Facebook now lets you delete old posts in bulk

Dealing with skeletons lurking in your Facebook closet has never been easier

By Tomáš Foltýn 

Facebook is rolling out a new feature that will be a boon to everyone who’s looking to scrub their social media presence squeaky-clean. Called ‘Manage Activity’, the new tool will enable people to easily triage and then hide or delete their old – and undesirable – posts en masse. The feature greatly simplifies the currently painstaking process of purging your Facebook

persona of potentially problematic posts.

The social network itself outlined a few likely scenarios when the tool might come in handy:

“Whether you’re entering the job market after college or moving on from an old relationship, we know things change in people’s lives, and we want to make it easy for you to curate your presence on Facebook to more accurately reflect who you are today. That’s why we’re launching Manage Activity to help you archive or trash old posts, all in one place,” according to the announcement on Tuesday.

Manage Activity allows you to archive or delete selected posts. The former involves hiding any posts from the public eye, but still keeping them for yourself. The second option lets you move your old comments or photos to a trash can; you will then have 30 days to reinstate the material, after that it will be gone for good. You can do the cleanse either individually or in bulk.

https://www.welivesecurity.com/2020/06/03/facebook-delete-old-posts-bulk/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-050620

The arguably much-needed tool comes with filtering criteria that will help you sort and find posts with certain people in them or in a specific time range. You no longer need to sift laboriously through your Facebook timeline, post by post, rely on third-party apps, or take the nuclear option of deleting your Facebook account entirely in the hope of reducing your digital footprint.

The new feature is available in Facebook’s mobile apps and in Facebook Lite, and will come to desktop later. You can access by navigating to your profile’s ‘Activity Log’ section and tapping on ‘Manage Activity’.

To be sure, the ability to remedy your past social media transgressions shouldn’t detract from the need to remain wary of what and with whom you share on Facebook or other social sites now and in the future. To learn how you can lock down your privacy on the social platform, head over to our tips for beefing up your Facebook privacy.

Hoe veilig is het vergrendelingsscherm van je telefoon?

Van de eenvoudige toegangscode tot biometrische authenticatie zijn er heel wat opties om je Android-telefoon te vergrendelen. Maar hoe zit het met hun veiligheid?

Naarmate mensen gevoeliger worden voor de privacy en beveiliging van hun gegevens, zou men geneigd zijn te denken dat het beveiligen van hun telefoon met ten minste een of andere vorm van authenticatie nu heel gewoon zou zijn. Dit is echter ver van waar. Volgens een rapport van het Pew Research Center (report by the Pew Research Center) gebruikt bijna een derde van de Amerikanen geen enkele vorm van schermvergrendeling. ESET Research heeft hier over nagedacht toen het onderzocht hoe je de beveiliging van je telefoon in 2020 kunt verbeteren (how to improve the security of your phone in 2020).

Nu gaan we dieper in op de verschillende verificatiemethoden die Android-toestellen bieden.

Patroonvergrendeling

Een patroonvergrendeling, zoals de naam doet vermoeden, is een vergrendeling waarvoor de eigenaar een specifiek patroon moet invoeren om zijn apparaat te ontgrendelen. Dat patroon heeft  hijzelf bedacht. Wat de keuzes voor schermvergrendeling betreft, kunnen patroonvergrendelingen best worden beschouwd als een beveiligingsoptie van middelmatig niveau. Je gekrabbel kan zo eenvoudig zijn als het tekenen van een L of je kunt het patroon moeilijker maken door het een meer ingewikkelde vorm te geven. Hoe eenvoudiger het patroon, hoe gemakkelijker het is om die te kopiëren voor zij die over je schouder kijken.

Uit onderzoek is ook gebleken dat zij die over je schouder kijken erin slaagden het patroon 64,2% van de tijd opnieuw te creëren (recreating the swipe pattern 64.2% of the time) nadat ze er eenmaal naar gekeken hadden. Met meerdere kijkbeurten neemt het risico toe. De beveiliging kan ook verbeterd worden door feedbackregels uit te schakelen en te kiezen voor een meer ingewikkelde patroon. Alles goed overwogen, is een pincode of een wachtwoord over het algemeen een veiligere optie.

PIN / wachtwoord

Als je slim bent geweest en helemaal geen beveiliging hebt ingesteld op je Android-apparaten, ben je waarschijnlijk vertrouwd met de optie PIN-vergrendeling / wachtwoord, omdat dit de code is van je simkaart  die je moet invoeren wanneer je de telefoon uit- en weer aanzet. Bij veel Android-versies kan je een eenvoudige viercijferige code instellen, maar als je om je veiligheid geeft, kies je toch een veel langere pincode.

Als je de vergrendeling wilt verbeteren, moet je wellicht kiezen voor een wachtwoord dat letters, cijfers en speciale tekens bevat zodat het ten minste 8 tekens lang is. Misschien is het wat moeilijker om te onthouden en in te voeren, maar op de lange termijn zal je blij zijn dat je op veilig hebt gespeeld. Wil je echter de lat hoger leggen, dan kan je ook de functie inschakelen om je telefoon te wissen na een aantal mislukte inlogpogingen.

