De 21-jarige hacker, die zich verschuilde achter het pseudoniem John Binns, vertelde aan journalisten van de Wall Street Journal dat hij achter de aanval zat op de Amerikaanse tak van T-Mobile waarbij de gegevens van 48,7 miljoen Amerikanen gestolen werd. De data omvat voor- en achternamen, geboortedata, social security numbers en rijbewijs- of id-kaartinformatie.

Binns vertelde dat hij T-Mobile’s internetadressen afzocht op zoek naar kwetsbaarheden. Dat deed hij naar eigen zeggen met een ‘simpele tool’ die beschikbaar is voor het grote publiek. Hij ontdekte bijgevolg een onbeveiligde router van het bedrijf die aangesloten was op het net en gebruikte die om toegang te krijgen tot het datacentrum van de operator in de noordwestelijke Amerikaanse staat Washington. Van dit centrum had hij inloggegevens buitgemaakt en nadat hij zichzelf naar binnen had gehackt, kon de man meer dan 100 servers bereiken. Vervolgens duurde het een week om die servers uit te pluizen. Binns vond in die tijd de persoonlijke data van 48,7 miljoen Amerikanen, waaronder huidige, voormalige of potentiële klanten van de Amerikaanse telecomoperator.

Of de hacker de data effectief verkocht heeft, en of hij hiervoor werd betaald, wou hij niet kwijt aan de journalisten van de Wall Street Journal. Met de hack wou de hacker aandacht trekken. "Ophef creëren was een doel", stelde hij tegenover de Wall Street Journal. "Ik sloeg in paniek want ik had plots toegang tot iets groots. De beveiliging van T-Mobile is slecht", stelde hij.

Alles bij de bron; Tweakers


 

Samsung heeft eerder deze maand de zogeheten TV Block-functie geactiveerd voor tv's die in juli werden gestolen uit een magazijn in Zuid-Afrika. Hierdoor worden de televisies onbruikbaar. Dit gaat via het detecteren van het serienummer nadat verbinding met internet wordt gemaakt.

Daarmee worden volgens Samsung alle televisiefuncties uitgeschakeld. Deblokkeren kan ook; dan moet er wel een bewijs van aankoop en een geldige tv-licentie naar Samsung worden gestuurd.

Of het bij het blokkeren daadwerkelijk om alle functies gaat, of dat het alleen bepaalde functies betreft, is niet duidelijk. Ook is onduidelijk of de communicatie met de Samsung-servers en het controleren van het serienummer ook plaatsvindt als de televisie niet direct met internet is verbonden, maar bijvoorbeeld via een mediaspeler als de Nvidia Shield of de Apple TV.

Samsung maakt duidelijk dat de blokkeerfunctie vooraf op alle Samsung-televisieproducten is gezet. Het is onbekend of dat betekent dat TV Block kan worden geactiveerd op alle, wereldwijd verkochte Samsung-tv's, of dat het beperkt is tot alleen de televisies die in Zuid-Afrika worden verkocht. Als het wereldwijd kan, kan dat in theorie betekenen dat een kwaadwillende bijvoorbeeld via een hack wereldwijd grote aantallen met internet verbonden Samsung-tv's kan blokkeren.

Alles bij de bron; Tweakers


 

Criminelen zijn erin geslaagd om door middel van e-mailfraude 2,3 miljoen dollar van het Amerikaanse stadje Peterborough te stelen, zo heeft het stadsbestuur bekendgemaakt. Eind juli werd duidelijk dat het regionale schooldistrict de maandelijkse 1,2 miljoen dollar niet had ontvangen. Uit het onderzoek dat volgde bleek dat de stad was opgelicht.

Oplichters hadden e-mails verstuurd en vervalste documenten gebruikt die van het schooldistrict afkomstig leken. Daardoor werd de 1,2 miljoen dollar naar de verkeerde rekening overgemaakt. Terwijl het onderzoek nog gaande was werd duidelijk dat twee andere transacties, ter waarde van 1,1 miljoen dollar op dezelfde manier naar een rekening van de oplichters waren overgemaakt.

Vanwege de diefstal worden alle procedures en beleid rond elektronische transacties herzien.

Alles bij de bron; Security


 

China heeft een nieuwe datawet aangenomen die, volgens de overheid, persoonlijke gegevens van gebruikers beter moet beschermen.

