- Gegevens
- Hoofdcategorie: Internet en Telecom
Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde.
CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen.
Het besturingssysteem draait op switches en routers van het bedrijf. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt.
Het securitybedrijf VulnCheck heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt.
Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bioscoopketen Vue heeft klanten gewaarschuwd voor een datalek in de webomgeving waarbij mogelijk persoonsgegevens zijn getroffen.
Het gaat om naam, geslacht, e-mailadres, geboortedatum, postcode, adresgegevens, foto, wachtwoordhashes, bankrekeningnummer en ticketbestelgegevens. Afgelopen zomer meldde RTL Nieuws op basis van een tip van een ethisch hacker dat Vue de privégegevens van honderdduizenden klanten lekte.
Via een kwetsbaarheid in de website kon de broncode worden ingezien. Via de broncode werd informatie gevonden die toegang gaf tot de database van de bioscoopketen en de dienst die de betalingen verwerkt. Daarnaast bleek de website kwetsbaar voor SQL-injection.
Getroffen klanten hebben vandaag een e-mail ontvangen waarin Vue waarschuwt dat hun gegevens mogelijk zijn getroffen. Wat betreft de gebruikte kwetsbaarheden zijn die inmiddels verholpen. "Ook hebben wij extra beveiligingsverbeteringen doorgevoerd bij onze website en app, en extra beveiligingscontroles en monitoring geïmplementeerd", zo laat Vue verder weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Een klant van ING heeft door middel van een systeemfout toegang tot de rekening van een andere klant gekregen. De klant logde door middel van Face ID in op de ING-app, maar kreeg daarbij niet zijn eigen rekeninggegevens te zien, maar die van een andere klant. De klant maakte screenshots en informeerde de bank. ING bevestigt het voorval en stelt dat het door een ‘fout in het systeem’ is veroorzaakt....
....ING liet in eerste instantie weten dat het om een uniek geval ging waarbij een klant de rekening van een andere klant kon zien en geld overmaken. Dat blijkt niet zo te zijn en de bank laat nu tegenover de NOS weten dat vijf klanten slachtoffer van dezelfde systeemfout werden.
"Het kwam door een verandering die we hebben doorgevoerd in het systeem en we nu hebben teruggedraaid," aldus een woordvoerder van ING. "We voeren continu veranderingen door, allemaal technische zaken aan de achterkant van het systeem, waar de klanten helemaal niets van zien." Details zijn niet door de bank gegeven. Ook doet de bank geen uitspraken of er misbruik van de fout is gemaakt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Dna-testbedrijf 23andMe is in de Verenigde Staten door gebruikers aangeklaagd wegens een gevoelig datalek waarbij hun persoonlijke gegevens werden gestolen.
Meerdere personen zijn inmiddels een massaclaim tegen het bedrijf gestart. Begin deze maand werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.
Volgens de personen die de rechtszaken zijn gestart heeft 23andMe geen gepaste maatregelen genomen om de gegevens van gebruikers te beschermen.
Daarnaast heeft het bedrijf niet bekendgemaakt wanneer het datalek zich precies voordeed en over welke periode zich het heeft voorgedaan.
Ook is niet bekendgemaakt hoeveel gebruikers zijn getroffen en wat voor maatregelen die zouden moeten nemen om zich te beschermen. Daardoor zouden gebruikers risico op identiteitsdiefstal lopen, aldus de klagers.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
De Britse financiële toezichthouder FCA heeft de Britse tak van kredietbeoordelaar Equifax een boete van omgerekend 12,8 miljoen euro opgelegd wegens een grootschalige datalek bij het Amerikaanse moederbedrijf, waarbij ook data van Britse klanten werd gestolen.
Volgens de FCA had het datalek volledig voorkomen kunnen worden en behandelde de Britse tak de relatie met Amerikaanse moederbedrijf niet als outsourcing.
....het moederbedrijf past geen netwerksegmentatie toe. Hierdoor konden de aanvallers nadat ze de databaseservers hadden gecompromitteerd toegang tot andere delen van het netwerk krijgen. Tevens had de kredietbeoordelaar geen intrusion detectiesystemen voor de legacy databases geïnstalleerd en bleek het bedrijf inloggegevens voor het netwerk, wachtwoorden, social security nummers en andere gevoelige consumentengegevens in plaintext te bewaren.
Bij de aanval werden de persoonlijke gegevens van meer dan 147 miljoen Amerikanen gestolen, alsmede 15 miljoen Britten. Het ging om namen, geboortedata, telefoonnummers, gedeeltelijke creditcardgegevens en adresgegevens. ...
De Britse tak ontdekte pas zes weken na de ontdekking van de aanval door het Amerikaanse moederbedrijf dat er gegevens van Britse consumenten waren gestolen. Verder stelt de FCA dat de Britse tak in haar verklaringen een onjuist aantal getroffen consumenten noemde en niet goed omging met klachten van consumenten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Leefbaar Rotterdam en VVD vinden dat er sneller geschakeld moet kunnen worden tussen verschillende instanties. Nu is het zo dat criminelen langer vrij rondlopen dan gewenst en strikt noodzakelijk is, omdat de opsporingsdiensten hun werk niet kunnen doen. ‘’Terwijl veiligheid toch belangrijker is dan het beschermen van de privacy van een verdachte crimineel’’, aldus raadslid Coenradie van Leefbaar, die daarin van harte wordt ondersteund door de VVD.
D66 houdt ook in Rotterdam autistisch vast aan alle soorten privacybescherming en belemmert daarmee de strijd tegen criminaliteit en ondermijning. Daar komt sinds donderdag toch voorzichtig enige kentering in nu de gemeenteraad van Rotterdam heeft besloten bij het Rijk aan te dringen op wet- en regelgeving die beter past bij de werkelijkheid. De D66-obstakels moeten weg de route erheen moet in samenwerking met andere gemeenten.
Coenradies motie om een begin te maken met weggummen van het D66-autisme op dit vlak werd dan ook aangenomen. Mede dankzij de Partij van de Arbeid, die vier onverwachte stemmen aanleverde. Maar ook 50PLUS, Denk en de ChristenUnie waren het er over eens dat het niet delen van persoonsgegevens in relatie tot criminelen het opsporen bemoeilijkt.
D66 uiteraard niet evenals Volt, Partij voor de Dieren, SP en BIJ1.
Alles bij de bron; Dagblad010
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De hack van berichtendienst Sky ECC bleek een goudmijn voor justitie, maar rond de opsporingsmethoden hing een rookgordijn. Nu blijkt uit Belgische, Franse en Nederlandse strafdossiers dat België en Nederland de grenzen van de wet opzochten.
...‘Eén grote tap op de onderwereld’, jubelt Andy Kaag, hoofd van de Dienst Landelijke Recherche op datzelfde moment in Amsterdam. ‘Wat we hebben laten zien, is dat criminelen onterecht denken dat ze onbespied kunnen communiceren.’ Er volgen honderden aanhoudingen en rechtszaken, vaak drugsgerelateerd, met de Sky-berichten als belangrijkste bewijs.
Maar Nederland werpt ook een rookgordijn op. Hoe de politie toegang kreeg tot de honderden miljoenen berichten mag niet bekend worden, terwijl het de kern van de rechtsstaat raakt: als rechters de opsporingsmethode niet kunnen toetsen, krijgen verdachten geen eerlijk proces.
Het OM wijst naar Frankrijk: dat is het land dat het onderzoek leidde en ervoor zorgde dat de honderden miljoenen berichten in handen van justitie kwamen.
Hoe dat gebeurde, is een Frans staatsgeheim.
Nederland beroept zich op het vertrouwensbeginsel: als het samenwerkt met Europese landen, moeten rechters ervan uit kunnen gaan dat het bewijs daar rechtmatig is verzameld. Frankrijk werd daarbij handig gebruikt...
...Nederland heeft dan al ruime ervaring met het kraken van cryptotelefoons, voorlopers van Sky. Eerst Ennetcom, daarna PGPSafe, IronChat en later ook EncroChat: telkens weten politiespecialisten computerservers op te sporen en miljoenen berichten te ontsleutelen. ‘Een klap voor de onderwereld’, zeggen opsporingsdiensten niet zonder trots. Maar justitie weet ook dat ze daarbij de randen van de wet opzoekt – en er soms overheen gaat.
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Europese Unie werkt aan een nieuwe wet om de digitale verspreiding van kinderporno te bestrijden. Dat is lovenswaardig en nodig ook, maar het toelaten van screening van het sociale mediaverkeer is een verkeerde oplossing. De prijs voor chat control is te hoog en de technologische ontwikkeling is nog te beperkt voor een feilloze toepassing.
Deskundigen, politici en zelfs belangenorganisaties vinden het permanent meespieken met communicatiediensten zoals Whatsapp en Tiktok om kinderpornografisch materiaal op te sporen, een paar stappen te ver. Geen bericht ontkomt aan het allesziende oog en de inbreuk op de privacy is kolossaal. Het doel heiligt in dit geval niet het middel.
Kenmerk van het (sociale) berichtenverkeer is juist dat gebruikers vrijelijk met elkaar kunnen communiceren. Elk bericht wordt versleuteld om pottenkijkers buiten te sluiten. Het EU-voorstel maakt toch een spiekmomentje mogelijk voordat deze versleuteling plaatsvindt. Dat momentje is te vergelijken met een postbode die, voordat de brief in de bus glijdt, even snel de envelop opent om de inhoud te lezen. Dat is met de post ondenkbaar, dus in het digitale berichtenverkeer ook.
...De wens is de vader van de gedachte, maar zolang een nieuwe wet niet waterdicht voldoet, mag die niet tot uitvoer worden gebracht. Zelfs niet voor het opsporen van kindermisbruik.
Alles bij de bron; LeidschDagblad