Biometrische vingerafdruk vergrendeling

Gelukkig voor sommigen onder ons is biometrische vergrendeling met vingerafdruk nog een andere optie. Deze  bestaan in verschillende soorten, sommige zijn stand-alone vergrendelingen, andere zijn opgenomen in toetsen en de nieuwste zijn verborgen in het smartphonescherm. De reden hiervoor is dat het vingerafdrukvergrendeling kan worden beschouwd als een van de snelste manieren om een telefoon te beveiligen. Door je vinger op de lezer te plaatsen, wordt je telefoon binnen een fractie van een seconde ontgrendeld.

Maar is het waterdicht? Als het doorsneemensen betreft, is het zeer te betwijfelen of een slechterik de beproeving zou doorstaan ​​om te proberen een biometrisch vergrendeling  te kraken. Toch is het omzeilen van een dergelijke vergrendeling niet helemaal onmogelijk. Vingerafdrukken kunnen van foto's en andere bronnen gestolen worden en vervolgens opnieuw worden gemaakt, zelfs met alleen 2D-afdrukken, en zo gebruikt worden om de biometrische vergrendeling te omzeilen (used to bypass biometric locks). In 2017 kon één veiligheidsonderzoeker de vingerafdruk van de Duitse minister van Defensie (Germany’s Minister of Defense) vanaf foto's met een hoge resolutie gewoon nabootsen.

Gezichtsscan

Deze biometrische vergrendeling doet precies wat het zegt: het scant je gezicht. Hoewel je zou kunnen denken dat de werkwijze vrij geavanceerd is en een groot aantal technologische wonderen inhoudt, is het in feite afhankelijk van je camera aan de voorkant en wat software. De camera scant een afbeelding van je gezicht en gebruikt vervolgens een algoritme voor gezichtsherkenning om je gezicht te verifiëren. De snelheid van het ontgrendelen hangt ook af van je telefoon en de kwaliteit van de camera aan de voorkant.

Deze maatregel is niet per se zo veilig en een slechterik kan je telefoon voor de gek houden met een foto van je gezicht. Onderzoekers voerden een test uit op 110 verschillende smartphones (110 different smartphones)en wat ze vonden, leverde geen mooi plaatje op.  Een biometrisch vergrendeling met vingerafdruk in combinatie met een toegangscode is een veiligere manier van omgaan.

Merkspecifieke kenmerken

Verschillende merken smartphones zetten ook in op biometrische beveiligingsmaatregelen door hun toestellen van speciale functies te voorzien om de beveiliging ervan te versterken. Deze variëren van verschillende niveaus van gezichtsscans tot irisscans. Samsung heeft bijvoorbeeld een eigen versie van de irisscan, die vrij eenvoudig is om in te stellen. Het overweegt of je een bril draagt ​​of niet. De technologie maakt gebruik van een infrarood-LED om je ogen te verlichten, terwijl een camera met smalle focus het irispatroon vastlegt zodat de smartphone die informatie kan verwerken. Het klinkt erg high-tech, maar is het wel veilig? Een team van White hat-hackers die een camera met een infraroodfunctie gebruikte, slaagde erin de eerste telefoons van Samsung, voorzien van deze functie, te misleiden (trick the first of Samsung’s phones).

Eindoordeel

Er bestaan een groot aantal vergrendelingsopties. Het is altijd verstandig om een combinatie van functies te kiezen en niet op slechts één te vertrouwen. Maar misschien wel de veiligste optie in deze lijst is de betrouwbare pincode of het wachtwoord van voldoende lengte, met daarna een vingerafdrukscan. Welke optie je ook kiest, het is altijd slim om vooruit te plannen. Als je nu je telefoon beveiligt, vermijd je in de toekomst misschien vervelende kopzorgen.

Google adds Nest devices to Advanced Protection Program

You can now shore up your smart home security by leveraging Google's top security offering

Amer Owaida 

Google has announced that its Advanced Protection Program (APP) is now available for Nest smart home devices. People could previously use their Google account with either APP or Nest devices, but not both at the same time.

The update has been high on the wish list of Google’s userbase, Shuvo Chatterjee, APP product manager, wrote in a blog post on Monday.

“Since we launched, one of our goals has been to bring Advanced Protection’s features to other Google products. Over the years, we’ve incorporated many of them into GSuite, Google Cloud Platform, Chrome, and most recently, Android,” said Chatterjee, adding that Google wanted as many people as possible to benefit from the extra security provided by the program.

The addition of APP is the latest in a slew of security features that have been rolled out to the popular line of connected devices following reports of hijackings of multiple Nest devices and vulnerabilities in Nest security cameras.

Two-factor authentication has become mandatory for Nest owners who haven’t turned on this option or migrated to a Google account. Meanwhile, reCAPTCHA Enterprise was added to lower the likelihood of automated attacks, and login notifications were rolled out to the platform back in December.

RELATED READING: Privacy by Design: Can you create a safe smart home?

Launched in 2017, APP is mainly aimed at people who are at a high risk of targeted attacks due to the nature of their work – journalists, activists, business leaders, and political campaign teams. However, you don’t have to be a member of any of those groups to beef up your Google account security. Anyone interested in added protection against phishing, malware and fraudulent access to their data can sign up.

To enroll in the program, you have two options: either use two physical security keys, including one as a backup, or a smartphone. The phone needs to run Android 7.0 or higher or iOS 10.0 or above. While Android phones have the security key built in, iPhone users have to install the “Google Smart Lock” app. Even so, Google recommends that you should add a hardware token, such as its own Titan Security Key, as a backup in case your phone goes missing.

Bug in ‘Sign in with Apple’ could have allowed account hijacking

The tech giant rewards the bug bounty hunter who found the severe flaw in its login mechanism with US$100,000

Amer Owaida 

A bug bounty hunter has disclosed a severe flaw in Apple’s “Sign in with Apple” feature that, if exploited, could have allowed an attacker to hijack people’s accounts on major third-party services. According to Bhavuk Jain, any accounts on third-party apps and websites that used the authentication method but did not implement any additional security measures of their own were at risk.

Jain discovered the bug in April and went on to report it to Apple, which rewarded him with US$100,000 under the company’s Security Bounty program. The Indian bug bounty hunter said that Apple investigated their logs and didn’t find records of any account compromise or misuse stemming from the vulnerability. The bug has since been patched, although

Apple has yet to comment publicly on Jain’s findings.

Bhavuk Jain@bhavukjain1

Here’s my first 6 digit bounty from @Apple. Blog post will be up next week. #bugbounty

3,300

5:30 AM - May 24, 2020 · New Delhi, India

Twitter Ads info and privacy

630 people are talking about this

Jain notes that there are two ways “Sign in with Apple” authenticates users – either by using a JSON web token (JWT) or by Apple’s servers generating a code, which then generates a JWT. When signing in, the user then has the option to either share their Apple ID associated mail with the third-party app or not.

In the latter scenario, a user-specific Apple relay Email ID is generated. Once authorization is successful, Apple generates a JWT containing the Email ID, which is used by the third-party app to log the user in. Due to missing validation, however, there was a way to subvert the process involving the JWT to hijack a user’s account – and it only required knowing the target’s email ID.

“I found I could request JWTs for any Email ID from Apple and when the signature of these tokens was verified using Apple’s public key, they showed as valid. This means an attacker could forge a JWT by linking any Email ID to it and gaining access to the victim’s account,” said Jain.

The Cupertino tech giant requires developers to add a “Sign in with Apple” option whenever other forms of social logins (Facebook, Google) are available. The feature is used by countless major services, such as Spotify, Airbnb, Adobe, eBay, and Dropbox, to name a few.

Earlier this year, a pair of severe security vulnerabilities was found in iOS Mail app, which comes pre-installed on all iOS devices. The flaws have been since patched and an update has been rolled out to the public.

Full artyicle on

https://www.welivesecurity.com/2020/06/01/bug-sign-in-apple-account-hijacking/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

People know reusing passwords is risky – then do it anyway

And most people don’t change their password even after hearing about a breach, a survey finds

Amer Owaida 

While nearly all respondents in a recent survey were aware of the risks associated with poor password hygiene, most people don’t do anywhere near enough to keep attackers at bay, the third installment of the LastPass Psychology of Passwords Report has revealed.

As many as 9 in 10 respondents surveyed by the password manager purveyor acknowledged knowing that recycling the same password or using a variation of it across multiple account was risky. Still, two-thirds used the same password or a derivate for all their online accounts, which is actually an increase of 8 percentage points from the survey conducted in 2018. The new edition of the survey took place in March of this year and canvassed opinions from 3,250 people on various continents.

The report also reveals that 53% of respondents haven’t changed their password in the last year even after they heard about a breach in the news. Also, 4 in 10 people believe that having an easy-to-remember password is more important than a secure password. Apparently some take it a bit too far, since studies have shown that year after year, passwords such as “12345”, “123456” and “123456789” top the lists of the most popular passwords.

One of the reasons people don’t apply proper password hygiene is that they underestimate the risk. In fact, 4 in 10 think that their accounts aren’t worth the hacking effort. One thing to remember is that everyone is a target. Your information can be part of a breach that involves millions of stolen credentials. That data can then be used to piece together other information, since if you recycle your passwords, bad actors can gain access to other services, including your online banking.

RELATED READING: How to spot if your password was stolen in a security breach

Speaking of which, almost three-quarters of respondents concurred that financial accounts need extra protection. About half said that email accounts needed stronger passwords since those are usually at the center of people’s digital identities and can contain tons of exploitable data. A third considers medical records sensitive enough to require protection by stronger passwords as well.

Luckily, most respondents realize that there are additional steps they can take to secure their accounts, such as multi-factor authentication (MFA). Only 1 in 5 wasn’t aware of what MFA was, while over a half said that they use it to secure their personal accounts and 37% use it at work.

To sum it up, you should avoid creating simple passwords and recycling them across accounts – two of the common password mistakes people make. Instead, opt for long passphrases, consider using a password manager and add that extra protection layer with MFA, whenever available.