Databeveiliging & Dataverlies

Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt heeft nu ook beloningen uitgeloofd voor zerodaylekken in de Windowsapplicaties van vpn-aanbieders.

Er wordt gezocht naar kwetsbaarheden waardoor informatie is te achterhalen, het echte ip-adres van gebruikers zichtbaar wordt en erop afstand code op het systeem van gebruikers is uit te voeren. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Alles bij de bron; Security


 

Volgens security bedrijf WizCase kon er 100GB aan data ingekeken worden. Daarin troffen de onderzoekers 500 miljoen records aan met informatie over de persoonlijke gegevens van 1 miljoen klanten en informatie over geïnstalleerde software op apparaten van ongeveer 300.000 QuickFox-klanten. Alle uitgelekte data dateert uit de periode tussen juni 2021 en september 2021. Het securitybedrijf kreeg toegang tot de data zonder dat het daarvoor inloggegevens of een wachtwoord moest ingeven. 

De persoonlijke gegevens betroffen namen, e-mailadressen, telefoonnummers, apparaattypen en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld waren opgeslagen. Ook de originele IP-adressen van de vpn-gebruikers waren terug te vinden. Aan de hand daarvan kon WizCase zien dat het merendeel van de getroffen klanten zich in de Verenigde Staten, Japan, Indonesië en Kazachstan bevindt.

QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase.

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn. WizCase nam contact op met QuickFox, maar heeft geen antwoord gekregen. Volgens Security.nl is het lek inmiddels gedicht.

Alles bij de bron; Tweakers


 

Welk bedrijf uit de buurt is gehackt, slachtoffer van een datalek of beboet voor schending van de privacywet. Dat kunt u opzoeken in een online overzicht op de website datalekt.nl. Dat geeft een actueel overzicht van incidenten die sinds 2016 hebben plaatsgevonden en via de media of privacytoezichthouder Autoriteit Persoonsgegevens (AP) in de openbaarheid zijn gekomen.

Het online overzicht is een initiatief van onderzoeksjournalist en schrijfster van het boek ‘Komt een vrouw bij de h@cker’, Maria Genova en cybersecurity-expert Joram Teusink van Mite3 Cybersecurity. 

De kaart geeft zeker geen compleet beeld. ‘De meeste hacks en datalekken worden niet openbaar gemaakt. Dat bekent dat in werkelijkheid heel Nederland rood kleurt en dat er geen enkele sector is waar deze cyberincidenten niet plaatsvinden’, waarschuwen de makers.

Alles bij de bron; Computable


 

Zo'n 650.000 WordPress-sites lopen risico om door kwaadwillenden te worden overgenomen. Onderzoekers van Jetpack ontdekten twee kwetsbaarheden in de plug-in WP Fastest Cache . 

WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd.

Jetpack waarschuwde de ontwikkelaar van WP Fastest Cache op 29 september. Vervolgens verscheen op 11 oktober versie 0.9.5 waarin de kwetsbaarheden zijn verholpen. Sinds het uitkomen van de nieuwe versie is WP Fastest Cache zo'n 354.000 keer gedownload, wat inhoudt dat nog zo'n 650.000 WordPress-sites niet zijn bijgewerkt met de nieuwste versie van de plug-in.

Alles bij de bron; Security


 

De Gegevensbeschermingsautoriteit GBA onderzoekt een mogelijk beveiligingslek bij het valideren en lezen van Covid Safe Tickets via de CovidScan-applicatie. Dat meldt de GBA zelf. Mogelijk zijn er 39.000 personen getroffen.

Het probleem situeert zich bij een gecodeerde lijst, zegt de Gegevensbeschermingsautoriteit. Die zogenaamde ‘suspension list’ is gecodeerd, maar kan via een sleutel die zich in de CovidScan-app bevindt, toch uitgelezen worden.

“In deze fase van het scanproces van het Covid Safe Ticket werd door een burger een potentiële beveiligingsfout opgemerkt”, zegt de GBA in een persmededeling. Deze persoon slaagde erin de beveiligingssleutel te gebruiken om de gecodeerde lijst zelf te kunnen lezen. Op die manier is het dus ook voor hackers in theorie mogelijk om te controleren welke gevaccineerde personen op welk moment toch positief hebben getest, terwijl gezondheidsgegevens de hoogst mogelijke vorm van privacy zouden moeten genieten.

