45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Pentagon lekte inlichtingendata via Amazon S3-buckets

Inlichtingendata die het Pentagon de afgelopen jaren verzamelde was voor iedereen op internet toegankelijk, zo meldt securitybedrijf UpGuard in een analyse vandaag. Het gaat om 1,8 miljard berichten, reacties en artikelen van het internet die gedurende een periode van 8 jaar werden verzameld.

De data was verzameld door CENTCOM (US Central Command), dat verantwoordelijk is voor militaire operaties van Oost-Afrika tot Centraal-Azië, waaronder de oorlogen in Irak en Afghanistan, en PACOM (US Pacific Command), verantwoordelijk voor Oost-, Zuid- en Zuidoost-Azië, alsmede Australië. Waarvoor de gegevens verzameld waren is onduidelijk. Het Pentagon werd halverwege september ingelicht, waarna de data op 1 oktober was beveiligd.

De data is afkomstig van nieuwssites, fora en socialmediasites zoals Facebook en betreft websites van over de hele wereld, aldus UpGuard. Onderzoeker Chris Vickery van het bedrijf ontdekte op 6 september dat drie Amazon S3-buckets voor iedereen toegankelijk waren.

Alles bij de bron; Security


 

Bescherm je privacy met app-permissies: alles dat je moet weten

Vrijwel iedere app die gedownload wordt vraagt om toestemming tot bepaalde gegevens als je deze voor de eerste keer opstart. Dit noemen we app-permissies. Hierbij geef je toestemming aan de app tot bijvoorbeeld de contactenlijst, afbeeldingen, de locatie, de camera en microfoon of smsjes op de telefoon. Veel mensen geven overal toestemming voor, want anders is de app meestal niet te gebruiken. Wat gebeurt er eigenlijk met onze gegevens en is het wel zo verstandig dat we overal maar toestemming voor geven?

Soms is er geen noodzakelijk verband aan te wijzen waarom een app toegang nodig heeft tot jouw persoonsgegevens of een ander deel van de smartphone of tablet. Dat wil niet zeggen dat deze app kwade bedoelingen heeft, maar het is wel aan te raden om extra voorzichtig te zijn. Bij het opstarten van een pas geïnstalleerde app vraagt jouw smartphone of tablet om toestemming om bepaalde delen van je telefoon in te zien.

Wees extra voorzichtig met machtigingen die vragen om smsjes te mogen verzenden, telefoongesprekken mogen voeren of inhoud mogen wijzigen. Kijk niet alleen naar enkele permissies, maar ook in combinatie met andere gevraagde machtigingen. Het gaat om het totaalpakket van gevraagde machtigingen. Is er geen verband aan te wijzen en twijfel je over de privacy? Gebruik de app dan liever niet.

Alles bij de bron; TabletsMagazine


 

Onderzoekers weten Boeing 757 op afstand te hacken

Een team van beveiligingsonderzoekers onder leiding van het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) is er vorig jaar in geslaagd om een Boeing 757 op afstand te hacken. 

De hack gebeurde buiten een zogeheten laboratoriumsetting. "We kregen het vliegtuig op 19 september 2016. Twee dagen later wist ik op afstand, zonder medewerking, binnen te dringen", aldus Hickey. Hij merkte op dat geen van de teamleden fysiek conact had met het toestel of dat er een insider bij de hack was betrokken. Hickey wil geen details over de hack vrijgeven, maar laat weten dat zijn team via radiofrequentie toegang wist te krijgen. Volgens Hickey is het belangrijk om luchtvaartsystemen en vliegtuigen ook als onderdeel van de vitale infrastructuur te beschouwen. 

Informatie over de hack werd eerder dit jaar met piloten van American Airlines en Delta Air Lines gedeeld. Het vliegtuig was door het ministerie voor onderzoek aangeschaft.

Alles bij de bron; Security


 

Anoniemer werken op internet: tips en technieken om anoniemer te zoeken, browsen en mailen

'Someone knows just about everything about me. […] Visa knows what you bought. You have no privacy. Get over it,’ zei Scott McNealy, mede-oprichter van Sun Microsystems, al in 1999. Voor een onderzoeker is het soms van belang om zijn informatieprofiel zo veel mogelijk te beschermen tegen pottenkijkers. Volledig anoniem zoeken is niet mogelijk; wel zijn er manieren om dichter bij die anonimiteit te komen. Arno Reuser geeft tips op het gebied van basissoftware, zoeken, browsen en mailen...

