Britse toezichthouder stelt Microsoft vragen over AI-screenshotfunctie Recall

De Britse privacytoezichthouder ICO onderzoekt de veiligheid van Microsofts Copilot + PC-functie Recall. Deze functie maakt 'elke paar seconden' een screenshot die later terug te halen is. ICO wil zeker weten dat de privacy van gebruikers hierbij gewaarborgd is.

"We stellen Microsoft vragen om te begrijpen hoe het bedrijf de privacy van gebruikers waarborgt", zegt het Information Commissioner's Office tegen onder meer de BBC. De woordvoerder zegt verder dat bedrijven risico's voor de rechten en vrijheden van mensen in kaart moeten brengen en moeten tegengaan voor ze nieuwe producten uitbrengen.

Het kantoor reageert hiermee op de Recall-functie, die Microsoft eerder deze week aankondigde. Recall maakt iedere paar seconden screenshots van de bezigheden van de gebruiker. Deze screenshots worden versleuteld en lokaal opgeslagen. Gebruikers kunnen deze screenshots met een timeline opnieuw bekijken. Copilot herkent in welke app het screenshot is gemaakt en opent deze. Later moet Recall de daadwerkelijke bron van wat er in het screenshot te zien is openen, zoals de specifieke mail of url. Gebruikers kunnen Copilot ook vragen om te zoeken naar een Recall-screenshot, zoals een screenshot waarin een product te zien is dat de gebruiker eerder die week heeft gezien op internet.

Recall vereist minstens 50GB opslagruimte en 25GB aan Recall-opslag is goed voor 'ongeveer drie maanden aan screenshots'. Oude screenshots worden verwijderd als de opslagruimte vol is, om ruimte te maken voor nieuwe screenshots. Gebruikers kunnen bepaalde apps uitsluiten van Recall en ze kunnen screenshots verwijderen. Recall wordt ook uitgeschakeld in InPrivate-sessies in Edge en slaat geen DRM-content op. De functie doet niet aan moderatie; wachtwoorden en bankrekeningnummers worden bijvoorbeeld ook opgeslagen in de screenshots. Gebruikers kunnen Recall uitschakelen.

Microsoft zegt dat Recall-screenshots gekoppeld worden aan profielen en dus niet door andere pc-gebruikers ingezien kunnen worden, tenzij ze het profiel delen. Het bedrijf zegt de screenshots ook niet te kunnen inzien of te kunnen gebruiken voor advertentiedoeleinden. Microsoft zegt tegen de BBC dat de functie alleen te misbruiken zou zijn door hackers als die fysieke toegang hebben tot een pc, deze kunnen ontgrendelen en kunnen inloggen. Recall werkt vooralsnog alleen op Copilot+-pc's, prebuilt-pc's van derden met ingebouwde npu's.

Reacties (85)

Rob vd Hoeven 22 mei 2024 15:38

Ik kan me niet voorstellen dat dit voor gebruikers nuttig is. Zelf werk ik al 40 jaar met computers en ik heb nog nooit een "recall functie" gemist. Het lijkt me wel erg handig voor partijen die het gedrag van gebruikers in kaart willen brengen (en misschien de resultaten daarvan gaan gebruiken). Recall lijkt me een profileringstool on steroids.

Anoniem: 80910 @Rob vd Hoeven • 23 mei 2024 15:32

Wel ook de camera, het kan alles herkennen en een actie aankoppelen...

wild_dog 22 mei 2024 16:36

Vraag me af hoe lang het duurt voordat AP zich er mee gaat bemoeien?

Als deze screenshots ook doorgestuurd worden, is er letterlijk geen mogelijkheid dat dit legaal is. Zodra iemand namelijk een Overheids/Verzekerings document of website opend, waar het BSN nummer te zien is, is MS namelijk expliciet illegaal bezig.

Je zou zelfs een argument kunnen maken dat ze dat zijn zonder dat het verstuurd wordt, aangezien de screenshots ook lokaal opgeslagen worden, en niet voor een toegestaan doel. Alles wat nodig is om de Pagina/Documenten te renderen, is prima en tijdelijk. Zodra het ook wordt opgeslagen voor het doel van 'geschidenis van samenvattingen maken'?

"Er is instemming gegeven via de EULA" of "de gebruiker kan het uit zetten" en zelfs "de gebruiker zette het zelf aan" gaan ook niet op:

Soms mogen organisaties iemands persoonsgegevens gebruiken als diegene daarvoor toestemming geeft. Dat geldt niet voor het BSN. Organisaties mogen het BSN alleen gebruiken als in de wet staat dat ze dat mogen. Staat het niet in de wet, dan mag het niet. Ook niet met toestemming.

Bron: https://www.autoriteitper...n/voorwaarden-gebruik-bsn

[Reactie gewijzigd door wild_dog op 22 juli 2024 14:19]

Anoniem: 80910 @wild_dog • 23 mei 2024 15:35

Een spyware tool, die elke dag een foto van jou maakt, jou schermen. Kan de aivd zonder encryptie weer meekijken

D-Raven 22 mei 2024 17:37

Weet je wat het is met die Recall functionaliteit.
Ze zeggen wel dat allemaal lokaal is en blijft. En dat zal allemaal ook wel zo zijn (nu bij introductie).
Maar bedenk wel, hier zitten dezelfde windows ProductManagers aan de knoppen welke ons Advertenties in het start menu, en agressieve en misleidende popups over je Browser pushen (het is niet Edge dus fout).

Zodra er mogelijkheden zijn dat ze hier geld aan kunnen verdienen, dan reken maar dat die dataset de cloud in gaat.

