Honderdduizenden NAS-systemen van fabrikant QNAP zijn door verschillende kritieke kwetsbaarheden op afstand over te nemen en een aanvaller hoeft niet over inloggegevens te beschikken. Eind vorig jaar kwam QNAP al met beveiligingsupdates en onderzoeker Henry Huang die de in totaal 4 beveiligingslekken ontdekte heeft nu de details openbaar gemaakt.
Via de kwetsbaarheden kan een aanvaller zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. De beveiligingslekken bevinden zich in QNAP Photo Station en CGI-programma's die op de NAS draaien. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal een 9,8 beoordeeld.
De enige voorwaarde voor het uitvoeren van de aanval is dat het NAS-systeem via internet toegankelijk is en QNAP Photo Station staat ingeschakeld. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Eigenaren van een QNAP NAS krijgen het advies om de laatste firmware-update te installeren.
EasyJet zegt dat de data van zo'n negen miljoen klanten is gestolen. Het bedrijf meldt dat het is gehackt en dat daardoor e-mailadressen en reisgegevens zijn buitgemaakt. In tweeduizend gevallen zijn er ook creditcardgegevens gestolen.
EasyJet meldt in een e-mail aan klanten dat alle slachtoffers worden ingelicht. "Als je geen bericht krijgt, zijn je gegevens niet gestolen", staat in het bericht.
Het is niet precies duidelijk wat er gebeurd is. EasyJet geeft geen details over die aanval. Ook is niet duidelijk wanneer die plaatsvond, en hoe lang deze duurde. Wel is op Twitter te zien hoe de klantenservice begin april klanten al te woord staat die op dat moment vragen hebben over een mail die ze kregen in verband met een datalek. Inmiddels zouden de inbrekers geen toegang meer hebben tot de data.
“Detection of Things kan signalen uit de omgeving oppikken en via artificial intelligence herleiden of die van een mobiele telefoon of gps-tracker afkomstig zijn”, aldus Marco-Alexander Meyers, directeur bij X-Enterprise. “Het werkt met passieve detectie van signalen die toestellen naar een zendmast uitzenden. Een gps-tracker doet dat bijvoorbeeld een of meerdere keren per minuut. Een reguliere telefoon zendt al wat meer signalen uit en een smartphone heeft gemiddeld een kleine twintig applicaties op de achtergrond draaien, die allerlei datapakketten uitzenden. Aan de hand van de hoeveelheid signalen valt te herleiden met wat voor apparaat we te maken hebben.”
“Het vinden van draadloze apparaten en hun herkomst is technisch niet makkelijk, zeker niet als je binnen een beperkte straal of ruimte zoekt. Met Detection of Things hebben wij een tool om de beveiliging bij onze klanten te verbeteren. Denk aan een gevangenis of vergaderzalen waar mobiele telefoons verboden zijn of boardrooms waar geheime besprekingen plaatsvinden en R&D-afdelingen”.
Ook kan er aan de grens bij vrachtwagens of zeecontainers gericht gezocht worden. “Bij smokkelwaar in zeecontainers wordt vaak een gps-tracker gebruikt. Die kunnen we binnen enkele seconden vinden. Het bijzondere is dat we de straal waarin we zoeken kunnen instellen, van enkele meters tot honderden meters. Detecteert Detection of Things een simkaart? Dan kunnen we ook zien waar die vandaan komt. Dat helpt enorm bij het tegengaan van mensensmokkel.”
Eerder deze week werd bekend dat onderzoekers in februari een onbeveiligde Elasticsearch-server op internet hadden gevonden met 90 gigabyte aan persoonlijke informatie. Het ging om tientallen miljoenen records, waaronder e-mailadressen, functieomschrijvingen, namen, telefoonnummers, adresgegevens en socialmediaprofielen. Het was echter onbekend waar de gegevens vandaan kwamen en wie de eigenaar was.
Nu blijkt dat de gegevens bij Covve vandaan kwamen. Covve omschrijft zichzelf als een "intelligent adresboek" voor het beheren van contacten. In een verklaring laat Covve weten dat het is getroffen door een datalek waarbij de gegevens van een onbekend aantal gebruikers is gecompromitteerd. Op 15 mei ontdekte het bedrijf na een tip van Troy Hunt, van datalekzoekmachine Have I Been Pwned, dat een derde partij ongeautoriseerde toegang tot een uitgefaseerd legacy systeem had gekregen. Daarbij heeft deze derde partij contactgegevens benaderd, zoals namen en contactdetails.
Inmiddels zijn alle getroffen gebruikers en de Cypriotische privacytoezichthouder geïnformeerd. Verder is er een onderzoek ingesteld naar hoe het datalek zich heeft kunnen voordoen en zullen er aanvullende maatregelen worden getroffen om herhaling te voorkomen.
Het gebruik van het internet is tegenwoordig in principe een manier van leven. De meeste mensen hebben hun hele leven online gedocumenteerd en beschikbaar voor iedereen. Soms vergeten we echter dat al die informatie die we via het internet hebben verstuurd, ergens is opgeslagen. Er zijn talloze verhalen van gebruikers die hun persoonlijke informatie gebruikt zien door bedrijven en individuen zonder dat ze het weten.
Sommige internetgebruikers kan het niet schelen, maar we wedden dat als je dit leest, je op zijn minst een beetje bezorgd bent. Gelukkig zijn er veel manieren om jezelf van het internet te verwijderen. In dit artikel geven we je 10 tips om je online anonimiteit te behouden en jezelf in 2020 van het internet te verwijderen.
Verschillende kwetsbaarheden in Thunderbolt 1, 2 en 3 maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde computer om het systeem te ontgrendelen. Dat laat de Nederlandse beveiligingsonderzoeker Björn Ruytenberg van de Technische Universiteit Eindhoven weten.
Het probleem speelt bij alle met Thunderbolt uitgeruste systemen die tussen 2011 en 2020 zijn uitgebracht. Het maakt daarbij niet uit of het doelwit Linux of Windows draait. MacOS is deels kwetsbaar.
Om de aanval uit te voeren, die door Ruytenberg Thunderspy wordt genoemd, moet een aanvaller het ingeschakelde systeem wel eerst openen. Vervolgens is het door de gevonden kwetsbaarheden mogelijk om de Thunderbolt-firmware te herprogrammeren. Daardoor is het mogelijk om het ingetelde beveiligingsniveau te veranderen, zodat willekeurige Thunderbolt-apparaten worden geaccepteerd. De gemaakte aanpassing is niet zichtbaar voor het besturingssysteem.
Nadat een aanvaller de firmware heeft aangepast kan die zijn eigen Thunderbolt-apparaat aansluiten en zo de schermvergrendeling van de computer omzeilen. De gehele aanval is binnen vijf minuten uit te voeren. De Thunderspy-kwetsbaarheden zijn volgens Ruytenberg niet met een software-update te verhelpen.
Ruytenberg ontwikkelde een tool voor Linux en Windows genaamd Spycheck waarmee gebruikers kunnen controleren of hun systeem risico loopt. Wie zich tegen een Thunderspy-aanval wil beschermen krijgt het advies om hibernation (Suspend-to-Disk) toe te passen of het systeem volledig uit te schakelen. Gebruikers moeten in ieder geval voorkomen dat ze een vergrendelde computer onbeheerd achterlaten. Wanneer er geen gebruik van Thunderbolt wordt gemaakt doen gebruikers er verstandig aan om de interface via de UEFI/BIOS uit te schakelen.
De Consumentenbond slaat alarm over onveilige Chinese ip-camera's in Nederland, die het met onkruid vergelijkt. Aanleiding is nieuw onderzoek, waaruit blijkt dat 27.000 Nederlandse ip-camera's risico lopen om door aanvallers te worden overgeomen. Het probleem wordt veroorzaakt doordat de camera's van een voorspelbaar uniek identificatienummer (UID) gebruikmaken.
De voorspelbare UID's zijn onderdeel van een bepaalde module (ILnkP2P) die in camera’s van honderden merken zit. Al die merken maken weer gebruik van verschillende apps om de camera's te bedienen. Gebruikers installeren de mobiele app en scannen de barcode op het apparaat of voeren het zescijferige UID in. De p2p-software regelt de rest. De iLnkP2P-apparaten bieden geen authenticatie of versleuteling en zijn eenvoudig te enumereren. Een aanvaller kan zo op afstand verbinding met de apparaten maken.
Vervolgens is het mogelijk om met de camera mee te kijken, het wachtwoord te wijzigen of andere aanvallen uit te voeren. De Consumentenbond stelt dat met name ip-camera's die via de CamHi-app zijn te bedienen risico lopen. Deze app is voor 38 procent van de 27.000 onveilige ip-camera's in Nederland verantwoordelijk.
In dit overzicht van de Consumentenbond zijn meer dan veertig cameramerken te vinden die met de CamHi-app werken. "Wereldwijd gaat het inmiddels om 3,5 miljoen camera’s. Met de komst van Amazon naar Nederland staat de deur nu wagenwijd open", stelt Reijneveld. De Consumentenbond heeft Amazon gevraagd om de onveilige camera's uit de verkoop te halen. Ook de Britse consumentenorganisatie Which? heeft Amazon erop aangesproken.
De problemen met de iLnkP2P-apparaten zijn niet nieuw. Vorig jaar april sloeg beveiligingsonderzoeker Paul Marrapese hier al alarm over. Destijds had hij twee miljoen kwetsbare IoT-apparaten gevonden. Marrapese adviseerde eigenaren om de apparaten weg te gooien.
Samsung heeft een patch uitgebracht voor een ernstig lek in alle Galaxy-smartphones die sinds 2014 zijn uitgebracht. Met het lek in Android was het mogelijk via een .qmg-bestand een telefoon helemaal over te nemen, zonder tussenkomst van de gebruiker.
De bug is opgelost in de beveiligingsupdate van mei voor de Samsung-telefoons, de kwetsbaarheid wordt aangemerkt als 'kritiek'.
Een beveiligingsonderzoeker van Googles Project Zero ontdekte het lek. Hij publiceerde ook een proof-of-concept waarin hij laat zien hoe het lek is uit te buiten. Dat gebeurt door tussen de vijftig en driehonderd mms-berichten naar een toestel te sturen een proces dat volgens de onderzoeker rond de honderd minuten duurt. Dan kon de Android Address Space Layout Randomization worden omzeild en kon malware, verpakt in een mms, worden uitgevoerd.
Omdat binnenkomende afbeeldingen automatisch door de library met de kwetsbaarheid worden gehaald, is geen tussenkomst van de gebruiker nodig voordat de aanval kan worden uitgevoerd. Een dergelijke zero click remote code execution is zeldzaam, zeker als die op zoveel verschillende toestellen kan worden uitgevoerd.
Samsung is de enige Android-fabrikant die .qmg-afbeeldingen ondersteunt en heeft de kwetsbaarheid gedicht nadat de beveiligingsonderzoeker het bedrijf had ingelicht.
De Autoriteit Persoonsgegevens begint een onderzoek naar de populaire app TikTok. De toezichthouder wil weten hoe de app omgaat met de privacy van de vele jonge gebruikers.
De Autoriteit Persoonsgegevens wil onder meer weten of TikTok aan kinderen goed genoeg uitlegt wat het doet met hun persoonsgegevens. De waakhond onderzoekt ook of ouders toestemming moeten geven voor het verzamelen en verwerken van persoonsgegevens van kinderen.
Gebruikers van TikTok kunnen korte filmpjes van zichzelf maken en die delen met anderen. TikTok heeft wereldwijd een half miljard tot een miljard gebruikers. Ook in Nederland is de app populair, onder meer onder basisscholieren.
Frankrijk zet kunstmatige intelligentie in om te controleren hoeveel mensen mondkapjes in het openbaar vervoer dragen.
Met de software wordt anonieme statistische data verzameld. Die informatie kan onder andere worden gebruikt om te anticiperen op toekomstige uitbraken van het coronavirus. De technologie wordt niet ingezet om mensen te identificeren en te beboeten. De software genereert enkel statistieken over hoeveel mensen een mondkapje dragen. Gegevens worden niet naar de cloud geüpload.
Deze week is er een test met de software gestart in het Parijse station Chatelet-Les Halles. Toch wordt de AI ook elders in het land al gebruikt, onder andere in bussen in Cannes.