France Travail schickte am Dienstag, den 22. Juli, eine Abendpost an einige der mit seinem Dienst registrierten Benutzer und machte auf einen Akt von Cyber-Böserei aufmerksam, der zu einer unrechtmäßigen Konsultation ihrer persönlichen Daten geführt haben könnte. In seiner E-Mail, die Next unten reproduziert, gibt ex Pole Emploi an, dass das Leck auf der Ebene des „Geschäftsportals für seine Partner“ aufgetreten sei.

Die Agentur behauptet auch, den betreffenden Dienst sofort eingestellt zu haben, Analysen zur Ermittlung des Ursprungs des Angriffs eingeleitet und ihre Meldepflichten erfüllt zu haben, indem sie die CNIL zum 13. Juli, dem Datum der Entdeckung des Vorfalls, informiert hat.

„Die kompromittierten Daten sind Ihr Name, Vorname, Post- und elektronische Adresse, Telefonnummer, Frankreich-Arbeit und Statuskennung (Registrierung, Registrant). Ihre Bankdaten oder Passwörter sind von diesem Vorfall nicht betroffen“, informiert France Travail.

Wie immer unter solchen Umständen fordert die Agentur die betroffenen Nutzer auf, vorsichtig zu sein, insbesondere im Hinblick auf die Risiken des Phishing.
Diese E-Mail wurde von France Travail an einige registrierte Parteien am Dienstag, den 22. Juli am Ende des Tages geschickt.

Das von Next kontaktierte Geschäftsführung von France Travail gibt einige Details zur Art des Vorfalls und vor allem am Rande. Die Warnung war der erste Teil des CERT-FR des ANSSI am 12. Juli. Sein Gehalt ermöglichte es den internen Teams von France Travail, den Service zu identifizieren, durch den der Flug stattfand.

„Dies ist der Kairos-Antrag, der es Ausbildungsorganisationen ermöglicht, auf die Überwachung der Ausbildung von Arbeitssuchenden zu reagieren. Der Service wurde sofort geschlossen sowie alle anderen Dienste im Arbeitsportal für unsere Partner“, erklärt France Travail. Das Leck wäre durch Kompromisse durch eine Malware vom Infostealer-Typ (Software spezialisiert auf den Diebstahl persönlicher Informationen) eines Benutzerkontos ermöglicht worden, das einer Ausbildungsorganisation mit Sitz in der Isere beigefügt ist.
340 000 Arbeitssuchende besorgt

Zusätzlich zum Bericht an die CNIL stellt France Travail, dass es eine Beschwerde bei den Behörden eingereicht habe, parallel zur Beschwerde über die Betroffenen. „Daten von 340.000 Arbeitssuchenden wurden abgerufen und würden daher wahrscheinlich illegal entfesselt und ausgenutzt“, verrät die Agentur auf dieser Ebene.

Die von dieser präventiven Schließung betroffenen Dienste sollten am Donnerstag reaktiviert werden. France Travail erklärt, dass es seine Schutzmaßnahmen verstärkt und den Einsatz der speziellen Double-Faktor-Authentifizierung in Kairos beschleunigt hat, die ursprünglich für nächsten Oktober geplant war.

„Angesichts der wachsenden Bedrohung durch Cyberangriffe verstärken wir kontinuierlich unseren Schutz, Verfahren und Anweisungen und fordern unsere Partner auf, unsere Dienste und Apps zu nutzen, um die größte Wachsamkeit hinsichtlich der Robustheit und Vertraulichkeit ihrer Passwörter zu gewährleisten“, fährt France Travail fort.

Es sei daran erinnert, dass der Dienst für Arbeitssuchende Anfang 2024 Opfer eines massiven Datenlecks war, das zur Offenlegung von Informationen in Bezug auf etwa 43 Millionen Registranten geführt hatte. Der tatsächliche Umfang des Eindringens war jedoch später relativiert worden.

Le chiffrement des mails côté client semble être de plus en plus l'alternative à avoir. ProtonMail en est un exemple. Les métadonnées du mail reste cependant clair.

L'autre alternative est le chiffrement complet côté client. En échange, la recherche des les emails se fait forcément côté client. Tuta est de ce bord. En revanche, ils imposent l'utilisation de leurs outils (POP et IMAP ne fonctionnent pas).

L'email reste une solution peu confidentielle, comme le détaille le modèle de menace décrit dans Ok, je dois utili­ser Tuta alors ?

"Drag'n'Drop" the dataset to anonymise it: https://www.anonymco.com/

A kind of privacy by design. I don't know it, only the current branding and marketing.

La LED est activé via le logiciel, donc un contournement est bien possible avec le matériel. "Dis Siri" fonctionne malgré que la LED soit éteinte.

À la maison, j’ai décidé de chuchoter pour m’adresser à mon mari. Surpris, il m’a demandé pourquoi je parlais en chuchotant.

• Pour ne plus être espionnée par Google!

Mon mari a rigolé.
Alexa a rigolé
Siri a rigolé
Mon frigo a rigolé

Demonstration of various tracking technologies to collect user data, using dark patterns in cookie banners for example.

Technical standards, like those from @w3c, aim to improve #privacy
, and solutions include a taxonomy of tracking purposes and standardized consent recording to enhance compliance and user control.

There were already a "Do Not Track" for Firefox. Let's see if an standardized HTTP header or something similar can solve this.

Issues with Signal listed so far

• Tied to US for most of its funding
• The funding sources remains unclear
• Employees gets ~$440,000 annually
• Use GAFAM to work such as Amazon (AWS) or Goggle and Microsoft (hosting too)
• metadata can be spied by the U.S.. See https://lemmy.ml/comment/5882433 or the metadata provided https://signal.org/bigbrother/santa-clara-county/
• despite requests from many users, Signal hasn’t supported the inclusion of its app on F-Droid
• Signal logs information through the notifications, and audio calls (time, name of the account) on the device. See how to reduce data leak
• When the device is unlocked, Signals content can be read

Other critics are stated in https://nostr.band/note154hta9dt8k4mhleu4z20rwlqd85dxap20xtvcy4fq89uzcrwshpsdelk2t

An alternative to Signal

A collection of apps useful for smartphones.

Proton said the company would leave the country.
Infomaniak stays.

(shared via https://discuss.privacyguides.net/t/infomaniak-breaks-rank-and-comes-out-in-support-of-controversial-swiss-encryption-law/28065)

Google, Microsoft, Amazon, X, and the entire tracking-based advertising industry rely on the “Transparency & Consent Framework” (TCF) to obtain “consent” for data processing. This evening the Belgian Court of Appeal ruled that the TCF is illegal. The TCF is live on 80% of the Internet.

Dr Johnny Ryan said "Today's court's decision shows that the consent system used by Google, Amazon, X, Microsoft, deceives hundreds of millions of Europeans. The tech industry has sought to hide its vast data breach behind sham consent popups. Tech companies turned the GDPR into a daily nuisance rather than a shield for people."

Infringements include failing to ensure personal data are kept secure and confidential, fail to properly request consent and TCF (Transparency & Consent Framework) uses "legitimate interest" wrong. TCF fails to provide transparency about data processing.

Oniux uses the Linux namespaces to isolate parts of the technologies (network, file system, ...) of the running program.

oniux curl https://icanhazip.com

L'organisation non-gouvernementale Noyb travaille bien à faire respecter le RGPD.

ce combat porte essentiellement sur la question de savoir s'il faut demander le consentement des gens ou simplement prendre leurs données sans leur consentement

Meta a commenté:

L'entreprise a ajouté : « les recours en série de noyb font partie d'une tentative d'une minorité bruyante de groupes activistes de retarder l'innovation en matière d'IA dans l'UE, ce qui nuit en fin de compte aux consommateurs et aux entreprises qui pourraient bénéficier de ces technologies de pointe ».

Redirect some websites to website proxies (Invidious for Youtube).

Cloudflare is not legal in Europe: it breaches the GDPR many times.

(via https://sebsauvage.net/links/?SM8i1g)

The Office of Texas Attorney General Ken Paxton originally filed the first lawsuit against Google in January 2022, complaining that the tech giant collected users’ geolocation data. It alleged that Google has continued to track users’ locations even after they thought they had disabled the feature, and then used the data to serve them advertisements.

Ils font de même dans chrome, et la série d'applications Google for smartphones

Microsoft tries to save itself https://sebsauvage.net/links/?BgROmQ

(via https://sebsauvage.net/links/?A3dDjA)

Un récent arrêt de la Cour de cassation estime que l’identification d’un salarié à partir de son adresse IP, interne au réseau de l’entreprise et enregistrée au sein de fichiers de journalisation, n’est licite que si ce dernier a donné son consentement explicite pour ce recueil. »

Manuel Atug von der Arbeitsgruppe Kritische Infrastrukturen bemängelt, dass die Versicherten keine Möglichkeit haben, einzelne Dokumente nur bestimmten Ärzten zur Verfügung zu stellen. "Heißt, meine Zahnärztin, meine Heilpraktikerin, jeder kann dann auf psychologische Informationen, auf irgendwelche Röntgenbilder, auf irgendwelche Gutachten, auf Protokolle, auf die ganzen Abrechnungsdaten komplett zugreifen, obwohl der Bedarf nicht gegeben ist", sagt Atug