Ik gebruik al decennia windows maar ik vertrouw die Recall functionaliteit totaal niet.

gevoelig @D-Raven • 22 mei 2024 18:21

Ik deel je zorg. Aan de lijst kun je toevoegen: de verplichte phone home via diagnostische gegevens, of het pushen van de ms store en het gekoppelde MS account, gebruik maken van een lokaal account wordt extreem moeilijk gemaakt.

Edit aanvulling: het zou mooi zijn als de EU een phone home opt-out/in mogelijkheid zou afdwingen in software.

Daarbij zou deze functionaliteit ook pas na een expliciete opt-in moeten gaan werken. Maar misschien is dat al aangekondigd?

[Reactie gewijzigd door gevoelig op 22 juli 2024 14:19]

Splitinfinitive @D-Raven • 22 mei 2024 19:18

Gezien hoe graag ze willen dat al mijn meuk op OneDrive terecht komt bij opslaan en hoe het in de verkenner wordt gepromoot.

Zal het mij niet verbazen of ze de functie introduceren eerst lokaal en naar een jaar ineens 100gb gratis OneDrive opslag gaan bieden mits je de screenshots upload naar de cloud.

wild_dog @D-Raven • 23 mei 2024 17:08

Vergeet ook niet de introductie gevogd door nagenoeg een verplichting om de gebruikers account voor jouw computer een Microsoft account te laten zijn i.p.v. een lokale account.

"Öh, ja natuurlijk heb je meerdere devices, en als je niet zeker weer op welke device je iets deed, aggregreert recal nu al jouw apparaten tegelijkertijd. Die functionaliteit moet natuurlijk via onze servers."

ShadLink 22 mei 2024 18:25

Dat microsoft zegt dat de data lokaal opgeslagen wordt zegt natuurlijk helemaal niks. Copilot kan prima "samenvattingen" van de data maken en dan die "samenvattingen" naar MS sturen. Je data is lokaal en veilig, maar MS weet wel wat er allemaal gebeurt en kan je zo volgen, profielen aanmaken, reclame toedienen, etc. etc.

Murdah @ShadLink • 24 mei 2024 11:00

Yep.
"We'd said your data would be local. No one ever said anything about metadata.."

The Zep Man 22 mei 2024 15:19

Gebruikers kunnen Recall uitschakelen.

Maar is het standaard uitgeschakeld of ingeschakeld, en wordt de gebruiker voldoende geïnformeerd om een weloverwogen keuze te kunnen maken?

Microsoft zegt tegen de BBC dat de functie alleen te misbruiken zou zijn door hackers als die fysieke toegang hebben tot een pc, deze kunnen ontgrendelen en kunnen inloggen

Dit is natuurlijk niet helemaal waar. Niets staat (insiders bij) Microsoft technisch in de weg om een update de deur uit te sturen die het gehele hebben en houden van een gebruiker ergens heen upload.

De beste manier om informatiemisbruik tegen te gaan nog steeds om informatie simpelweg niet te hebben. Een functie die screenshots maakt staat hier lijnrecht tegenover. De uitzonderingen daarop zijn overigens Microsoftspecifiek. Deelt Microsoft hoe andere applicaties (zoals browsers met incognitovensters) zichzelf kunnen uitzonderen, en geeft Microsoft die applicaties de tijd om aanpassingen door te voeren voordat deze functie beschikbaar is?

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:19]

Blokker_1999

Verenigd koninkrijk
Microsoft

@The Zep Man • 22 mei 2024 19:57

[...]
Dit is natuurlijk niet helemaal waar. Niets staat (insiders bij) Microsoft technisch in de weg om een update de deur uit te sturen die het gehele hebben en houden van een gebruiker ergens heen upload.

Tsjah, dat kan je van elk softwareproduct zeggen dat je op je PC installeert. Je hebt altijd vertrouwen nodig in de maker van die software alsook dat wat je download. Denk maar aan het recente probleem bij xz, ook de FOSS wereld is niet immuun voor dat soort problemen.

The Zep Man @Blokker_1999 • 23 mei 2024 08:50

Je hebt altijd vertrouwen nodig in de maker van die software alsook dat wat je download. Denk maar aan het recente probleem bij xz, ook de FOSS wereld is niet immuun voor dat soort problemen.

De FOSS-wereld doet geen grote georganiseerde claims dat functies alleen te misbruiken zijn in bepaalde situaties, omdat andere situaties niet uit te sluiten zijn.

Hell-Slave @The Zep Man • 22 mei 2024 15:23

Tuurlijk standaard ingeschakeld, Microsoft dwingt altijd nieuwe functies op.

NotWise @Hell-Slave • 22 mei 2024 15:35

Precies, dat was ik zelf nog vergeten in mijn eigen comment. Die troep staat natuurlijk standaard aan. Met wat mazzel zit het ergens weggestopt in een menu, heb je pech dan moet je de registry in.

Sniels @NotWise • 22 mei 2024 15:48

Zo te zien gewoon via een CSP: ./User/Vendor/MSFT/Policy/Config/WindowsAI/DisableAIDataAnalysis

https://learn.microsoft.c...igure-policies-for-recall

MPIU8686 @Hell-Slave • 22 mei 2024 17:26

Niet enkel functies.

Zelfs een gehele OS

Sniels @The Zep Man • 22 mei 2024 15:42

Let wel: Recall is enkel beschikbaar op Microsoft's nieuwe Copilot+ PCs. Het gaat niet zomaar binnenkort op je eigen laptop erbij gepatcht worden.

michelr @The Zep Man • 22 mei 2024 16:24

Staat standaard aan, ook in Intune.

kodak @The Zep Man • 22 mei 2024 16:30

Zonder uitleg waarom iemand fysieke toegang moet hebben gaat dat argument niet zomaar op. Gegevens hebben namelijk niet zomaar bescherming doordat iemand fysiek aanwezig is, maar door afdwingen dat het fysiek aanwezig zijn de enige mogelijkheid geeft. Gegevens of software dwingt dat niet af (het controleert hooguit of aan minimale voorwaarden lijkt te zijn voldaan) en een systeem zoals een pc is er met netwerk toegang en tal van andere uitgangen ook niet voor gemaakt het fysiek aanwezig zijn af te dwingen.

