Databeveiliging & Dataverlies

Smarthomefabrikant Wyze heeft door een onbeveiligde database de gegevens van 2,4 miljoen gebruikers gelekt. Het gaat om e-mailadressen, namen voor webcams, wifi-namen, gebruiksgegevens, Alexa-tokens van 24.000 mensen die hun Alexa-apparaten aan hun Wyze-camera hadden gekoppeld en lichaamsmetingen van 140 externe bètatesters. Wyze werd in 2017 opgericht en leverde in eerste instantie alleen ip-camera's. Sindsdien worden ook bewegingssensoren en smart lampen en stekkers aangeboden.

De database was sinds 4 december voor iedereen op internet toegankelijk en is ook door een derde partij gevonden. Volgens Wyze zijn er geen aanwijzingen dat er ook API-tokens zijn gestolen. Toch is besloten om alle Wyze-gebruikers uit te loggen. Deze gebruikers moeten opnieuw op hun account inloggen, zodat er een nieuw token wordt gegenereerd.

Ook zijn alle koppelingen met Alexa, Google Assistant en webservice IFTTT verbroken, wat inhoudt dat gebruikers die opnieuw moeten opzetten. Tot slot zal Wyze de komende dagen een beveiligingsupdate uitrollen waardoor de camera zal worden herstart.

Alles bij de bron; Security


 

Reverse engineer Jane Manchun Wong stelt dat Facebook de optie om contacten op te sporen via een telefoonnummer uit Messenger aan het halen is, mogelijk omdat de optie het via brute forcing mogelijk maakt om accounts en willekeurige nummers te koppelen.

Onlangs nog kwam een andere security-onderzoeker naar buiten met het nieuws dat hij via Twitter 17 miljoen willekeurige telefoonnummers wist te koppelen aan echte personen door ze in te voeren in de Twitter-app. Onder die 17 miljoen personen zaten ook prominente politici. Het is mogelijk dat Facebook wil voorkomen dat het om dezelfde redenen in het nieuws komt.

In het geval van Twitter werd een randomized set van twee miljard gegenereerde telefoonnummers opgegeven aan de Android-app, die leidde tot de 17 miljoen hits. Twitter zegt eraan te werken om deze bug weg te werken, maar het is nog de vraag hoe het platform gaat bepalen of een opgegeven telefoonnummer willekeurig is of niet. Facebook lijkt met het opofferen van de functie de hele kwestie uit de weg te gaan.

Alles bij de bron; Tweakers


 

De details zijn elke keer weer anders, maar onderzoekers en hackers treffen regelmatig gevoelige data aan in databases die onbeveiligd en openbaar zijn. Hoe kan dat eigenlijk? Waarom zijn er zoveel databases zo gemakkelijk in te zien?

Dat een server of database openbaar is, betekent eigenlijk alleen: deze is in te zien vanaf het open internet waar iedereen bij kan als je het adres hebt en de juiste inloggegevens.

Heeft een bedrijf geen wachtwoord of andere inlogbeveiliging toegevoegd? Dan spreken we van een onbeveiligde database. Een onbeveiligde database hoeft niet eens gehackt te worden, de gelukkige vinder loopt zo naar binnen... ...Het vinden van openbare databases is niet zo ingewikkeld als het lijkt. Er zijn zelfs gespecialiseerde zoekmachines die bepaalde databases voor je kunnen doorzoeken...

De FBI heeft overigens een creatieve nieuwe manier bedacht om misbruik van databases tegen te gaan: de federale politiedienst adviseert bedrijven om nepdata op de servers te plaatsen. De bedoeling? Hackers verwarren, aldus Ars Technica.

Dit soort technieken zullen de komende tijd alleen nog maar belangrijker worden. Het aantal datalekken nam in de eerste drie kwartalen van 2019 met 33 procent toe ten opzichte van dezelfde periode in het jaar ervoor, blijkt uit onderzoek van Risk Based Security. Van de 7,9 miljard stuks data die gestolen werden, was circa 6 miljard te wijten aan "slecht ingestelde databases, backups en diensten".

Alles bij de bron; NU


 

De Android-versie van de Twitter-app heeft een kwetsbaarheid waardoor willekeurige telefoonnummers geüpload kunnen worden, waarna ze door de dienst gematcht worden met gebruikers. Wie genoeg nummers invoert, krijgt vanzelf de nummers van belangrijke personen.

Securityresearcher Ibrahim Blaic probeerde aanvankelijk een sequentiële set nummers te uploaden bij Twitter, maar daar was het systeem al op voorbereid. Een randomized set van twee miljard gegenereerde telefoonnummers kreeg hij er echter wel doorheen. Het resultaat was 17 miljoen matches tussen telefoonnummer en Twitter-account. Balic zou de kwetsbaarheid niet gemeld hebben aan Twitter en de onderzoeker's Twitter-account is intussen geschorst.

In een reactie tegenover TechCrunch zegt Twitter dat het "werkt om ervoor te zorgen dat deze bug niet opnieuw uitgebuit kan worden". Dat was op Kerstavond, dus het lijkt erop dat de bug nog steeds aanwezig is. Het is nog de vraag hoe Twitter dit precies oplost, aangezien niet aan te tonen is of een telefoonnummer echt is of uit de lucht gegrepen is door een kwaadwillende.

Alles bij de bron; Tweakers


 

Bij een inbraak op de website van de Oost-Vlaamse politieschool zijn de persoonlijke gegevens van Belgische politieagenten en rechters gestolen. Het gaat om namen, adresgegevens, telefoonnummers en in aantal gevallen ook bankrekeningnummers van vijftig rechters, driehonderd politieagenten en honderdvijftig leerling-agenten. Hoe de aanvallers op de website konden inbreken is onbekend. De ­politieschool laat de website door een externe firma beheren.

De inbraak vond al begin dit jaar plaats. "Maar omdat de hackers geen sporen nalieten, hadden we dat pas veel later door en konden we pas dan de politie inlichten", zegt Paul Schelleman, verantwoordelijke voor de gegevensbescherming bij de provincie Oost-Vlaanderen. Zo'n vijftig van de personen hebben sindsdien een phishing-sms ontvangen.

Alles bij de bron; Security


 

E-mailadressen en wachtwoorden van duizenden gebruikers van de slimme Ring-deurbel zijn uitgelekt. Daarmee is het mogelijk om mee te kijken met wie er voor de voordeur van een gebruikers staat. 

Naast de wachtwoorden en gebruikersnamen zijn ook tijdzones te vinden, en de namen die gebruikers aan de camera's geven. Dat zijn over het algemeen namen van locaties waar de bel hangt, zoals 'voordeur' of 'oprit'.

In een reactie aan Buzzfeed schrijft Ring dat het geen last heeft gehad van een datalek. Ring zegt dat dat gebeurde door credential stuffing, de data zouden bij elkaar verzameld zijn uit databases van andere gehackte websites. Met de data kan een aanvaller live meekijken met de camera's die in de bellen zitten. Ring raadt gebruikers aan hun wachtwoord te wijzigen en tweestapsverificatie in te stellen.

Ring ligt de laatste tijd regelmatig onder vuur. Onlangs schreef Motherboard dat hackers live meekeken met camera's en daar zelfs een podcast over maakten, maar het bedrijf werkt ook samen met Amerikaanse politiediensten die opnames van de bel onbeperkt mogen bewaren. De politie kon daar tot kort geleden ook gebruikmaken van een controversiële heatmap om te zien waar de camera's hingen. Ook in Nederland wordt de bel gebruikt; verschillende Nederlandse gemeenten delen gratis Ring-deurbellen uit aan burgers om de veiligheid op straat te vergroten.

Alles bij de bron; Tweakers


 

Bij de hack van het woordspel Words With Friends in september dit jaar zijn 170 miljoen unieke gebruikers getroffen, stelt website Have I Been Pwned donderdag. Het ging hierbij om e-mailadressen, gebruikersnamen en wachtwoorden die onveilig waren opgeslagen. Bij sommige gebruikers zijn ook telefoonnummers en gelinkte Facebook-accounts uitgelekt, mits gebruikers die informatie aan Zynga hadden gegeven...

...Naast de hack op Words With Friends zei de hacker in september ook in het bezit te zijn van data van andere spellen van Zynga, waaronder Draw Something en het stopgezette spel OMGPOP. Het gaat hier volgens de hacker om onversleutelde wachtwoorden van meer dan zeven miljoen gebruikers.

Zynga gaf op 12 september toe mogelijk gehackt te zijn, maar sprak niet over welke data gestolen zijn. Ook meldden ze toen niet om hoeveel accounts het zou gaan.

Alles bij de bron; NU


 

Bankgegevens van zo'n 29.000 Facebook-werknemers zijn gestolen toen een dief harde schijven uit een auto van een werknemer had ontvreemd. Het duurde zeker drie weken voor Facebook de diefstal aan de slachtoffers meldde.

De data werd gestolen nadat een werknemer van de salarisafdeling harde schijven in zijn auto had gelegd. Die schijven waren niet versleuteld, maar het was volgens Facebook ook niet de bedoeling dat schijven op die manier worden meegenomen van kantoor. De diefstal vond plaats op 17 november, en Facebook begon op 20 november een forensisch onderzoek. Daaruit bleek op 29 november dat er werknemersinformatie op de schijven stond. Facebook lichtte die medewerkers vrijdag pas in. Volgens Facebook bevatte de harde schijven geen data van gebruikers van het sociale netwerk.

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha