungeert.