Hooguit is de situatie dus dat iemand iets fysieks zou moeten doen voordat gegevens kunnen lekken. Maar dat kan dus net zo goed de gebruiker zelf zijn die het systeem gewoon gebruikt terwijl een crimineel met malware screenshots maakt of met malware de gegevens op een andere manier digitaal kan verzamelen en ontvangen. Wat het geen fysieke bescherming maakt maar eerder een bescherming die alleen bij uitzonderingen effect heeft. Het is namelijk niet ongewoon dat een crimineel via malware toegang heeft zonder dat de gebruiker dat door heeft. Het hele concept van digitaal gegevens kunnen verzamelen laat zich niet tegen houden met dit soort fysieke 'belemmeringen'. Eerder komt het goed uit omdat een crimineel meer zekerheid heeft dat een gebruiker aanwezig was en de gegevens dus waardevoller kunnen zijn dan gegevens waar men makkelijker bij kon.

[Reactie gewijzigd door kodak op 22 juli 2024 14:19]

david-v

22 mei 2024 15:19

Microsoft zegt tegen de BBC dat de functie alleen te misbruiken zou zijn door hackers als die fysieke toegang hebben tot een pc, deze kunnen ontgrendelen en kunnen inloggen

Eigenlijk als je je laptop bedrijfsmatig gebruikt zou je dit absoluut niet willen. Ook het opslaan van je wachtwoorden in de browser wordt ontraden bij ons bijvoorbeeld. Als je laptop ontvreemd wordt terwijl deze niet gelocked is dan heb je naast directe toegang tot waar je nu je bezig was ook nog toegang tot screenshots van 3 maanden lang.

Edit: ik vraag me trouwens af of er ook screenshots gemaakt worden terwijl je een ingetoetste wachtwoord controleerd (op oogje rechts van het veld klikken). Want ook dat zie ik als een extra beveiligingsprobleem.
Edit2: Laat maar. Het antwoord staat in het artikel. Direct uitschakelen dus

De functie doet niet aan moderatie; wachtwoorden en bankrekeningnummers worden bijvoorbeeld ook opgeslagen in de screenshots

[Reactie gewijzigd door david-v op 22 juli 2024 14:19]

Bux666 @david-v • 22 mei 2024 15:40

Hoe meer MS van dit soort 'grappen' in Windows stopt, hoe meer bedrijven er vanaf willen lijkt me. Ik had van de week een vriend over de vloer die bij ASML werkt. Daar worden Windows updates constant opgevolgd door een sloot custom settings, zoals het uitschakelen van telemetrie. Dat zet MS kennelijk steeds aan na een update, wat zakelijk gezien enorm onwenselijk is.
Waarom gebruiken die bedrijven op kantoor niet Linux? Scheelt je ook nog een bak aan licentiekosten en beheer kan min of meer ook centraal. Eventueel neem je dan een commerciële Linux distro met support, zoals RedHat.
De meeste kantoormedewerkers doen niets meer dan office, mail en web. Mail is voortaan al vaak een cloudomgeving en vanuit een browser gedraaid.

Yzord @Bux666 • 22 mei 2024 15:51

Het probleem is, kunnen ze er nog wel vanaf? Ze zitten zo in het eco systeem van MS dat je als bedrijf er amper meer uit kan. Azure, O365, Windows11 en servers, contracten van aantal jaar. En in hoeverre is ICT van het bedrijf capable om dit soort privacy verstorende functies te erkennen en vervolgens te overleggen aan hun meerdere?

Ik heb bij een groot bedrijf gewerkt (hogeschool) en het interesseerde hun niets van de argumenten die ik aanhaalde vwb privacy naar studenten en medewerkers toe. Het was allemaal maar teveel gedoe en rollende ogen van "daar heb je hem weer". Er was simpelweg niet tegenop te boksen, want het was allemaal maar doemdenken, maar vooral verstorend voor het prestigeproject waar ze aan werkten (overgang naar cloud, overgang van Win7 naar Win10 etc.). Dat is wat telde, dat alles smooth verliep en dat er een stel medewerkers een lading veren in hun reet konden steken.

Ik vond het dan ook schokkend en uiteindelijk ook maar weg gegaan toen ik de kans kreeg. En laatst stonden ze in de krant (en ook op T.net geloof ik) vanwege privacy schendende maatregelen naar een student toe (die vervolgens ook vergoed moest worden).

Heleboel bedrijven interesseert het geen hol. Als het allemaal maar werkt en ze om 5 uur weg kunnen. De shit die het eventueel oplevert is voor de baas.

david-v

@Yzord • 22 mei 2024 17:09

Je neemt nu een extreem voorbeeld van slecht geregelde privacy en security beleid van een (hoge)school. Ik moet je helaas gelijk geven dat op veel instellingen, waaronder scholen, dit heel slecht geregeld is. Met Linux ga je dat probleem in de basis niet oplossen vrees ik. De kennis en kunde om dat goed ingeregeld te hebben is zeer schaars, of het nou met windows is of met linux. Gebruik maken van SAAS oplossingen is al een stap in de goeie richting, maar dan ben je er nog lang niet.

Vergeet niet dat een slechte oplossing waar 10 medewerkers achter staan het altijd zal winnen van een goeie oplossing waar 1 (jij) medewerker achter staat. Als jij de enige bent die weet hoe het allemaal werkt en ingeregeld moet worden dan heb je nog steeds een groot probleem als organisatie

t_o_c @Yzord • 22 mei 2024 16:55

Of bedrijven er vanaf kunnen is een ding, maar willen ze überhaupt wel? Linux in je backend infrastructuur is een ding, maar voor gebruikers?