...Deze bijdrage komt uit IP nr. 5 / 2014. Het gehele nummer kun je hier lezen

Alles bij de bron; InfoProfessional


 

Koop je online dan ligt regelmatig je adres op straat

Nederlandse webwinkels vragen geregeld om persoonlijke gegevens en wachtwoorden zonder dat er een slotje op de pagina zit. Uit onderzoek van Dutch Internet Marketing naar verbindingen van bijna 15.000 webshops, blijkt dat er daarvan zo’n 4.100 géén https-verbinding hebben. Bij babywinkel Prénatal kun je bijvoorbeeld je e-mailadres, wachtwoord, adres, geboortedatum en de verwachte bevaldatum achterlaten op een onbeveiligde site.

Beveiligingsexpert Brenno de Winter reageert onthutst. ,,Het is schandalig dat een groot bedrijf als Prénatal dit niet op orde heeft.’’ Prénatal erkent bij monde van woordvoerder Coen van de Plas dat die gegevens ‘wél achter het beveiligde deel moeten’. Hackers hebben volgens Prénatal nooit kunnen meelezen, omdat de pagina op een andere, onzichtbare manier is beveiligd. ,,Op het moment dat er een tweede gebruiker in dezelfde sessie zou komen, wordt de website meteen afgesloten.’’

Webshop AllesVoorTV.nl, die bijvoorbeeld een LG-televisie van 29.999 euro verkoopt, vroeg tot gisteren op het onbeveiligde deel van de site naar adresgegevens. ,,Het is zeker niet de bedoeling om een onbeveiligde klantomgeving te hebben’’, bekende Jeroen Kwaad van Retail&Clicks, die de website host. ,,Eén van de certificaten bleek niet meer geldig te zijn, dit hebben wij direct aangepast en nu werkt de site naar behoren.’’

Alles bij de bron; deGelderlander


 

Lek in Tor-browser maakte ip zichtbaar op macOS en Linux

The Tor Project heeft een lek gedicht in de Linux- en macOS-versies van zijn bekende browser. Met een kleine aanpassing aan een url kon het os overgehaald worden om niet via de Tor-browser, maar direct te verbinden met het adres, waardoor het ip-adres van de gebruiker blootgelegd word.

De bug, die afstamt van de Firefox-browser waar de Tor-browser op gebaseerd is, uit zich wanneer gebruikers naar een url navigeren die met 'file://' begint in plaats van 'http(s)://'. Wanneer dat gebeurt, wordt het verzoek tot verbinden doorgegeven aan het os, waardoor het ip-adres van de gebruiker zichtbaar wordt voor de buitenwereld, wat indruist tegen het hele idee van de Tor-browser. Misbruik hiervan maken is zo simpel als een url op een webpagina aanpassen. Het beveiligingsgat is in deze versies tijdelijk gedicht door de functionaliteit deels uit te schakelen.

Een definitieve update, die ook de nieuw ontstane bug rondom niet werkende 'file://'-url's moet verhelpen, moet nog volgen.

De alfaversie van de Tor-Browser voor Linux en macOS heeft de fix niet ontvangen. Deze komt naar verwachting op maandag uit. Gebruikers worden dan ook aangeraden om voor nu op de nieuwste stable-versie van de browser te gaan zitten.

Alles bij de bron; Tweakers


 

Zelfs zonder 'Slimme meter' lekt een energiemaatschappij het energieverbruik van alle NL huishoudens

Het energieverbruik van alle Nederlandse huishoudens was via de website van energiemaatschappij OM voor iedereen in te zien, zo ontdekte Bram Talman.

Bij de aanmeldfunctie op de website samenom.nl kon elk willekeurig adres worden ingevuld, waarna het elektra- en gasverbruik werd weergegeven. Talman waarschuwde de energiemaatschappij, maar kreeg geen reactie, zo laat hij via Twitter weten. Ook informeerde hij de Autoriteit Persoonsgegevens.

Nadat Talman zijn bevindingen met BNR deelde werd de functie op de website uitgeschakeld, hoewel die nog wel in de broncode aanwezig is. Het is niet de eerste keer dat energiedata op straat komt te liggen. Vorig jaar maakten Netbeheer Nederland en Energie-Nederland bekend dat een medewerker van een energieleverancier de energiedata van 2 miljoen Nederlandse huishoudens had gestolen.

Alles bij de bron; Security


 

Weer is er data van 2,7 miljoen gebruikers VerticalScope-forums gestolen

Aanvallers zijn erin geslaagd verschillende door VerticalScope beheerders forums te hacken, waaronder Toyotanation.com en Jeepforum.com, en de data van tenminste 2,7 miljoen gebruikers te stelen. 

Holden Security ontdekte dat de gebruikersgegevens door cybercriminelen worden verhandeld, nadat die via een webshell toegang tot de data hadden gekregen. VerticalScope beheert allerlei internetgemeenschappen, naar eigen zeggen meer dan 600 websites. Vorig jaar wisten aanvallers bij VerticalScope de data van 45 miljoen gebruikersaccounts te stelen. Het bedrijf bevestigt dat het opnieuw slachtoffer van een hack is geworden. 

Alles bij de bron; Security