Databeveiliging & Dataverlies

Partijen als Google bieden met opzet geen versleutelde cloudapplicaties aan, omdat ze de gegevens van gebruikers willen kunnen doorzoeken. Dat stelt de Poolse rootkit-expert Joanna Rutkowska.

Willen we onze privacy en veiligheid opofferen in ruil voor het eenvoudig synchroniseren en delen van gegevens. We hebben besloten om de Cloud te vertrouwen, maar wat betekent dat nu?" Ze verwacht echter dat in de toekomst er een partij zal komen die een versleutelde clouddienst aanbiedt.

Lees alles bij de bron; security

 

De iPhone- en Android-versies van WhatsApp slaan alle ontvangen en verzonden berichten onversleuteld op. De Android-versie plaatst de berichten zelfs op de sd-kaart, waardoor ze voor alle andere aanwezige applicaties te benaderen zijn. 

Ook de BlackBerry- en Symbian-clients van WhatsApp slaan chatlogs onversleuteld op. waarbij de aatste ook het imei- en imsi-nummer van de gebruiker in plain-text opslaat.

Lees alles bij de bron; tweakers

Door twee grote problemen is het eenvoudig om LinkedIn-cookies te kapen. Hoewel inloggen beveiligd is, gaan de cookies namelijk onversleuteld over internet. Ook verlopen ze nooit.

Dat probleem wordt verergerd door de tweede bug die Narang ontdekte. Cookies voor geauthenticeerde sessies blijven namelijk altijd geldig. Ook als de gebruiker al is uitgelogd of wanneer het cookie is verlopen. Ook het wijzigen van een wachtwoord betekent namelijk niet dat de sessie in een eventueel gekaapt cookie verloopt. Een aanvaller kan zich op die manier dus blijven authenticeren als het slachtoffer.

Lees alles bij de bron; webwereld

Er blijkt een fout in het verificatieproces van de populaire applicatie Whatsapp te zitten. Hierdoor is het mogelijk om mee te lezen met de chatberichten van iemand anders. Het enige dat nodig is, is een prepaid-telefoon zonder tegoed en wifi.

Bij het installeren van Whatsapp wordt de gebruiker gevraagd zijn mobiele nummer in te voeren om zo het account aan de mobiele telefoon te kunnen koppelen. Om dit te controleren wordt er vanaf de telefoon een controlebericht gestuurd. Als Whatsapp kan verifiëren dat het bericht is aangekomen, is de registratie voltooid. De tipgever ontdekte dat er een fout in die procedure zit die kan worden misbruikt.

Als iemand geen beltegoed en geen bereik heeft wordt het sms-bericht niet verzonden. Dit bericht is echter wel bereikbaar op de telefoon. Door vervolgens het bericht via een online sms-dienst te versturen en daarbij het mobiele nummer van iemand anders als afzender te gebruiken, kan Whatsapp worden gekoppeld aan het account van een andere gebruiker.

Ondanks dat deze tipgever Whatsapp drie keer heeft geprobeerd op de hoogte stellen van zijn ontdekken, werden er geen maatregelen genomen.

Lees alles bij de bron; tweakers

De website van Hi.nl blijkt inlognamen en wachtwoorden onversleuteld te hebben verzonden. De inlogmodule en een Flash-banner wisselden deze gegevens als plain text uit met de server. KPN heeft de auto-inlogfunctie inmiddels uitgeschakeld. 

Het lek kan door kwaadwillenden worden misbruikt als zij in staat zijn om het netwerkverkeer te bekijken, zoals bijvoorbeeld bij openbare wifi-netwerken het geval is. Met de inloggegevens kunnen klanten op een persoonlijke omgeving hun Hi-account beheren, hun telefoonrekeningen inzien en hun bundel aanpassen.

Ook ontdekte ObAt op de indexpagina van Hi.nl een Flash-uiting die dusdanig was ontworpen dat deze meermaals het wachtwoord en de gebruikersnaam van de gebruiker onversleuteld opvroeg. "Dit is onnodig, aangezien de banner ook te bekijken is voor niet ingelogde gebruikers", aldus de beveiligingsonderzoeker.

Lees alles bij de bron: tweakers

De 06-nummers en berichten van WhatsApp-gebruikers zijn makkelijk te achterhalen. Het lijkt alsof de app gebruik maakt van het beveiligde https gebruikt, maar het tegenovergestelde blijkt waar.

Dat leek dat in eerste instantie ook het geval bij WhatsApp, maar na nader onderzoek bleek dat gegevens niet werden gecodeerd. Webwereld kon het lek controleren en had de mogelijkheid zelf gegevens te achterhalen. Op een vrij eenvoudige manier waren het telefoonnummer van de gebruiker en het nummer van de persoon te achterhalen aan wie het bericht werd gestuurd. 

Lees alles bij de bronnen; mediawijzer & webwereld

Een Amerikaanse rechtbank heeft een copyrightgroep de toestemming gegeven om 23.000 personen aan te klagen voor illegaal downloaden. De goedkeuring van de rechtbank is nodig aangezien de persoonsgegevens achter de IP-adressen moeten worden opgevraagd.

In september 2010 heeft de USGC al 16.200 mensen voor de rechtbank gesleept. Hierdoor kwamen ze in aanraking met de hackergroep Anonymous, die een aanval genaamd 'Operation Payback' lanceerde. Gelijktijdig met die aanval, kwamen torrent-gebruikers er ironisch genoeg achter dat de website van USCG volledig gekopieerd was, inclusief code en foto's, van een rivaliserend auteursrechtenbedrijf. 

Lees alles bij de bron: hln

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha