De aanvallers achter de aanval op de TU Eindhoven beschikten over gestolen inloggegevens van in elk geval één medewerker en één student, zo stelt de Volkskrant op basis van ingewijden.
Via de inloggegevens konden de aanvallers inloggen op het Windows-domein van de universiteit, aldus de krant. Volgens de anonieme ingewijden zijn de inloggegevens van de gecompromitteerde accounts teruggevonden in logbestanden van infostealer-malware.
Infostealer-malware is speciaal ontwikkeld voor het stelen van gebruikersnamen, wachtwoorden, cookies en andere data van besmette systemen. Verdere details over de aanval worden niet door de Volkskrant gegeven.
Alles bij de bron; Security
In september 2018 werden door een groot beveiligingslek de persoonlijke gegevens van 29 miljoen Facebook-accounts wereldwijd blootgelegd. Meta, het moederbedrijf van Facebook, heeft zojuist een boete van 251 miljoen euro gekregen van de Ierse toezichthouder voor het niet voldoen aan de vereisten van de GDPR.
Tussen 14 en 28 september 2018 waren de cyberaanvallen gericht op ongeveer 29 miljoen Facebook-accounts, waaronder 3 miljoen in de Europese Unie.
De hackers kregen toegang tot gevoelige gegevens zoals:
naam;
e-mailadres;
telefoonnummer;
en in sommige gevallen, het geslacht, religie;
en zelfs de recente geografische locatie van gebruikers.
Alles bij de bron; TestAankoop
Bij een hack van de website van de gemeenteraad van Almere zijn gegevens van 2.200 gebruikers gestolen. Het gaat om namen, e-mailadressen, en in sommige gevallen telefoonnummers en informatie over de wijk waar mensen wonen.
De griffie van de raad heeft deze gegevens naar buiten gebracht.
Het onderzoek naar de hack, die halverwege december plaatsvond, is inmiddels afgerond. Wie verantwoordelijk is voor de inbraak, blijft echter onduidelijk. De hackers hebben geen contact opgenomen met de raadsgriffie en geen geld geëist. Na de hack werd de website raadvanalmere.nl offline gehaald.
Alles bij de bron; Dutch-IT-Channel
De Nederlandse webshop Welhof heeft afgelopen augustus de persoonlijke gegevens van meer dan 107.000 klanten gelekt. Het gaat om namen, adresgegevens en de waarde van aankopen, zo meldt Troy Hunt.
Welhof maakte het incident via de eigen website bekend. "Het lijkt erop dat de volgende gegevens mogelijk zijn gelekt: naam, adres, e-mailadres, telefoonnummer en bestelnummers. We willen benadrukken dat rekeningnummers en wachtwoorden niet zijn gelekt", aldus de webshop. "Op basis van meldingen die we hebben ontvangen, lijkt het erop dat Welhof mogelijk het doelwit is geweest van een cyberbeveiligingsincident.", zo liet Welhof verder weten.
De ruim 107.000 gestolen e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Van de gestolen e-mailadressen was zeventig procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
Meerdere organisaties zijn de afgelopen weken het doelwit geworden van ransomware-aanvallen die begonnen via Microsoft Teams, zo meldt antivirusbedrijf Sophos. De virusbestrijder zag de afgelopen drie maanden vijftien incidenten, waarvan de helft in de afgelopen twee weken. De aanvallers gebruiken hun eigen Office 365-omgeving om via Microsoft Teams contact met het doelwit op te nemen.
De aanvallers sturen de organisaties eerst een grote hoeveelheid spamberichten. Vervolgens nemen de aanvallers vanaf hun eigen Office 365-omgeving contact op met het doelwit. Daarbij doen de aanvallers zich voor als de "helpdesk". Tijdens het gesprek, dat via Microsoft Teams plaatsvindt, geven de aanvallers het doelwit instructies om een remote screen control session via Teams toe te staan. Zodra het doelwit dit doet kan de aanvaller malware op het systeem van deze gebruiker installeren en daarvandaan het netwerk verder compromitteren.
Sophos adviseert organisaties om hun Office 365-omgeving zo in te stellen dat Teams-gesprekken door externe organisaties niet mogelijk zijn of dit alleen tot partners is beperkt. Daarnaast zou ook het gebruik van remote access applicaties zoals Quick Assist moeten worden beperkt.
Alles bij de bron; Security
Nederland telt honderden Fortinet-apparaten die een actief aangevallen kwetsbaarheid bevatten. Wereldwijd gaat het om zo'n vijftigduizend systemen. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek.
Fortinet waarschuwde vorige week voor een actief misbruikte kwetsbaarheid in FortiOS en FortiProxy waardoor aanvallers kwetsbare apparaten op afstand kunnen overnemen.
FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. De kwetsbaarheid, aangeduid als CVE-2024-55591, betreft een 'authentication bypass'. De impact van CVE-2024-55591 is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.
The Shadowserver Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld online onderzoek doet naar kwetsbare systemen. Het laatste onderzoek richtte zich op Fortinet-systemen die online toegankelijk zijn en CVE-2024-55591 bevatten. Dit leverde zo'n vijftigduizend systemen wereldwijd op, waarvan zo'n 350 in Nederland.
Alles bij de bron; Security
Bedrijven tonen mensen gebaseerd op hun privédata verschillende prijzen voor hetzelfde product, wat ook wel 'surveillance pricing' wordt genoemd, zo stelt de Amerikaanse privacytoezichthouder FTC. Het gaat dan met name om tussenpartijen die de prijs aanpassen op basis van locatie, demografische data en zelfs de muisbewegingen op een website.
Volgens de FTC kan een dergelijke werkwijze gevolgen hebben voor privacy, concurrentie en consumentenbescherming.
Het onderzoek is nog gaande, maar de FTC is met voorlopige bevindingen gekomen.
Uit deze voorlopig bevindingen blijkt dat bijvoorbeeld cosmetische bedrijven hun prijzen aanpassen op basis van specifieke huidsoorten en huidskleuren. Ook zoekopdrachten en eerdere aankopen kunnen tot hogere prijzen leiden.
Alles bij de bron; Security
In Antwerpen wordt kunstmatige intelligentie gebruikt om overtreders zoals sluikstorters en foutparkeerders sneller op te sporen. Slimme camera’s registreren verdachte situaties, zoals automobilisten die afval dumpen, fietsers die vuilniszakken achterlaten of voorbijgangers die afval ongemerkt laten vallen. Dankzij software is een aantal gewone camera’s omgevormd tot geavanceerde middelen om afval te traceren.
Zou het Amsterdam, dat toch ook vaak te kampen heeft met grote overlast, kunnen helpen?
"We leven in een tijd waarin kunstmatige intelligentie wordt gepresenteerd als zo’n beetje de oplossing voor ieder probleem en voordat je überhaupt aan de slag kunt gaan, zul je eerst het algoritme moeten trainen en beoordelen", zegt Frans Feldberg, hoogleraar Data Driven Business Innovation aan de Vrije Universiteit. "De kosten van apparatuur zijn relatief beperkt, maar de kosten voor het ontwikkelen en het trainen van het algoritme kunnen aanzienlijk zijn."
"Mijn advies aan de gemeente Amsterdam is om dit niet te doen", legt Michel Klein, Associate Professor AI & Behaviour aan de Vrije Universiteit, uit. "Als je als stad wat zou willen doen aan het afvalprobleem met AI, dan zou ik zeggen: misschien moet je dan onder bijvoorbeeld veegauto's camera's hangen. Probeer dan met behulp van AI te kijken: waar ligt er meer afval, waar minder afval? Welk soort afval is dat dan?"
Bovendien is het de vraag hoe de privacy gewaarborgd is. Volgens Lotte Houwing, beleidsadviseur van Bits of Freedom, hoeft het gebruik van AI niet per se een privacyinbreuk te zijn; dat hangt af van het doel en de toepassing. "Je moet voorkomen dat de lat voor technologie die het gedrag van mensen registreert steeds lager wordt. Eerst moet je kijken wat het echte probleem is en of er opties zijn die geen inbreuk op de privacy maken."
Maar er zijn meer ethische bezwaren. Zoals discriminatie in wijken, omdat de ene wijk schoner is dan de andere. Ook dreigen met de inzet van zo'n AI-systeem meer boetes. Volgens Houwing zou een stad als Amsterdam echt andere oplossingen moeten bedenken tegen zwerfafval of sluikstorten. "Want dit stuurt heel erg toe naar wie moeten we beboeten om op die manier het probleem op te lossen." Gebruik maken van sensoren is niet privacygevoelig in vergelijking met camera's.
Alles bij de bron; NHNieuws
Otelier, een platform dat hotelketens wereldwijd gebruiken voor het beheren van reserveringen, transacties en facturatie, is getroffen door een aanval waarbij gegevens van honderdduizenden gasten zijn gestolen. Het gaat onder andere om gasten van bekende hotelketens zoals Marriott, Hilton en Hyatt.
De aanvaller heeft naar eigen zeggen bijna acht terabyte aan data uit de Amazon S3-buckets van Otelier buitgemaakt. Het bedrijf heeft de inbraak bevestigd, maar nog niet laten weten van hoeveel mensen de gegevens precies zijn gestolen.
Hunt ontving een dataset met de gestolen data. Het ging om 437.000 e-mailadressen, alsmede gedeeltelijke creditcardgegevens, telefoonnummers, adresgegevens, aankopen en reisplannen. Van die 437.000 buitgemaakte e-mailadressen was tachtig procent al via een datalek bij de zoekmachine Have I Been Pwned bekend.
Alles bij de bron; Security
Alle masterstudenten en wetenschappers van gevoelige technologiestudies krijgen een verplichte screening. Het kabinet hoopt op deze manier te voorkomen dat kwetsbare informatie over de Nederlandse veiligheid door spionage en diefstal in handen komt van buitenlandse mogendheden.
In 2022 waarschuwden veiligheidsdiensten en de Nationaal Coördinator Terrorismebestrijding en Veiligheid voor spionage en diefstal van Nederlandse gevoelige technologie die op universiteiten en hogescholen wordt ontwikkeld.
Zogenoemde 'sensitieve technologie' houdt zich niet alleen met militaire techniek bezig, zoals het ontwikkelen van bijvoorbeeld wapens en nachtkijkers. Het gaat ook om het ontwikkelen van microchips en softwaresystemen voor de politie en veiligheidsorganisaties.
Iraanse studenten en onderzoekers bleken gevoelige informatie te lekken naar hun land en universiteiten moesten extra voorzorgsmaatregelen nemen. Een leerstoel in Groningen bleek deels gefinancierd te worden door China, met het verzoek dat de hoogleraar het imago van China niet mocht beschadigen.
Eigenlijk wilde het kabinet alleen 'derdelanders' een screeningsplicht opleggen. Maar dat blijkt juridisch niet mogelijk te zijn, omdat iemand uit zo'n land juridisch bezwaar kan maken op grond van discriminatie, staat in een brief aan de Tweede Kamer.
Over enkele maanden hoopt minister Bruins meer duidelijkheid te geven over welke studies die zich bezig houden met 'sensitieve' technologie onder de screening gaan vallen. Ook moet dan duidelijk worden wie die screening gaat uitvoeren en per wanneer.
Alles bij de bron; NOS [thnx-2-Niek]