Veel minder admins. Gebruikers weten niet wat ze doen. Een groot deel van je software heeft waarschijnlijk geen Linux versie en in het geval van wat meer besproke software waarschijnlijk ook geen Linux alternatief etc.

Dus je gaat jezelf enorm veel kosten en frustratie op de hals halen en waarvoor? Privacy? Leuk maar iedereen gebruikt vervolgens alsnog Google, Meta etc.

Feit is dat er gewoon heel weinig argumenten zijn voor het gebruik van Linux op de Desktop in het bedrijfsleven.

rjd22 @t_o_c • 23 mei 2024 10:04

Het grappige is dat er waarschijnlijk meer Linux admins in de wereld zijn met diepe kennis van hoe Linux werkt dan Windows admins. De meeste computers in de wereld draaien namelijk op Linux (servers, IoT, etc...).

Het is meer dat je door de bittere pil heen moet bijten om een hele organisatie over te zetten naar Linux wat veel tegenhoudt. Met Ubuntu kunnen we namelijk niet echt meer zeggen dat er geen betrouwbaar / bruikbaar Linux desktop OS bestaat. Deze is namelijk net zo functioneel als Windows en heeft support beschikbaar.

Wat veel ook niet meenemen in de kosten is dat vaak het upgrade pad van Linux een stuk eenvoudiger is en geen herinstallatie of nieuwe hardware vereist. Je kan de meeste Ubuntu computers over de tijd gewoon van 12.04LTS upgraden naar 24.04LTS zonder herinstallatie en als er iets fout gaat kan je hem met een rescue usb herstellen zonder bestands verlies zelfs al start de grafische schil niet.

t_o_c @rjd22 • 23 mei 2024 10:14

Al die embedded/IoT apparaten vereisen helemaal geen Linux kennis voor administratie/gebruik.

En zoals ik al zei, Linux in je infra is een ding maar Desktop beheer/admin is iets heel anders.

Windows kan je ook gewoon upgraden en over het algemeen is nieuwe hardware ook niet nodig. Niet dat dat boeit in het bedrijfsleven, hardware word gewoon over een x aantal jaar afgeschreven. Je gaat een gebruiker geen 10 jaar oude meuk geven "omdat het kan".

Kosten van hardware stelt trouwens niks voor in vergelijking met software, support en training dus ik hoor nog steeds geen goed argument voor Linux op de Desktop in het bedrijfsleven.

OuweDorper @t_o_c • 23 mei 2024 11:43

Helemaal met je eens. Het is hier al lastig zat voor gebruikers om met Windows en Windows applicaties om te gaan. Moet er niet aan denken om Linux hier uit te rollen voor de gebruikers.

Tevens wordt het ook bijzonder lastig als je bepaalde niche software moet draaien, zoals voor op een lab ofzo. Veel succes met linux ondersteuning.

The Zep Man @Yzord • 22 mei 2024 16:12

Ik heb bij een groot bedrijf gewerkt (hogeschool) en het interesseerde hun niets van de argumenten die ik aanhaalde vwb privacy naar studenten en medewerkers toe.

Naar studenten is dat een beetje standaard in die wereld, gezien die bij hogescholen bij conflicten vaak als een Úntermensch worden behandeld en een -1 hebben (ondanks dat studenten hun bestaansrecht en inkomsten betreffen).

Heleboel bedrijven interesseert het geen hol. Als het allemaal maar werkt en ze om 5 uur weg kunnen. De shit die het eventueel oplevert is voor de baas.

Het ligt aan de sector. In sectoren waar compliance speelt en toezichthouders (anders dan AP) betrokken zijn is men vaak best wel goed bezig qua privacy. Beter in ieder geval ten opzichte van op dit gebied ongereguleerde sectoren, zoals het onderwijs.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:19]

MazDaMan1970 @Yzord • 22 mei 2024 17:49

Ja, bij mijn huidige werkgever merk ik ook veel des-interesse in Linux; sterker nog, de Linux servers die wij hebben, worden nu door een externe partij beheerd. En dat terwijl ik juist hier ben gaan werken, omdat ik graag Linux support ernaast doe.
Nou moet ik wel toegeven dat ik bedrijven heel goed snap, dat ze bij Windows willen blijven, aangezien er heel moeilijk aan Linux systeembeheerders te komen is.

david-v

@MazDaMan1970 • 22 mei 2024 20:51

Ik zie Linux inderdaad ook niet echt als een oplossing bij de gebruikers. Aan de server kant is het een totaal ander verhaal, maar voor eindgebruikers? Je ziet het nu ook al met MacBooks, die zijn soms ook noodzakelijk bij bedrijven en die worden dan anders beheerd dan de rest van de windows laptops omdat....nou ja, je weet wel

Blokker_1999

Verenigd koninkrijk
Microsoft

@Bux666 • 22 mei 2024 19:49

Zakelijk schakel je telemetrie gewoon uit met GPO/Intune/Registry (whatever floats your boat). Zakelijk (als in domain joined) biedt MS je net die opties, in tegenstelling tot thuisgebruikers waar je het enkel maar kunt reduceren met de standaard instellingen.

En de licentiekost van het OS op je client systemen is echt niet waar de grote kost van je IT afdeling gaat zitten hoor. Daarnaast heb je in het MS eco systeem enorm veel software dat gewoon goed samenwerkt met elkaar en op elkaar is afgestemt. In de Linux wereld is het vaak een gevalletje van net niet tenzij je veel custom configuratie werk gaat doen wat je bij een volgende major upgrade van 1 van de onderdelen weer helemaal in de soep kan doen draaien.

En als je mail in de cloud gaat draaien, dan zit je al zo weer in die Microsoft wereld wanneer ik zie hoeveel bedrijven Exchange Online gebruiken. En stap je daar in dan neem je er al weer snel andere producten bij waardoor een licentie zoals E3 weer interessant wordt, en wat komt met die E3 licentie mee? Juist ja, een licentie voor Windows.

En hoewel wij de telemtrie bij ons ook minimaliseren vraag ik me af of het echt wel zo erg is wanneer je met je bedrijf al in heel de MS ecosfeer zit. Je mail zit in Exchange Online, al je documenten zitten in SharePoint en OneDrive, je mensen chatten via Teams. MS heeft al die data al. Waar ben jij nog bang voor dat er gaat meegestuurd worden in die telemtrie? Daarom juist dat je een goede verwerkingsovereenkomst met Microsoft moet afsluiten en hen het vertrouwen geeft van correct om te gaan met je data.

david-v

@Bux666 • 22 mei 2024 15:53

Hoe meer MS van dit soort 'grappen' in Windows stopt, hoe meer bedrijven er vanaf willen lijkt me

Voor bedrijven is dit geen enkel probleem omdat ze allemaal met policies werken. Dit is een extra setting die erbij komt waar ze "disabled" op moeten instellen. Volgens mij is dat redelijk "standaard" werk zoals je zelf ook aangeeft.

Bux666 @david-v • 22 mei 2024 16:55

Klopt ja. Ik hoorde ook van die vriend dat ze binnen ASML het domein bing.com blokkeren omdat Windows constant van alles die kant op stuurt. De keerzijde is dat gebruikers dan regelmatig meldingen binnen Windows krijgen over een ontbrekende link. Alleen dát al...dat wil je toch gewoon niet?

Als iemand dit kan bevestigen, toelichten of ontkrachten, be my guest ben mijn gast. Ik papegaai ook maar iemand anders na.

mjtdevries @Bux666 • 23 mei 2024 11:16

ASML is het soort bedrijf waar Microsoft echt wel naar luistert als die zeggen dat ze willen dat Microsoft iets voor hen fixed.
Het klinkt daarom een beetje onwaarschijnlijk.

maevian @david-v • 22 mei 2024 16:10

Wij hebben juist een policy dat alpparaat automatisch locked en sso voor bijna alles.
Als apparaat unlocked in de handen van iemand anders komt, heb je iets fout gedaan als IT dienst.
En vanaf je weet dat het weg is, wipe je het apparaat.

david-v

@maevian • 22 mei 2024 16:23

Uit vergelijkbare eigen ervaring: externe persoon ziet een laptop staan en de eigenaar is net weggelopen zonder laptop te locken. Nog voordat de laptop automatisch locked gaat deze externe persoon de screenshots bekijken waar die misschien een screenshot ziet met wachtwoord of zeer gevoelige data (snel foto maken met mobiel), daarna weglopen alsof er niks aan de hand is.

Ik denk zelf dat de toegang tot deze screenshots een extra inlog sessie vereisen, dat is hoe ik het zou implementeren als extra barrière tegen dit soort gevallen.

Bij een gelockte laptop is het risico net zo hoog als de effectiviteit van de gebruikte encryptie en hoe snel je de data kan wipen. Een dergelijke gestolen laptop zou ik overigens niet aan het internet hangen, juist om die wipe te voorkomen

amigob2 @david-v • 22 mei 2024 16:30

vertel welke applicatie laat het wachtwoord zien ?

david-v

@amigob2 • 22 mei 2024 16:35

De applicaties die het ingevoerde wachtwoord met een klik op het oogje (rechts van je invoerveld) tonen.

drakiesoft @david-v • 22 mei 2024 17:28

Succes met het klikken op het oogje van een plaatje

david-v

@drakiesoft • 22 mei 2024 17:33

Success met het bepalen "wanneer" de screenshot gemaakt wordt door deze functionaliteit

drakiesoft @david-v • 22 mei 2024 17:41

Het zou kunnen dat het wachtwoord gesnapshot wordt idd. Wat ik niet snap is dat die plaatjes niet gescrambled opgeslagen worden op een voor gebruiker niet toegankelijke partitie. Daarnaast waarom drie maanden opslaan? Nadat AI z'n analyse heeft gedaan, kan het plaatje gewoon weg. Dus als AI snel genoeg is, dan hoef je niet eens schermprint op te slaan en kan het gewoon tijdelijk in het geheugen staan.

[Reactie gewijzigd door drakiesoft op 22 juli 2024 14:19]

SirLenncelot @drakiesoft • 22 mei 2024 17:44

De invoerder klikt op het oogje, het systeem maakt de screenshot. De gluurder bekijkt het screenshot.

Goed, wel een lucky shot op deze manier als je het met de hand doet. Maar krijg je de screenshots in handen dan kan er vast wel een zoekopdracht op de bestanden losgelaten worden waarbij het ‘geopende oogje’ gezocht wordt tot men beet heeft.

maevian @david-v • 23 mei 2024 08:27

Als je die laptop niet aan het internet hangt, ga je ook aan weinig dat van ons geraken.
Voor de encryptie te kraken, ga je ofwel de TPM chip ofwel bitlocker moeten kraken, aangezien we overstap hebben gemaakt naar windows hello en gebruiker eigen wachtwoord niet meer kent.

ThaGuus @david-v • 22 mei 2024 16:30

Bedrijven kunnen toch gewoon een group policy aanzetten om dit uit te zetten?

david-v

@ThaGuus • 22 mei 2024 16:32

klopt, zeg ik ook in een andere reactie. Je moet deze instelling dan op disabled zetten. Ik weet niet of deze standaard aan staat. Bij deze functionaliteit zou ik vooral opt-in willen zien.