“De Gegevensbeschermingsautoriteit neemt dit zeer ernstig, gezien de bijzonder gevoelige aard van gezondheidsgegevens”, klinkt het nog. De GBA zal de zaak verder opvolgen, maar kan geen verdere commentaar geven of er een onderzoek is opgestart, en wat er in tussentijd met de CovidScan-app moet gebeuren. Volgens onze informatie is het lek op dit moment ook nog niet gedicht.

Alles bij de bron; deMorgen


 

Sommige voormalige werknemers van OnlyFans hebben nog steeds toegang tot de gegevens van gebruikers van de dienst. Het gaat om het gebruik van Zendesk, een softwarepakket voor klantenservice. Werknemers van OnlyFans zouden soms nog lang na hun dienstverband toegang hebben tot deze softwareomgeving, aldus een ex-werknemer van het bedrijf.

Motherboard wist via de inloggegevens van meerdere oud-werknemers binnen te komen in de softwareomgeving. Via Zendesk zijn tickets in te zien van zowel betalende klanten als mensen die het platform gebruiken om hun content te plaatsen.

Via deze tickets vallen veel privégegevens in te zien, afhankelijk van waarom de gebruikers contact opnemen met OnlyFans. Zo zouden ex-werknemers toegang hebben tot creditcardgegevens, rijbewijzen, volledige namen, selfies met paspoort of ID-kaart en andere zeer persoonlijke informatie.  

Alles bij de bron; RTL


 

Een coalitie van vijftig organisaties en beveiligingsexperts heeft de Belgische overheid in een open brief gevraagd om te stoppen met een wetsvoorstel dat de end-to-end encryptie van communicatiediensten zoals WhatsApp zou ondermijnen. In het wetsvoorstel worden aanbieders gedwongen om autoriteiten toegang tot de communicatie van gebruikers te geven.

Dit zou Belgische burgers allesbehalve veilig maken, maar de eisen zouden ook het gebruik van end-to-end encryptie in België ondermijnen, gaan de experts en organisaties verder. Eerder stelde de Belgische privacytoezichthouder dat het wetsvoorstel bedrijven zou dwingen om een "de factor backdoor" aan hun diensten toe te voegen.

De Belgische overheid wordt dan ook opgeroepen om van het wetsvoorstel af te zien. De brief is onder andere ondertekend door de Liga voor Mensenrechten, European Digital Rights (EDRi), Internet Society en versleutelde e-maildienst Tutanota. Directeur van WhatsApp, Will Cathcart, laat via

Twitter weten dat sterke encryptie essentieel is om privacy en gebruikers te beschermen en dat het Belgische wetsvoorstel de veiligheid van iedereen gevaar laat lopen.

Alles bij de bron; Security


 

Al sinds 2017 rijzen twijfels over de betrouwbaarheid van de Chinese tech-gigant Da Jiang Innovations (DJI), wereldwijd marktleider op het gebied van drones. Toch blijft de politie ze gebruiken, terwijl Defensie ze in de ban deed...

... De Nederlandse politie zette in 2021 tot nu toe meer dan duizend keer een drone in, en inmiddels bestaat de dronevloot uit ruim honderd DJI-toestellen. De drones worden onder andere gebruikt voor opsporing en crowd control, zegt de politie. Tijdens recente protesten tegen de coronamaatregelen zette de politie een van hun DJI Matrice-drones in om toezicht te houden op de mensenmassa...

...Sinds 2017 rijzen er echter al twijfels over de betrouwbaarheid van de Chinese tech-gigant. De Amerikaanse cybersecurity-onderzoeker Kevin Finisterre besloot samen met een groep programmeurs eens uit te zoeken hoe goed die drones nu eigenlijk beveiligd zijn. Hij krijgt gemakkelijk toegang tot vertrouwelijke servers van DJI en vindt onversleutelde vluchtgegevens en identiteitsbewijzen van gebruikers. Bovendien ontdekt hij een functie in de DJI-besturingsapp om software te kunnen installeren op de telefoon van de gebruiker van de drone. “Als het bedrijf ervoor kiest om die achterdeur te gebruiken, kunnen ze de gebruiker daarmee langdurig monitoren”, zegt hij...

...Net als de Amerikaanse onderzoeker Finisterre vond ook zij een functie in de app die allerlei andere software op de telefoon kon installeren zonder dat de gebruiker het doorheeft. Bovendien had DJI een doolhof aan digitale versleuteling opgetrokken om dat achterdeurtje uit het zicht te houden van buitenstaanders als de Franse onderzoekers. “Dat maakt het extra verdacht”, zegt Romand-Latapie. 

DJI laat in een schriftelijke reactie weten dat al hun producten veilig zijn. Ook hoeven gebruikers volgens DJI geen data te delen, ook niet met de tech-gigant zelf. Overheden kunnen volgens DJI gebruik maken een speciale overheidsdrone, een editie waarvan de data éxtra beveiligd zou zijn.

Opmerkelijk genoeg gebruikt de Nederlandse politie die editie niet, laat ze in een reactie weten. De dronebestuurders bij de politie gebruiken gewoon de meegeleverde DJI-apps en -software, terwijl experts benadrukken dat overheidsorganisaties hun eigen app moeten ontwikkelen om DJI-drones veilig te gebruiken.

Agenten gebruiken soms zelfs de recreatieve DJI-app, waarvan het Franse onderzoeksteam ontdekte dat die gevoelige data naar Chinese servers stuurde. De politie stelt zelf ook dat ze niet kan uitsluiten dat data van politiedrones belandt op servers in China.

Alles bij de bron; Trouw


 

De Canadese corona-app Portpass, waarmee gebruikers kunnen aantonen dat ze zijn gevaccineerd of getest op corona, heeft privégegevens van mogelijk honderdduizenden gebruikers gelekt. Dat meldt de Canadese publieke omroep CBC.

Portpass is door een commerciële partij ontwikkeld en biedt gebruikers de mogelijkheid om een qr-code te genereren waarmee kan worden gereisd en toegang tot locaties en evenementen kan worden verkregen.

De privédata van gebruikers blijkt via de website toegankelijk, zo stelt CBC. Het gaat om e-mailadressen, namen, bloedgroep, telefoonnummers, geboortedatum en foto. Hoe de informatie toegankelijk is wil de omroep niet laten weten, om zo misbruik te voorkomen.

De website van Portpass is op het moment van schrijven offline. Eerder hadden onderzoekers aangegeven dat het mogelijk is om de app door middel van valse vaccinatiebewijzen te manipuleren.

Alles bij de bron; Security


 

Ruim 80% van de 2.000 grootste bedrijven ter wereld heeft de bescherming van zijn domeinnamen niet op orde. De eenvoudigste maatregelen worden vaak niet eens genomen.

Dat blijkt uit onderzoek van Corporation Service Company, een Amerikaans bedrijf dat zich richt op domeinnaambeheer. Zij onderzochten de domeinrecords van de organisaties uit de Forbes Global 2.000-lijst. Daarbij zochten ze met een algoritme domeinen die sterk leken op de officiële domeinnamen van de 2.000 enterprises. Van deze zogeheten ‘homoglyphs’ was 70% geregistreerd door andere partijen dan de bedrijven zelf.

Dichter bij huis vond de SIDN al in 2017 bij een inventarisatie 1.786 .nl-domeinnamen waarin de naam ‘politie’ voorkomt. Minstens 1.500 daarvan stonden niet op naam van de politie en vormden dus aantrekkelijke weblocaties voor phishing-praktijken door hackers en cybercriminelen.

Ook de beveiliging van hun eigen officiële domeinnamen is bij de overgrote meerderheid zeer slecht geregeld. 81% had niet de basale beveiligingsmaatregelen getroffen, zoals het gebruik van het registry lock protocol. Dit protocol maakt het veel moeilijker om een domein makkelijk over te zetten naar kwaadwillenden. Ook waren maar bij 17% redundant DNS-services in gebruik die bescherming bieden tegen DDoS-aanvallen. 

Alles bij de bron; AGConnect


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha