Databeveiliging & Dataverlies

Een beveiligingsbedrijf heeft weer een lek gevonden dat kwaadwillenden toegang had gegeven tot de data van tienduizenden smartwatches van kinderen. Het bleek mogelijk om als admin in te loggen op het webportaal van een fabrikant van kinderhorloges.

Door in het post-request bij het inloggen de waarde voor 'User(grade)' te veranderen van 1 naar 0, kregen gebruikers toegang tot de admin-omgeving van kindersmartwatchmaker Gator, meldt PenTestPartners. Vervolgens bleek het na een kleine wijziging mogelijk om de data in te zien van 35.000 smartwatches van kinderen bij 20.000 accounts. In de backend zat geen check of een gebruiker admin-rechten zou mogen hebben.

Het is niet de eerste keer dat de backend grote kwetsbaarheden blijkt te bevatten. Eerder vond het bedrijf in 2017 al exploits.

Alles bij de bron; Tweakers


 

Pacemakers en implanteerbare hartapparaten van fabrikant Medtronics maken gebruik van een onveilig telemetrieprotocol en zijn hierdoor kwetsbaar voor aanvallen, zo waarschuwt de Amerikaanse overheid. Een aanvaller in de buurt van een slachtoffer kan hierdoor op afstand de pacemaker manipuleren.

Voor de communicatie tussen monitoringapparaten en pacemakers wordt er gebruik gemaakt van het draadloze Conexus-telemetrieprotocol. Het protocol maakt geen gebruik encryptie, authenticatie of autorisatie. Daardoor kan een ongeautoriseerd persoon de pacemaker of programmeer- en monitoringapparaten op afstand manipuleren, aldus de Amerikaanse toezichthouder FDA.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,3 beoordeeld. Medtronic zou inmiddels aan beveiligingsupdates werken, maar wanneer die verschijnen is nog niet bekend (pdf). 

Alles bij de bron; Security


 

Privégegevens van 49.000 klanten van huurmakelaar Altijd Wonen zijn jarenlang inzichtelijk geweest door een onbeveiligde website, laat de makelaar donderdag weten. Door het lek waren namen, e-mailadressen en telefoonnummers door anderen in te zien. De verouderde website van de makelaar was niet goed beveiligd.

De wachtwoorden en gebruikersnamen waren ook in te zien, maar een woordvoerder van Altijd Wonen laat weten dat het gaat om unieke wachtwoorden, omdat die gegenereerd werden door het systeem van de huurmakelaar. Wel kon met die informatie bij de website van Altijd Wonen ingelogd worden, waar afspraken voor bezichtigingen gemaakt konden worden. Het lek werd ontdekt na een anonieme tip.

Alles bij de bron; NU


 

Van wie is die foto die je net op Instagram hebt gezet? Waar blijft je YouTube-filmpje eigenlijk als je het hebt geplaatst? En ben jij wel de baas over jouw privacy? Het zijn vragen die te maken hebben met de enorme macht van techreuzen als Facebook en Google. Vragen ook die specialisten ertoe brengen te zeggen dat het wereldwijde web kapot is.

Het web is groter gegroeid dan ooit bevroed, maar het is niet geworden wat Berners-Lee ervan had gehoopt. Hij maakt zich zorgen over de verspreiding van desinformatie, heimelijke politieke beïnvloeding en privacyschandalen. 

Berners-Lee werkt samen met de Gentse hoogleraar computerwetenschappen Ruben Verborgh aan een oplossing; Solid: een persoonlijke datakluis waarin webgebruikers al hun data opslaan. Als ze iets willen posten op een platform zoals Facebook, sturen ze deze foto niet naar het sociale medium, maar mag dat platform alleen een linkje maken naar de foto. Die blijft in de persoonlijke datakluis. Hetzelfde geldt voor commentaren die op het web worden geplaatst. Het voordeel is dat de gebruiker zelf de baas blijft over zijn data.

Zelf gebruiken Berners-Lee en Verborgh al Solid, maar het moet nog gebruikersvriendelijk worden gemaakt voor het grote publiek.

Alles bij de bron; NOS


 

Een e-mailverificatiedienst waar marketingbedrijven gebruik van maken heeft via een onbeveiligde MongoDB-database 808 miljoen records met privédata gelekt, waaronder 763 miljoen unieke e-mailadressen.

Naast e-mailadressen ging het ook om namen, ip-adressen en geboortedata.Verder onderzoek wees uit dat de database van een e-mailverificatiedienst was met de naam Verifications.io.

Marketingbedrijven maken van dergelijke diensten gebruik. Ze leveren een lijst met te valideren e-mailadressen aan. Vervolgens stuurt de verificatiedienst een e-mail naar de e-mailadressen op de lijst. Wanneer de e-mail aankomst gaat het om een geldig adres, bij een bounce wordt het adres op een bouncelijst geplaatst.

Nadat de onderzoeker Verifications.io had gewaarschuwd haalde het bedrijf de database, alsmede de eigen website, offline.

Alles bij de bron; Security


 

Een database met gegevens van ruim 2,4 miljoen mensen en bedrijven van de Amerikanase aandelenbeurs Dow Jones heeft voor onbekende tijd onbeschermd online gestaan. Het gaat om de Dow Jones Watchlist, een lijst van personen met politieke invloed, hun zakenpartners en geassocieerde bedrijven.

De Dow Jones laat aan Diachenko weten dat het erop lijkt dat de Watchlist door een derde partij op een onbeschermde server is geplaatst. Na melding van de onderzoeker op 22 februari is de publiekelijk toegankelijke database offline gehaald.

Alles bij de bron; NU


 

Bedrijven zijn nog slecht in staat om cruciale data af te schermen, aangezien bijna de helft van de medewerkers toegang heeft tot gevoelige informatie, ongeacht of ze het nodig hebben bij hun dagelijkse werkzaamheden. Dat blijkt uit Engels onderzoek.

Bijna de helft (48 procent) heeft toegang tot financiële documenten, en 46 procent tot vertrouwelijke HR-gegevens. Daarnaast heeft net geen derde (29 procent) toegang tot de zakelijke bankrekening en 37 procent kon bij research en development plannen en blauwdrukken voor nieuwe producten en services.

Bij vrijwel elk grootschalige digitale inbraak bleek diefstal van inloggegevens de meest gebruikte en meest effectieve route naar een geslaagde aanval. Het beschermen van inloggegevens is dus van belang, maar veel bedrijven blijken tekort te schieten hierin. Zo is vooral de spookmedewerker een probleem: voormalige collega’s die het bedrijf verlaten en nog in het bezit zijn van werkende inlogs tot bijvoorbeeld interne servers, financiële systemen en HR-databases, buiten het zicht van security-medewerkers om... 

...Turner: “Of het nu gaat om de laatste wearable of een HR-systeem dat al jaren draait; beheer van accountgegevens blijft cruciaal. Toegangsrechten moeten beter beveiligd worden, waarbij gebruikers tegen zichzelf worden beschermd om niet per ongeluk in de fout te gaan, en de risico’s op een bewuste aanval verkleind wordt. Het aantal mogelijke ingangen moet zo klein mogelijk zijn.”

Alles bij de bron; Persberichten


 

De persoonlijke identificatienummers van miljoenen mensen uit India liggen op straat na een datalek bij de oliemaatschappij Indane. Zeker 5,8 miljoen van de identificatienummers zijn inzichtelijk via het lek. Dat aantal kan mogelijk oplopen naar 6,7 miljoen.

Het gaat bij het lek om zogeheten Aadhaar-nummers. Dat is een vertrouwelijk nummer dat wordt gebruikt om mensen bij de overheid te identificeren, net als bijvoorbeeld het Nederlandse burgerservicenummer. 

Het is niet voor het eerst dat er Aadhaar-nummers lekken. Afgelopen jaar was de database met de nummers direct inzichtelijk via een lek bij een energiemaatschappij.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha