Op internet is data verschenen van 25 grote bedrijven, waaronder Amazon, HP, Lenovo en BT. De data lijkt te zijn buitgemaakt via een kritieke kwetsbaarheid in MOVEit van Progress, die vorig jaar tot veel problemen leidde.
De gestolen data omvat onder meer werknemersgegevens van 25 grote bedrijven. Denk daarbij aan namen, e-mailadressen, telefoonnummers, informatie gerelateerd aan kostenposten en in sommige gevallen zelfs volledige organisatiestructuren. De informatie kan onder meer misbruikt worden voor phishing, identiteitsdiefstal of social engineering.
De volgende partijen zijn getroffen:.......
......Meer informatie is hier beschikbaar.
Alles bij de bron; Dutch-IT-Channel
Telegram heeft voor het eerst gegevens van verdachten aan het Openbaar Ministerie (OM) verstrekt, zo laat het OM weten.
Telegram-oprichter Pavel Durov liet onlangs al weten dat de chatdienst dit jaar al duizenden keren gegevens over gebruikers met autoriteiten wereldwijd heeft gedeeld. Onlangs verwijderde Telegram ook zogenoemde bangalijsten in openbare groepen op het platform.
Onlangs werd Durov in Frankrijk door de autoriteiten aangehouden. Daarna werd het privacybeleid aangepast en maakte de chatdienst duidelijk dat het ip-adressen en telefoonnummers van personen die van 'criminele activiteiten' worden verdacht met de autoriteiten kan delen.
Inmiddels is dat ook in Nederland gedaan. Het gaat om twintig strafzaken met betrekking tot wapen- en drugshandel en kindermisbruik waarmee het erop lijkt dat Telegram het beleid heeft gewijzigd, al moet nog worden bezien of het een 'doorbraak' betreft of het alleen om incidenten gaat.
Alles bij de bron; Security
Cybercriminelen gebruiken een nieuwe versie van de Rhadamanthys Stealer om gegevens te stelen via een campagne genaamd CopyRh(ight)adamantys.
De campagne maakt gebruik van spear-phishingmails die zogenaamd zijn verzonden door juridische vertegenwoordigers van bekende bedrijven.
In de e-mails wordt de ontvanger beschuldigd van ongeoorloofd gebruik van merken op social media en wordt gevraagd om specifieke afbeeldingen en video’s te verwijderen. De verwijderingsinstructies leiden echter naar een downloadlink die de nieuwste versie van de Rhadamanthys-malware activeert.
Deze campagne richt zich op verschillende regio’s, waaronder de VS en Europa, en een breed scala aan sectoren. Opvallend is het grote aantal unieke e-mails dat in omloop is; elke e-mail komt van een ander adres en richt zich op een specifieke contactpersoon.
De aanvallers maken gebruik van Gmail-accounts om valse e-mails te sturen die afkomstig lijken te zijn van bekende bedrijven. In deze berichten wordt ten onrechte gesteld dat de ontvanger via social media inbreuk maakt op auteursrechten, met instructies voor het verwijderen van inhoud die in werkelijkheid malware installeren.
Bijna 70% van de geïmiteerde bedrijven bevindt zich in de entertainment-, media-, technologie- en softwaresectoren. Dit kan komen doordat deze sectoren vaker te maken hebben met auteursrechtclaims, waardoor de phishing-e-mails geloofwaardig lijken.
Alles bij de bron; Dutch-IT-Channel
Uit een analyse van Cisco Talos blijkt dat bij een kwart van de meldingen in het derde kwartaal de focus lag op het stelen van inloggegevens.
Volgens het bedrijf is het technisch gezien relatief eenvoudig om identiteits- en persoonlijke gegevens te stelen, bijvoorbeeld door ‘infostealers’ in te zetten. “ ...zulke aanvallen zijn zorgwekkend, omdat ze leiden tot interne aanvallen, social engineering en business email compromise vanaf een geldig, maar gecompromitteerd account. Zonder Identity Intelligence beveiligingssoftware die context en identiteit correleert, zijn dergelijke activiteiten zijn erg moeilijk te detecteren"
Om toegang te krijgen tot accounts maken aanvallers vaak gebruik van ‘password spraying’. Hierbij wordt een bepaald wachtwoord, of een korte lijst met veelgebruikte wachtwoorden, op meerdere accounts binnen een netwerk toegepast. Dit voorkomt automatische vergrendeling die optreedt bij klassieke brute-force aanvallen met veel verschillende wachtwoorden.
....ook zien we meerdere phishingaanvallen met de ‘adversary-in-the-middle’ (AitM) techniek. Deze methode misleidt gebruikers om hun inloggegevens in te voeren op nagemaakte inlogpagina’s, zoals voor Microsoft O365 en MFA.
In een specifieke aanval konden criminelen binnen twintig minuten na de eerste phishingmail al inloggen op de werkelijke werkomgeving van het slachtoffer. Dit laat zien hoe snel en effectief dergelijke aanvallen zijn.
Alles bij de bron; Dutch-IT-Channel
Nokia stelt dat er geen bewijs is dat aanvallers kritieke data van het bedrijf hebben gestolen. Wel erkent het bedrijf dat een externe partij waarmee het samenwerkt is getroffen door een securityincident.
Cybercriminelen claimde onlangs te hebben ingebroken bij een niet nader genoemde vendor via een niet goed beveiligde SonarQube-server. Hier zouden de aanvallers data van diverse bedrijven hebben gestolen, waaronder ook Nokia. Nokia startte hierop een onderzoek naar het datalek, waarvan het nu zijn eerste bevindingen deelt. Het stelt daarbij dat er geen aanwijzigingen zijn dat systemen van Nokia zelf zijn getroffen of data van het bedrijf is gestolen.
Alles bij de bron; Dutch-IT-Channel
De hack op de Nederlandse politie van eind september werd vermoedelijk uitgevoerd via een gekaapte inlogsessie aldus de politie.
Hoofd Operatiën bij de Eenheid Landelijke Opsporing en Interventies Stan Duijf schrijft in een persbericht op de website dat de hackers vermoedelijk een zogenoemde pass-the-cookie-aanval hebben uitgevoerd. Het doel van zo’n aanval is om toegang te krijgen tot het account of de applicatie van een gebruiker zonder dat inloggen met een wachtwoord opnieuw vereist is.
"Na een succesvolle aanval kan er malware worden geïnstalleerd die data zoals cookies doorstuurt naar een hacker waarmee toegang kan worden verkregen. In dit geval weten we dat het adresboek is buitgemaakt", zo laat de politie weten.
Bij de hack hebben de cybercriminelen allerlei privégegevens van de 63.000 werknemers te pakken gekregen De politie onderzoekt nog wat de hackers hebben gedaan met de buitgemaakte data.
Alles bij de bronnen; Tweakers & Security
Beveiligingsonderzoeker Sean Kahler kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist.
Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden.
Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd.
Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'.
Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren.
Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold.
Alles bij de bron; Security
Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de Rijksoverheid veilig en vertrouwelijk met elkaar communiceren en is technisch goed opgezet.
De minister van Defensie heeft veel maatregelen genomen om de kwetsbaarheden van NAFIN zoveel mogelijk te beperken en de kans op uitval is relatief klein. Op papier is ook de beveiliging goed geregeld. Desondanks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten.
Het NAFIN is een glasvezelnetwerk van het Ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Ook de politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid....
....Defensie is afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier.
Defensie is daarnaast voor de beveiliging van het netwerk afhankelijk van hoe gebruikers het netwerk behandelen en beveiligen. De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hier aan houden.
Alles bij de bron; Dutch-IT-Channel
Interpol heeft tijdens de zogenaamde Operatie Synergia II meer dan 22.000 malafide IP-adressen of servers die gelinkt zijn aan cyberdreigingen offline gehaald.
Interpol richtte zich tijdens de actie specifiek op phishing, ransomware en malware die informatie steelt, zegt de organisatie op zijn website. n.
In totaal werden 30.000 verdachte IP-adressen geïdentificeerd, waarvan 76 procent offline werd gehaald. Naast 41 gearresteerde mensen, worden 65 individuen nog onderzocht door de autoriteiten.
In het Chinese Hong Kong zijn 1.037 servers die gelinkt zijn aan malafide diensten offline gehaald. In Macau, ook in China, werden 291 servers offline gehaald. In Estland heeft de politie meer dan 80GB aan serverdata in beslag genomen, die nu verder geanalyseerd worden.
Alles bij de bron; Tweakers
Meta heeft illegaal de gevoelige gegevens van zo'n één miljoen Koreanen met vierduizend adverteerders gedeeld, zo stelt de Zuid-Koreaanse privacytoezichthouder PIPC (Personal Information Protection Commission). Het techbedrijf verzamelde via Facebookprofielen politieke opvattingen, geloofsovertuigingen en of gebruikers met iemand van hetzelfde geslacht waren getrouwd. De informatie werd verkregen via likes van bepaalde pagina's en advertenties waarop werd geklikt.
De gevoelige gebruikersinformatie werd vervolgens gebruikt voor het maken van advertenties met betrekking tot gevoelige onderwerpen, zoals bepaalde religies, homoseksualiteit, transgenders en Noord-Koreaanse overlopers. Zaken als politieke opvattingen, geloofsovertuigingen en seksleven zijn gevoelige informatie die goed beschermd moeten zijn.
Alleen wanneer er een geldige grondslag is, zoals wanneer gebruikers expliciet toestemming hebben gegeven, mag een bedrijf dergelijke data verwerken, merkt de PIPC op.
Verder bleek dat Meta gebruikers geen inzage in hun persoonlijke gegevens gaf en had het geen maatregelen genomen om niet meer beheerde accounts en pagina's offline te halen. Doordat de accountverificatie van Meta tekort schoot konden deze pagina's en accounts via valse identiteitsbewijzen worden gekaapt, laat de toezichthouder verder weten.
De PIPC komt dan ook tot de conclusie dat Meta meerdere bepalingen van de Zuid-Koreaanse privacywetgeving heeft geschonden. Meta kreeg daarvoor een boete van omgerekend 15,5 miljoen dollar opgelegd. Het techbedrijf had vorig jaar een omzet van 135 miljard dollar.
Alles bij de bron; Security