Palm_freemium @david-v • 22 mei 2024 17:04

Ik weet niet in welke industrie je werkt, maar uit deze 2 punten kan ik zeggen dat jullie IT-beleid om te janken is;

Ook het opslaan van je wachtwoorden in de browser wordt ontraden bij ons bijvoorbeeld.
Als je laptop ontvreemd wordt terwijl deze niet gelocked is

Het opslaan van wachtwoorden in een browser is misschien niet de veiligste manier, maar nog altijd beter dan een post-it tussen de laptop of aan de onderkant van het toetsenbord. Als de laptop redelijk beveiligd is met een wachtwoord en full disk encryption zie ik het probleem niet echt (, misschien browser sync even uitschakelen om te voorkomen dat het op andere devices kan lekken).

Punt 2 kan redelijk worden voorkomen door een lock-out policy te zetten van een paar minuten inactiviteit. Tenzij je een high value target ben zullen meeste diefstallen gelegenheidsdiefstallen zijn, klappen de laptop dicht en lopen er mee weg en moeten dan een wachtwoord invullen.

We gaan zien wat het onderzoek uitwijst over de Recall functie, maar zoals ik het lees zullen ze al uitgebreide toegang moeten hebben tot je systeem voordat ze bij de Recall data kunnen, op dat moment kunnen ze ook een screenrecorder of keylogger installeren. Ik ben wel benieuwd hoe de AI/copilot hierop ingehaakt word zonder data naar MS te sturen.

Als Linux gebruiker wacht ik wel af wat er uit de discussie komt en als het handig is ga ik wel eens kijken wat er beschikbaar is voor mijn platform.

david-v

@Palm_freemium • 22 mei 2024 17:32

Ik weet niet in welke industrie je werkt, maar uit deze 2 punten kan ik zeggen dat jullie IT-beleid om te janken is

Het opslaan van wachtwoorden in een browser is misschien niet de veiligste manier, maar nog altijd beter dan een post-it tussen de laptop of aan de onderkant van het toetsenbord

Misschien moet je minder hard zijn in je oordeel en jezelf wat meer inlezen. Je zegt zelf dat dat niet de veiligste manier is. Ik geef aan dat dat bij ons niet mag en dan reageer je met dat ons beleid "om te janken is". Het niet bewaren van je wachtwoord in je browser is werkelijk cursus 1 van cybersecurity van een bedrijf die het enigzins serieus neemt.

Ik zal je alvast helpen:
Kaspersky
Malwarebytes

of zelfs Microsoft over edge password manager:

However, using a password manager that's keyed to the user's operating system login session also means that an attacker in that session can immediately retrieve all the user's saved passwords. Without a password manager to steal from, an adversary would need to track keystrokes or monitor submitted passwords.

Punt 2 kan redelijk worden voorkomen door een lock-out policy te zetten van een paar minuten inactiviteit. Tenzij je een high value target ben zullen meeste diefstallen gelegenheidsdiefstallen zijn, klappen de laptop dicht en lopen er mee weg en moeten dan een wachtwoord invullen.

We hebben het hier over het ontfutselen van geheime informatie. Voor diefstal van een laptop ben ik niet zo bang. Voor een hacker (met bijvoorbeeld social engineering) wel. Bovendien zal de gemiddelde laptop bij activiteit van de gebruiker niet locken. Pas als je een andere maatregel neemt (denk aan BT devices die buiten range direct de laptop locken) zou dat kunnen werken.

Edit: misschien was ik niet helemaal duidelijk in mijn post hierover. Het wordt afgeraden om de password manager van je browser te gebruiken. Het gebruik van een password manager, waar het bedrijf en licentie op heeft, heeft de voorkeur uiteraard. En met ontfutselen van je laptop bedoel ik dat je die verplaats naar een plek waar je minder kijkers hebt. Misschien verduidelijkt dit mijn post iets beter en begrijpen we elkaar

[Reactie gewijzigd door david-v op 22 juli 2024 14:19]

Blokker_1999

Verenigd koninkrijk
Microsoft

@david-v • 22 mei 2024 19:54

Wat het opslaan van wachtwoorden in de browser betreft denk ik altijd dat het beter is dan overal hetzelfde wachtwoord gebruiken. Ook wachtwoordmanagers zijn niet heilig. De meeste gebruikers laten die ook gewoon open staan en schakelen, wanneer mogelijk, de herauthenticatie na x minuten uit. En dat zijn dan weer toepassingen waar je vaak geen vat op hebt. De enige oplossing daar is een systeem dat integreert met je AD en zelf wachtwoorden kan resetten voor alle gevoelige accounts in het bedrijf, maar dat laat de deur nog altijd open voor al die online platformen waar mensen ook aanmelden en waar je geen wachtwoordrotatie kunt afdwingen.

david-v

@Blokker_1999 • 22 mei 2024 20:41

Het komt er inderdaad op PEBCAK neer

. Wachtwoord manager in browser is beter dan niks inderdaad, maar een bedrijfs passwordmanager is dan beter.

Palm_freemium @david-v • 23 mei 2024 17:03

Er zit nogal een verschil tussen het verbieden van het gebruik van de password manager in je browser zoals je eerst suggereerde en het verplichten van een dedicated password manager. Voor Jan Modaal zou ik het opslaan in de browser niet afreaden omdat het beter is dan niets, uiteraard als ik gevraagd word wat de beste manier is zou ik een dedicated password kluis aanraden. Maar je overschat de IT vaardigheid van een grote groep gebruikers, er zijn genoeg mensen die ik niet kan uitleggen hoe een wachtwoord manager werkt. Ik heb voor familieleden wel eens een password kluis aangemaakt, die leg ik dan uit dat ze alleen hun hoofdwachtwoord hoeven te onthouden, maar als ze het kwijt zijn ze een paar weken gezeik hebben om weer toegang te krijgen tot bijvoorbeeld Digid, mag jij raden waar dat wachtwoord bewaard word.