De wet schrijft onder meer voor hoe techbedrijven met die gegevens moeten omgaan. De wet gaat op 1 november in en bevat enkele voorzieningen die aan de AVG doen denken. Bedrijven moeten onder meer toestemming van gebruikers krijgen voor ze persoonlijke gegevens kunnen verzamelen, en krijgen ook voorgeschreven hoe ze die data moeten beschermen wanneer ze buiten de Chinese grenzen worden vervoerd. 

Daarnaast mag er ook alleen data worden verzameld wanneer daar een duidelijk doel voor is, en moeten bedrijven het minimum aan data verzamelen die nodig is om hun apps en dergelijke te laten werken. De wet bevat overigens ook enkele extra's, zoals de toevoeging dat bij het overlijden van de gebruiker, de controle over de data naar diens familie gaat. Die kunnen vervolgens bijvoorbeeld toestemming intrekken om gegevens te gebruiken.

Alles bij de bron; DutchITChannel


 

Negen activisten uit Bahrein waren doelwit van een hack met de Pegasus-spyware van NSO Group. Voor de hack werd gebruikgemaakt van een kwetsbaarheid in iMessage, waarmee zonder interactie van de gebruiker malware geïnstalleerd kon worden op iPhones.

Uit onderzoek van The Citizens Lab van de universiteit van Toronto blijkt dat de malware van de Israëlische NSO Group is geïnstalleerd op iPhones van negen activisten uit Bahrein. Twee van de activisten zijn politieke dissidenten die zijn verbannen uit het land. 

Een van de activisten zou zelfs meerdere malen gehackt zijn in een periode van een paar maanden vorig jaar. De eerste hacks zouden hebben plaatsgevonden in september 2019. Voor de hacks werd gebruikgemaakt van de KISMET-kwetsbaarheid uit 2020 en een nieuwe kwetsbaarheid die FORCEDENTRY wordt genoemd.

Het is niet de eerste keer dat bekend wordt dat er met de Pegasus-software journalisten, activisten en politici worden bespioneerd. Vorige maand nog werd het telefoonnummer van de Franse president Macron ontdekt op een lijst met telefoonnummers die doelwit waren van surveillance met de software.

Alles bij de bron; Tweakers


 

Honderden web-apps hebben per ongeluk 38 miljoen gegevens op het internet publiek toegankelijk gemaakt, als gevolg van verkeerde configuraties in Microsoft Power Apps. De data stond in de portal service van Power Apps, waarmee het gemakkelijk is om web- of mobiele apps te maken voor extern gebruik. Onder de data zitten onder meer huisadressen, BSN-nummers en vaccinatiegegevens.

Beveiligingsbedrijf Upguard ontdekte in mei dit jaar voor het eerst dat een app publiek toegankelijke data bevatte, terwijl die data privé had moeten blijven. Het bedrijf vroeg zich af of dit bij meer apps die de API's van Power Apps gebruikten voorkwam en startte een grootschalig onderzoek. Nu blijkt dat dit het geval was bij honderden portals, waaronder die van Ford, American Airlines en de Amerikaanse staat Indiana. En ook een aantal apps van Microsoft zelf bleken verkeerd geconfigureerd te zijn. In totaal waren 38 miljoen gegevens openbaar gemaakt op het internet.

Microsoft kondigde begin augustus aan dat API-data en andere informatie voortaan standaard wordt afgeschermd bij Power Apps. Daarnaast is er een tool uitgebracht waarmee gebruikers de instellingen van hun eigen portal kunnen controleren, om te zien of data publiekelijk beschikbaar zijn gemaakt. Volgens Upguard zijn de meeste getroffen apps inmiddels alsnog goed geconfigureerd, waardoor de data nu wel afgeschermd is. 

Alles bij de bron; AGConnect


 

De afgelopen dagen zijn er meerdere phishingmails verstuurd die van MijnOverheid afkomstig lijken en bankgegevens van slachtoffers proberen te ontfutselen. De berichten hebben onder ander als onderwerp "Let op een document in uw berichtenbox!" en stellen dat er een document voor de ontvanger klaarstaat.

De aanvallers hebben daarbij de tekst vermeld dat het vanwege technisch onderhoud niet mogelijk is om het bericht via de Berichtenbox te lezen, en het daarom in de browser moet worden bekeken. Woensdag 25 augustus vindt er inderdaad onderhoud aan MijnOverheid en de Berichtenbox-app plaats. De links in de e-mail wijzen naar een phishingsite die zich voordoet als een DigiD-pagina van de Belastingdienst. Daarbij wordt ook gesteld dat de rekening moet worden gevalideerd waarop de gebruiker zijn teruggave van de bank wil ontvangen.

Vervolgens kan er een bank worden gekozen, waarbij er een specifieke phishingpagina voor de betreffende bank wordt geladen. De afgelopen dagen maakten meerdere mensen op Twitter melding van de phishingmails. De webcare van MijnOverheid vraagt om phishingmails door te sturen naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Via de BerichtenBox van MijnOverheid kunnen burgers post van de overheid ontvangen. Het gaat dan bijvoorbeeld om berichten van gemeenten, waterschappen en landelijke organisaties. Inmiddels hebben zo'n 8,9 miljoen mensen een MijnOverheid-account.

Bron; Security


 

Door een datalek bij de Kamer van Koophandel (KVK) liggen de gegevens van zo'n achttienhonderd mensen op straat. Het gaat onder andere om privéadressen van Kamerleden van D66, GroenLinks en BIJ1.

Een voormalig advocaat bleek nog toegang te hebben tot deze gegevens. De persoon zou zich begin dit jaar hebben uitgeschreven als advocaat, maar nog tot juni informatie hebben opgevraagd. Het gaat om gegevens van politieke partijen, jongerenverenigingen en politiek activistische organisaties.

Naar aanleiding van het incident heeft de KVK overlegd gehad met de Nederlandse Orde van Advocaten. Samen hebben zij geconstateerd dat er nog meer voormalig advocaten zijn die hun bevoegdheden hebben misbruikt. In totaal gaat het om 164 advocaten, van wie er 92 onbevoegd gegevens hebben opgevraagd.

Alles bij de bron; NU


 

Twee onderzoekers van de Princeton University die net als Apple een systeem ontwikkelden voor het detecteren van kindermisbruik waarschuwen dat de technologie te gevaarlijk is om te gebruiken. Het onderzoeksproject van Jonathan Mayer en Anunay Kulshrestha startte twee jaar geleden. De twee wilden kijken of ze een systeem konden ontwikkelen dat kindermisbruik op end-to-end versleutelde platformen kon detecteren.

Het lukte de onderzoekers om een werkend prototype te ontwikkelen, maar ze liepen naar eigen zeggen tegen een groot probleem aan. "Ons systeem was eenvoudig te hergebruiken voor surveillance en censuur. Het ontwerp was niet beperkt tot een specifieke contentcategorie; een platform kon een willekeurige content-matchingdatabase laden, en de persoon die het platform gebruikte zou het niet weten", aldus de onderzoekers in een column voor The Washington Post.

Een buitenlandse overheid zou bijvoorbeeld een platform kunnen dwingen om mensen aan te geven die onwelgevallige meningen hebben. De onderzoekers waren naar eigen zeggen zo geschrokken dat ze voor hun eigen systeemontwerp waarschuwden.

Het systeem van Apple is volgens de onderzoekers technisch niet effectiever dan wat zij ontwikkelden. "Maar we waren verbaasd om te zien dat Apple nauwelijks antwoorden had op de lastige vragen die wij hadden gesteld."

Volgens de onderzoekers is er letterlijk niets dat Apple kan doen wanneer bijvoorbeeld de Chinese overheid eist om iPhones op pro-democratisch materiaal te controleren. Apple heeft wel maatregelen aangekondigd om misbruik tegen te gaan, maar die schieten volgens de onderzoekers ernstig te kort.

Alles bij de bron; Security


 

Facebook biedt gebruikers in Afghanistan de mogelijkheid hun profiel op het sociale netwerk met één druk op de knop te blokkeren, nu de Taliban de macht in het land hebben gegrepen.

Facebook-bestuurder Nathaniel Gleicher schrijft op Twitter dat het ook niet meer mogelijk is de vriendenlijst van Facebook-gebruikers die zich momenteel in Afghanistan bevinden te doorzoeken. Het sociale netwerk neemt de maatregelen uit angst voor de veiligheid van Facebook-gebruikers in Afghanistan. Wie zijn of haar profiel blokkeert, verbergt alle foto's en berichten. 

Facebook en Instagram lieten eerder al weten bezig te zijn elke "Taliban-aanwezigheid" te verwijderen. WhatsApp is druk bezig om erachter te komen of de Taliban de berichtendienst gebruiken en zo ja, hoe het bedrijf de groep uit zijn netwerk kan verwijderen. Ook YouTube meldde woensdag de Taliban volledig te verbannen om zo te voldoen aan Amerikaanse sancties tegen de radicaalislamitische beweging.

Alles bij de bron; NU


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha