Nokia stelt dat er geen bewijs is dat aanvallers kritieke data van het bedrijf hebben gestolen. Wel erkent het bedrijf dat een externe partij waarmee het samenwerkt is getroffen door een securityincident.
Cybercriminelen claimde onlangs te hebben ingebroken bij een niet nader genoemde vendor via een niet goed beveiligde SonarQube-server. Hier zouden de aanvallers data van diverse bedrijven hebben gestolen, waaronder ook Nokia. Nokia startte hierop een onderzoek naar het datalek, waarvan het nu zijn eerste bevindingen deelt. Het stelt daarbij dat er geen aanwijzigingen zijn dat systemen van Nokia zelf zijn getroffen of data van het bedrijf is gestolen.
Alles bij de bron; Dutch-IT-Channel
De hack op de Nederlandse politie van eind september werd vermoedelijk uitgevoerd via een gekaapte inlogsessie aldus de politie.
Hoofd Operatiën bij de Eenheid Landelijke Opsporing en Interventies Stan Duijf schrijft in een persbericht op de website dat de hackers vermoedelijk een zogenoemde pass-the-cookie-aanval hebben uitgevoerd. Het doel van zo’n aanval is om toegang te krijgen tot het account of de applicatie van een gebruiker zonder dat inloggen met een wachtwoord opnieuw vereist is.
"Na een succesvolle aanval kan er malware worden geïnstalleerd die data zoals cookies doorstuurt naar een hacker waarmee toegang kan worden verkregen. In dit geval weten we dat het adresboek is buitgemaakt", zo laat de politie weten.
Bij de hack hebben de cybercriminelen allerlei privégegevens van de 63.000 werknemers te pakken gekregen De politie onderzoekt nog wat de hackers hebben gedaan met de buitgemaakte data.
Alles bij de bronnen; Tweakers & Security
Beveiligingsonderzoeker Sean Kahler kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist.
Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden.
Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd.
Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'.
Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren.
Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold.
Alles bij de bron; Security
Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de Rijksoverheid veilig en vertrouwelijk met elkaar communiceren en is technisch goed opgezet.
De minister van Defensie heeft veel maatregelen genomen om de kwetsbaarheden van NAFIN zoveel mogelijk te beperken en de kans op uitval is relatief klein. Op papier is ook de beveiliging goed geregeld. Desondanks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten.
Het NAFIN is een glasvezelnetwerk van het Ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Ook de politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid....
....Defensie is afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier.
Defensie is daarnaast voor de beveiliging van het netwerk afhankelijk van hoe gebruikers het netwerk behandelen en beveiligen. De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hier aan houden.
Alles bij de bron; Dutch-IT-Channel
Interpol heeft tijdens de zogenaamde Operatie Synergia II meer dan 22.000 malafide IP-adressen of servers die gelinkt zijn aan cyberdreigingen offline gehaald.
Interpol richtte zich tijdens de actie specifiek op phishing, ransomware en malware die informatie steelt, zegt de organisatie op zijn website. n.
In totaal werden 30.000 verdachte IP-adressen geïdentificeerd, waarvan 76 procent offline werd gehaald. Naast 41 gearresteerde mensen, worden 65 individuen nog onderzocht door de autoriteiten.
In het Chinese Hong Kong zijn 1.037 servers die gelinkt zijn aan malafide diensten offline gehaald. In Macau, ook in China, werden 291 servers offline gehaald. In Estland heeft de politie meer dan 80GB aan serverdata in beslag genomen, die nu verder geanalyseerd worden.
Alles bij de bron; Tweakers
Meta heeft illegaal de gevoelige gegevens van zo'n één miljoen Koreanen met vierduizend adverteerders gedeeld, zo stelt de Zuid-Koreaanse privacytoezichthouder PIPC (Personal Information Protection Commission). Het techbedrijf verzamelde via Facebookprofielen politieke opvattingen, geloofsovertuigingen en of gebruikers met iemand van hetzelfde geslacht waren getrouwd. De informatie werd verkregen via likes van bepaalde pagina's en advertenties waarop werd geklikt.