We hebben het hier over het ontfutselen van geheime informatie. Voor diefstal van een laptop ben ik niet zo bang. Voor een hacker (met bijvoorbeeld social engineering) wel. Bovendien zal de gemiddelde laptop bij activiteit van de gebruiker niet locken. Pas als je een andere maatregel neemt (denk aan BT devices die buiten range direct de laptop locken) zou dat kunnen werken.

Tsja een gebruiker die gesocial engineerd word om alle wachtwoorden door te sturen, daar kan geen beveiligings maatregel tegen op, they'll find a way.

Luchtbakker @david-v • 22 mei 2024 19:09

[...]

Eigenlijk als je je laptop bedrijfsmatig gebruikt zou je dit absoluut niet willen. Ook het opslaan van je wachtwoorden in de browser wordt ontraden bij ons bijvoorbeeld. Als je laptop ontvreemd wordt terwijl deze niet gelocked is dan heb je naast directe toegang tot waar je nu je bezig was ook nog toegang tot screenshots van 3 maanden lang.

[...]

Een beetje bedrijf heeft een timer ingesteld wanneer de laptop zichzelf lockt bij inactiviteit, plus bitlocker. Ik denk dat het dus wel meevalt.

david-v

@Luchtbakker • 22 mei 2024 20:37

Ik heb niet helemaal goed uitgelegd wat ik bedoelde. Met ontvreemd bedoelde ik eigenlijk dat iemand die even meeneemt zonder het scherm oid dicht te doen. Ik heb ooit hier een cursus over gehad en één van de methodes was om een ongelockte laptop te pakken alsof het jouw laptop is en zonder het scherm dicht te doen ergens te gaan zitten waar rustig is. In een kantoor lopen nou eenmaal veel mensen rond met een open laptop, bijvoorbeeld naar een vergaderzaal. De laptop zal niet locken door inactiviteit en je bent op veel plekken al ingelogd waardoor je best veel informatie kan inzien die niet voor jou bedoeld is. Voordat de eigenaar in de gaten heeft wat er gaande is is de hacker (of bedrijfspionage wat ook vaak voorkomt) al vertrokken.

Trouwens, een van de tips die we kregen was om jouw laptop goed herkenbaar te laten zijn zodat collega's zien dat iemand met jouw open laptop rondloopt. Bedrijfslaptops zien er nou eenmaal allemaal hetzelfde eruit

. Een oerlelijke stikker bijvoorbeeld doet al wonderen hahaha

mjtdevries @david-v • 23 mei 2024 11:20

Een veel betere tip dan je laptop goed herkenbaar te maken, is om gewoon altijd de laptop te locken als je even van je plek loopt.
Gewoon altijd windows-toest+L klikken is echt zo makkelijk om een gewoonte van te maken.

En als je collega's hebt die meteen (onschuldige) ongein met je laptop uithalen als je 'm even onbeheerd laat, dan leer je dat heel snel.

david-v

@mjtdevries • 23 mei 2024 12:14

Dat is absoluut een betere tip. Bij mij is het al redelijk een gewoonte geworden. Maar er zijn genoeg collegas die ons allemaal trakteren op wat lekkers via een mail, teams bericht enz

Ik heb ook dynamic lock ingesteld voor het geval dat. Zodra ik ver genoeg ben van mijn laptop dan is de BT verbinding van mijn telefoon zwak en locked de laptop. Jammer genoeg kan ik mijn smartwatch niet hiervoor gebruiken, dat zou nog beter zijn denk ik.

NotWise 22 mei 2024 15:23

Lekker dat Co-Pilot die je hele PC indexeert en nu ook al screenshots maakt. Typisch Microsoft.
Als je iets interessants ziet dan kun je altijd zelf screenshot of bookmark maken.

Ik ben niet van de complotten, maar dit is de natte droom van heel veel partijen (Politie, Inlichtendiensten, criminelen etc.)

Tintel @NotWise • 22 mei 2024 15:29

Buiten dat je gelijk hebt qua security risico's en daaropvolgende 'lekker makkelijk' complotten, is het zinnig om tijdens het kijken van een filmpje om de paar seconden een screenshot te maken? Dit sloopt toch gewoon je opslagmedium?

NotWise @Tintel • 22 mei 2024 15:33

Het is op alle vlakken een domme feature. De meerwaarde is nihil, de potentiële gevaren groot. Ik begrijp werkelijk niet waarom dit is bedacht. Zoals ik al zei, je wordt er bijna achterdochtig van.

Myri @NotWise • 22 mei 2024 17:13

Ik snap het ook helemaal niet. Volgens mij is 99,99% van de mensen hier totaal niet in geïnteresseerd. Maar jah, je investeert miljarden in AI en moet wat verkoopspunten hebben vermoed ik. Of we er nu beter van worden of niet.. door de strot rammen die handel..

Blokker_1999

Verenigd koninkrijk
Microsoft

@NotWise • 22 mei 2024 19:59

Dit is nu 1 waar ik de meerwaarde wel van in zie maar waar ik ook zeer beducht ben over de privacy. Ook MS zal heel hard moeten waken. Want 1 foute update waarbij men toch ineens de data upload en heel het vertrouwen stort als een kaartenhuisje in elkaar.

mjtdevries @Blokker_1999 • 23 mei 2024 11:23

Kun je vertellen welke meerwaarde jij er dan in ziet? Want zoals je aan de rest van de reacties ziet, zien de meeste mensen die meerwaarde totaal niet.

emphy

@Tintel • 22 mei 2024 15:47

is het zinnig om tijdens het kijken van een filmpje om de paar seconden een screenshot te maken? Dit sloopt toch gewoon je opslagmedium?

Valt wel mee; met 25gb per drie maanden kom je na vijf jaar op minder dan 2% uit van een 320TB writes garantie (heb dat van een budget model genomen, een 1tb kingston nv2).

MattiVM @emphy • 22 mei 2024 16:29

Die 2% vind ik toch al erg genoeg voor een feature die velen absoluut niet willen. Microsoft zal mijn SSD namelijk ook niet gaan vergoeden veronderstel ik?

amigob2 @emphy • 22 mei 2024 16:35

En hoe is die 25GB berekent ? met de gemiddelde aantal uur per dag gebruik, minimum, 24 uur per dag, resolutie van de monitor, etc.

MPIU8686 @Tintel • 22 mei 2024 17:24

Inderdaad, ben je bijvoorbeeld aan het gamen .. worden daar aan een tred door screenshots van gemaakt.
Leuk gaat het worden dat hierbij, net zoals andere ingebouwde functies alsmede door het gamen je systeem aanzienlijk gaat vertragen.

Zeker als je systeem al wat ouder wordt en je niet continu vernieuwt,
maar wel nog de nieuwste games wilt spelen.

kamerplant 22 mei 2024 15:19

Microsoft zegt tegen de BBC dat de functie alleen te misbruiken zou zijn door hackers als die fysieke toegang hebben tot een pc, deze kunnen ontgrendelen en kunnen inloggen

Kan iemand uitleggen op welke technische basis deze uitspraak kan worden gedaan? Hoe kan Microsoft 100% zeker weten voorkomen dat een file bij een hack nooit online kan worden gedeeld, ook al heeft de betreffende hacker volledige systeem controle?

Sniels @kamerplant • 22 mei 2024 15:39

Vooral het stukje "fysieke toegang" klinkt vreemd.

Deze database met zo ongeveer alle details van je activiteit (inclusief je banksaldo en transacties als je internetbankiert, en je inlognaam voor DigID, en misschien wel ergens je BSN nummer) in de laatste drie maanden (by default) kan toch ook buitgemaakt worden door bv. een malware infectie? Lijkt me iets dat hoog op de stuff-to-steal-lijst van zoiets staat.

Het lijkt er dan wel op dat het best goed beveiligd is maar gezien het transparant voor de eindgebruiker werkt, ga ik ervan uit dat het ook te benaderen is door infostealers.

Privacy and control over your Recall experience - Microsoft Support

[Reactie gewijzigd door Sniels op 22 juli 2024 14:19]

Blokker_1999

Verenigd koninkrijk
Microsoft

@Sniels • 22 mei 2024 20:03

Hiervoor zou je al een deep dive moeten gaan doen in hoe Windows vandaag de dag met security omgaat. Het is al lang niet meer simpelweg een kernel en user space. Heel je OS is gevirtualiseerd en vele apps draaien ongemerkt in containers op je hardware. Het OS regelt welke applicatie aan welke data kan.

Mijn eerste vermoeden is dan ook dat recall in een geencrypteerde container zal draaien en dat Windows de opslag daarvan zeer goed zal afschermen. Perfecte beveiliging bestaat niet, maar er zijn wel meer interessante doelwitten op elke PC om data uit te halen en MS is goed geworden in het beschermen van die data.

Sniels @Blokker_1999 • 23 mei 2024 09:01

Ik ben benieuwd. De exacte details staan nergens in de documentatie beschreven (althans, ik kon het niet vinden) dus ik liet het op "het lijkt [...] best goed beveiligd". Dus misschien is het wel een compleet containerized iets, dat bv. altijd een authenticatie vie Hello (met TPM backing) vraagt bij toegang. Misschien is het wel gewoon een bestandje en vindt men BitLocker voldoende. Ik weet het niet en zoals je zegt: dan zouden we daar gedetailleerde info over moeten hebben.

De beste beveiliging blijft natuurlijk het domweg niet gebruiken maar als we zo gaan denken is innovatie natuurlijk ver te zoeken.

kodak @kamerplant • 22 mei 2024 15:43

De stelling is niet dat een bestand of gegevens nooit online kunnen komen. De stelling is dat het eerst nodig is dat een persoon/crimineel dan de rechten van de gebruiker moeten hebben voor de gevevens daarbuiten komen.
Natuurlijk is dat niet volledig te voorkomen, maar dat gaat ook bij andere lokaal opgeslagen persoonlijke gegevens op. Maar dat maakt het nog wel een belangrijke omstandigheid om te oordelen of de gegevens niet zomaar gebruikt kunnen worden.

Joachiem 22 mei 2024 15:22

Naast de besproken "timeline" feature in het artikel, zijn er ook al andere (reeds bekend gemaakte) use cases voor Recall?

iAR @Joachiem • 22 mei 2024 15:41

Je zou bijna denken dat Microsoft de data wil hebben.
Stel je voor, een timeline van 50GB aan plaatjes van wat je hebt gedaan. Als je niet zelf kan bedenken dat je nog een mail moet sturen dan ben je wat mij betreft ver heen.

amigob2 @iAR • 22 mei 2024 16:36

Support wordt wel makkelijker, ze kunnen precies zien wat je fout heb gedaan in de instellingen

michelr 22 mei 2024 16:27

Copilot team: Je data is veilig, we respecteren privacy
Recall team: Hold my beer

Op dit item kan niet meer gereageerd worden.

Britse toezichthouder stelt Microsoft vragen over AI-screenshotfunctie Recall

Lees meer

Reacties (85)

Sorteer op:

Weergave: