KPN komt op korte termijn met een beveiligingsupdate voor een kwetsbaarheid in de ExperiaBox V10A en de VGV7519-router, zo laat de telecomprovider weten.
Om misbruik van het beveiligingslek te kunnen maken moet een aanvaller toegang tot de webinterface hebben. In het geval van de ExperiaBox V10A en VGV7519 van KPN is dit alleen mogelijk via de LAN-kant, aldus een woordvoerder van het bedrijf.
"Van buitenaf kan dat alleen indien er toegang is tot de webinterface, dit is op de KPN-modems niet mogelijk. Dat neemt niet weg dat we deze kwetsbaarheid snel willen herstellen. We zijn met de leverancier in gesprek over een oplossing. Die oplossing ligt er al en we zullen deze in de eerstvolgende software-update meenemen", zo laat de woordvoerder verder weten. De update zal op zeer korte termijn worden uitgerold.
Alles bij de bron; Security
De storing waardoor websites van de GGD gisteren niet bereikbaar waren, is veroorzaakt door meerdere aanvallen op een leverancier van de GGD. Het gaat om de maker van de koppeling waarmee met DigiD kan worden ingelogd op de GGD-websites. Inmiddels zijn de websites weer bereikbaar...
...Het is niet de eerste keer dat de GGD's tijdens de coronapandemie te maken hebben met beveiligingsproblemen. Eerder werd onder meer privacygevoelige data gestolen doordat systemen onvoldoende beveiligd waren. Medewerkers die onvoldoende waren gescreend konden via een pdf-functie allerlei gegevens exporteren en stelen.
Voor zover bekend zijn er bij de ddos-aanvallen geen gegevens buitgemaakt.
Alles bij de bron; Computable
De Europese Commissie wil dat er een verbod komt op anonieme cryptowallets. Daarnaast worden contante zakelijke betalingen van meer dan 10.000 euro verboden.
Op dit moment vallen alleen bepaalde aanbieders van cryptovaluta onder de Europese regels voor witwassen en financiering van terrorisme. Deze regels zullen straks voor de gehele cryptosector gaan gelden. Hierdoor moet het mogelijk worden om bijvoorbeeld bitcoinbetalingen volledig te kunnen traceren. Net als anonieme bankrekeningen nu al in de EU verboden zijn zal dat straks ook voor anonieme cryptowallets gaan gelden.
Daarnaast komt er ook een verbod op cashtransacties van boven de 10.000 euro. Op dit moment hanteren de meeste EU-landen al beperkingen wat betreft de hoogte van contante betalingen. Straks zal het plafond op 10.000 euro worden gezet, maar nationale limieten die lager liggen kunnen gewoon van kracht blijven. Mochten de voorstellen worden aangenomen dan zullen ze drie jaar later door EU-lidstaten moeten zijn geïmplementeerd.
Alles bij de bron; Security
De GGD-sites waar test- en prikafspraken gemaakt kunnen worden, zijn getroffen door ddos-aanvallen. Daardoor zijn ze sinds dinsdag moeilijk te bereiken, meldt koepelorganisatie GGD GHOR woensdag.
Door de aanval lukt het sommige mensen niet om in te loggen met hun DigiD-gegevens op GGD-websites.
Vanwege de problemen belt de GGD mensen op om negatieve testuitslagen door te geven. Als het niet lukt om online een afspraak voor een coronatest of vaccinatie te maken, raadt de GGD mensen aan telefonisch contact op te nemen.
Alles bij de bron; NU
Een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, maakt het mogelijk om de authenticatie te omzeilen en zo allerlei aanpassingen aan het netwerkapparaat door te voeren. Dat melden securitybedrijf Tenable en het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
De software van Arcadyan wordt niet alleen door het bedrijf zelf gebruikt, maar ook door andere partijen. In het geval van KPN is de kwetsbaarheid bevestigd in de ExperiaBox V10A (Arcadyan VRV9517) versie 5.00.48 build 453 en de KPN VGV7519 versie 3.01.116.
Een path traversal-kwetsbaarheid in de webinterface van de apparaten maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en toegang te krijgen tot onderdelen die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen, zo meldt het CERT/CC.
De instantie adviseert gebruikers om de laatste firmware-update te installeren als die beschikbaar is. In het geval van telecomproviders houden die vaak de modems van hun klanten up-to-date. Het is nog niet bekend of KPN een update voor de kwetsbaarheid heeft uitgerold.
Alles bij de bron; Security
De gemeente Enschede heeft bezwaar aangetekend tegen de boete van 600.000 euro die ze heeft gekregen van de Autoriteit Persoonsgegevens (AP) wegens wifi-tracking.
De gemeente Enschede had enkele jaren lang de drukte in de binnenstad gemeten met behulp van meetkastjes in winkelstraten die de wifi-signalen van passanten opvingen. Elke mobiele telefoon werd daarbij geregistreerd. De AP besloot dat hier geen sprake meer was van tellen, maar van het volgen van mensen, omdat het over een langere periode werd bijgehouden. De privacy van burgers was hierbij volgens de AP niet goed geborgd.
In een brief aan de gemeenteraad geven de burgemeester en wethouders (B&W) van Enschede tien punten aan waarom de boete niet terecht is, in hun ogen.
Alles bij de bron; AGConnect
Beijing wil maximale greep op persoonlijke en bedrijfsdata. Taxi-app Didi werd al het doelwit van speciaal aangestelde cybersecurity-inspecteurs...
Didi’s kun je net als een Uber niet van de straat plukken. Je downloadt eerst de Didi-app, je voert al je persoonlijke gegevens in en je koppelt de app aan een bankkaart of een betaalapp. Daarna gaat alles moeiteloos. Tenminste: tot begin juli was dat zo. Maar toen bepaalde de Chinese overheid opeens dat Chinese appstores de Didi-app niet meer mochten aanbieden. Als je de app al had, mocht je hem wel blijven gebruiken. Dat is in de praktijk lastig. Betaaldiensten zegden hun samenwerking met Didi op, en veel chauffeurs en klanten liepen meteen weg.
En Didi’s problemen nemen toe. Een week terug vielen zeven Chinese overheidsinstanties het hoofdkantoor van Didi in Beijing binnen voor een ‘cybersecurity-inspectie’. Het betrof de eerste inspectie van dat soort ooit in China.
In dit nieuwe fenomeen speelt het nog vrij jonge Bestuursorgaan voor Cyberspace een leidende rol. Dat is belast met de regulering, de censuur en de controle van internet. Het bestaat sinds 2014, en valt onder het Centrale Comité voor Cyberspace. Niemand minder dan de Chinese president Xi Jinping zelf staat aan het hoofd van dat comité.
Dat is niet zomaar: cybersecurity is een van de hoogste prioriteiten van de huidige regering. Andere prioriteiten zijn kunstmatige intelligentie en surveillancetechnologie, zoals gezichts- en stemherkenning.
Xi bouwt daarmee aan wat al een „digitale dictatuur” is genoemd. Data zijn daarvoor de brandstof, en daarover beschikt een bedrijf als Didi ruimschoots. Dat geldt ook voor internetgigant Alibaba, dat eerder al de Chinese overheid tegenover zich trof toen het met zijn fintechdivisie Ant naar de beurs wilde. Ook Alibaba’s belangrijkste concurrent Tencent, eigenaar van WeChat, kwam met de overheid in botsing vanwege monopolistisch gedrag.
Bij Didi gaat het niet alleen om persoonsgegevens, maar bijvoorbeeld ook om gedetailleerde kaarten van China. De app gebruikt die om te navigeren. Vandaar dat ook ambtenaren van het ministerie van Natuurlijke Hulpbronnen zijn betrokken bij het onderzoek dat naar het bedrijf is begonnen. Dit ministerie is verantwoordelijk voor cartografie.
Voor de techbedrijven is deze ontwikkeling wrang. Zij hebben de overheid altijd geholpen, bijvoorbeeld met de ontwikkeling van gezondheidsapps om corona onder controle te brengen. Dan is er ook nog het veelbesproken sociale kredietsysteem. Daarbij is het de bedoeling dat alle burgers een persoonlijke score toebedeeld krijgen. Die is niet alleen gebaseerd op wat ze met hun geld doen, maar ook op ‘moreel juist’ gedrag. Dit systeem is eveneens ontwikkeld in samenwerking met particuliere bedrijven als Alibaba.
De overheid heeft nu al wettelijk recht alle informatie die techbedrijven verzamelen in te zien, dit met het oog op de staatsveiligheid. Daar komt geen rechter aan te pas en daar ziet geen externe toezichthouder op toe.
Het gaat dan bijvoorbeeld over wie wanneer welke winkel bezoekt, welke trein iemand neemt, maar ook om gesprekken via apps en om al het betalingsverkeer. Een mensenrechtenadvocaat vertelde eerder aan deze krant dat hij dergelijke informatie regelmatig terugziet bij de bewijsvoering in de rechtbank.
Alles bij de bron; NRC
Testcoronanu kwam vorige week in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.
Zondag besloot Testcoronanu alle locaties te sluiten. Mensen die een afspraak hadden werden hier via e-mail over ingelicht, maar het testbedrijf plaatste alle e-mailadressen in de cc, zodat die voor alle ontvangers zichtbaar waren.
Alles bij de bron; Security