De gevoelige gebruikersinformatie werd vervolgens gebruikt voor het maken van advertenties met betrekking tot gevoelige onderwerpen, zoals bepaalde religies, homoseksualiteit, transgenders en Noord-Koreaanse overlopers. Zaken als politieke opvattingen, geloofsovertuigingen en seksleven zijn gevoelige informatie die goed beschermd moeten zijn.
Alleen wanneer er een geldige grondslag is, zoals wanneer gebruikers expliciet toestemming hebben gegeven, mag een bedrijf dergelijke data verwerken, merkt de PIPC op.
Verder bleek dat Meta gebruikers geen inzage in hun persoonlijke gegevens gaf en had het geen maatregelen genomen om niet meer beheerde accounts en pagina's offline te halen. Doordat de accountverificatie van Meta tekort schoot konden deze pagina's en accounts via valse identiteitsbewijzen worden gekaapt, laat de toezichthouder verder weten.
De PIPC komt dan ook tot de conclusie dat Meta meerdere bepalingen van de Zuid-Koreaanse privacywetgeving heeft geschonden. Meta kreeg daarvoor een boete van omgerekend 15,5 miljoen dollar opgelegd. Het techbedrijf had vorig jaar een omzet van 135 miljard dollar.
Alles bij de bron; Security
Een hacker, bekend onder de naam IntelBroker, beweert toegang te hebben verkregen tot gevoelige bedrijfsgegevens van Nokia en biedt deze nu te koop aan voor 20.000 dollar. De hackersgroep is berucht door eerdere cyberaanvallen op prominente doelwitten.
De data zou afkomstig zijn van een SonarQube-server van een derde partij die onder meer voor Nokia werkt, zegt IntelBroker tegen de website BleepingComputer. De buitgemaakte data zou onder meer broncode, SSH- en RSA-sleutels, Bitbucket-inloggegevens en SMTP-accounts bevatten.
Een woordvoerder van Nokia bevestigt tegenover de website Hackread op de hoogte te zijn van de situatie en neemt de claim serieus.
Alles bij de bron; Tweakers
Bij een ransomware-aanval op de Amerikaanse stad Colombus zijn de gegevens van een half miljoen inwoners gestolen en uiteindelijk ook op internet gepubliceerd.
In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine laat het stadsbestuur weten dat gegevens van inwoners zijn gestolen en gepubliceerd op internet. Het gaat om naam, geboortedatum, rekeninggegevens, kopieën van rijbewijzen, social-securitynummers en 'andere identificerende informatie'. Het zou in totaal om vijfhonderdduizend mensen gaan.
Alles bij de bron; Security
Ruim twee jaar is Uri Sadot ermee bezig: de cyberveiligheid van zonnepalen, thuisbatterijen en laadpalen. Deze apparaten duiken massaal op in het stroomnet. “Wij beheren miljoenen van die apparaten in Europa. Als een deel daarvan zou uitvallen, zou dat tot stroomstoringen kunnen leiden. En toch kwam destijds geen enkele toezichthouder met ons praten.”
Sadot leidt de cyberstrategie van SolarEdge, een van de marktleiders in zonnepanelen, batterijen, omvormers en meer. Al die apparaten, ook van andere fabrikanten, zijn permanent met het internet verbonden. Fabrikanten en installateurs beheren ze in een digitale omgeving. Zo kunnen ze storingen snel opsporen, klanten op afstand helpen en al hun apparaten tegelijk beveiligingsupdates sturen of instellingen aanpassen.
Eén foute update via zo’n portaal of een gerichte aanval kan ervoor zorgen dat alle apparaten tegelijk uitgaan of massaal energie aan het net terugleveren. Door zo’n plotselinge spanningsverandering kan in theorie de stroom uitvallen, misschien wel in heel Europa, bleek uit Nederlands onderzoek van Secura.
‘Ethische hackers’, zoals Jelle Ursem van het Nederlandse cyberveiligheidscollectief DIVD, slaagden er al meermaals in om toegang te krijgen tot de controlepanelen van fabrikanten.
Ook kwaadwillenden slaagden erin om in te breken in de controlepanelen. Het Litouwse energiebedrijf Ignitis heeft bevestigt dat er digitaal is ingebroken in de software van 20 ‘kleine zonneparken’. Een andere groep hackers slaagde erin om zonnepanelen in Japan te hacken. In beide gevallen bleef de schade beperkt.
Het meest kwetsbare onderdeel in zonne-installaties is de omvormer het ‘brein’ van ieder systeem, legt Sadot uit. Die zet gelijkstroom om in wisselstroom, ze regelen hoeveel energie er van en naar het stroomnet stroomt en zijn uitgerust met een internettoegang. Ook thuisbatterijen hebben zo’n omvormer.
Bij veel van die apparatuur was cyberveiligheid geen onderwerp, zeggen deskundigen.
Hoog tijd voor nieuwe eisen, vindt Ralph Moonen van Secura. In opdracht van de Rijksoverheid onderzocht hij met collega’s de zwakke punten bij zonnestroom. “Ik heb nog geen portaal gezien dat echt veilig is”, zegt hij. Fabrikanten en installateurs gebruiken regelmatig eenvoudige en standaard wachtwoorden en stellen vaak geen tweede code in als extra beschermingsstap. Daardoor kunnen hackers zich relatief eenvoudig toegang verschaffen. Ook omdat gestolen wachtwoorden voor een habbekrats te koop blijken op het darkweb.
De portalen van batterijen, laadpalen en warmtepompen hebben dezelfde zwakke punten als die voor zonnepanelen, zegt Moonen. “Al die apparaten zijn op afstand bestuurbaar en kunnen energie afnemen of leveren aan het net. Door de combinatie van al die systemen groeit de kans dat het een keer mis gaat.”
Volgens Sadot van SolarEdge begint het besef te komen dat het anders moet. Zijn eigen bedrijf zorgde dat slechts een beperkt aantal van de apparaten via één hack te ‘stelen’ zijn, het maximeert het aantal zonnepanelen dat vanuit één portaal en server wordt aangestuurd.
Ook overheden beginnen in actie te komen. Zo stelt het Verenigd Koninkrijk voor laadpalen een ‘wachttijd’ verplicht. Als die op afstand het commando krijgen om zichzelf uit te schakelen, moeten ze maximaal 10 minuten wachten met uitvoering van dat commando. Zo heeft het stroomnet de tijd om te reageren op de plotselinge spanningspiek, wat de kans op storingen verkleint.
In Nederland heeft de zonnestroomsector afgesproken om bij de installatie van nieuwe omvormers voortaan een uniek en sterk wachtwoord in te stellen. En de Europese Unie heeft bepaald dat vanaf 2025 voor alle draadloze apparatuur, niet alleen in het energiesysteem, cybersecurityregels gelden. In 2027 worden die regels nog eens uitgebreid, met onder meer een meldplicht voor fabrikanten die een veiligheidsprobleem ontdekken.
Alles bij de bron; Trouw
De Recall-functie, ontworpen om gebruikers te helpen door hun pc-activiteit op te nemen werd aanvankelijk in mei aangekondigd maar wordt nu naar verwachting in december gelanceerd.
Recall maakt gebruik van de schermopnamemogelijkheden van Windows om gebruikers te helpen bij het eenvoudig terugvinden van eerdere acties of bekeken inhoud. Bezorgdheid over de privacy, geuit door cyberbeveiligingsexperts, leidde er toe dat Microsoft de lancering uitstelde. In tussentijd voerde het tests uit met deelnemers aan het Windows Insider-programma.
De aankondiging volgt op recente controverse rond Recall. Het gaat daarbij om beweringen van YouTubers die menen dat de functie stiekem is geïnstalleerd en geactiveerd op Windows-computers die zijn bijgewerkt met versie 24H2.
Brandon LeBlanc, Chief Product Officer voor Windows, verduidelijkte dat Recall niet verplicht zal zijn. Gebruikers kunnen er dus voor kiezen om het te activeren of deactiveren.
Het is nog niet duidelijk of België en andere Europese landen direct toegang krijgen tot Recall wanneer deze breder wordt uitgerold.
Alles bij de bron; BusinessAM