Databeveiliging & Dataverlies

Zo'n 650.000 WordPress-sites lopen risico om door kwaadwillenden te worden overgenomen. Onderzoekers van Jetpack ontdekten twee kwetsbaarheden in de plug-in WP Fastest Cache . 

WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd.

Jetpack waarschuwde de ontwikkelaar van WP Fastest Cache op 29 september. Vervolgens verscheen op 11 oktober versie 0.9.5 waarin de kwetsbaarheden zijn verholpen. Sinds het uitkomen van de nieuwe versie is WP Fastest Cache zo'n 354.000 keer gedownload, wat inhoudt dat nog zo'n 650.000 WordPress-sites niet zijn bijgewerkt met de nieuwste versie van de plug-in.

Alles bij de bron; Security


 

De Gegevensbeschermingsautoriteit GBA onderzoekt een mogelijk beveiligingslek bij het valideren en lezen van Covid Safe Tickets via de CovidScan-applicatie. Dat meldt de GBA zelf. Mogelijk zijn er 39.000 personen getroffen.

Het probleem situeert zich bij een gecodeerde lijst, zegt de Gegevensbeschermingsautoriteit. Die zogenaamde ‘suspension list’ is gecodeerd, maar kan via een sleutel die zich in de CovidScan-app bevindt, toch uitgelezen worden.

“In deze fase van het scanproces van het Covid Safe Ticket werd door een burger een potentiële beveiligingsfout opgemerkt”, zegt de GBA in een persmededeling. Deze persoon slaagde erin de beveiligingssleutel te gebruiken om de gecodeerde lijst zelf te kunnen lezen. Op die manier is het dus ook voor hackers in theorie mogelijk om te controleren welke gevaccineerde personen op welk moment toch positief hebben getest, terwijl gezondheidsgegevens de hoogst mogelijke vorm van privacy zouden moeten genieten.

“De Gegevensbeschermingsautoriteit neemt dit zeer ernstig, gezien de bijzonder gevoelige aard van gezondheidsgegevens”, klinkt het nog. De GBA zal de zaak verder opvolgen, maar kan geen verdere commentaar geven of er een onderzoek is opgestart, en wat er in tussentijd met de CovidScan-app moet gebeuren. Volgens onze informatie is het lek op dit moment ook nog niet gedicht.

Alles bij de bron; deMorgen


 

Sommige voormalige werknemers van OnlyFans hebben nog steeds toegang tot de gegevens van gebruikers van de dienst. Het gaat om het gebruik van Zendesk, een softwarepakket voor klantenservice. Werknemers van OnlyFans zouden soms nog lang na hun dienstverband toegang hebben tot deze softwareomgeving, aldus een ex-werknemer van het bedrijf.

Motherboard wist via de inloggegevens van meerdere oud-werknemers binnen te komen in de softwareomgeving. Via Zendesk zijn tickets in te zien van zowel betalende klanten als mensen die het platform gebruiken om hun content te plaatsen.

Via deze tickets vallen veel privégegevens in te zien, afhankelijk van waarom de gebruikers contact opnemen met OnlyFans. Zo zouden ex-werknemers toegang hebben tot creditcardgegevens, rijbewijzen, volledige namen, selfies met paspoort of ID-kaart en andere zeer persoonlijke informatie.  

Alles bij de bron; RTL


 

Een coalitie van vijftig organisaties en beveiligingsexperts heeft de Belgische overheid in een open brief gevraagd om te stoppen met een wetsvoorstel dat de end-to-end encryptie van communicatiediensten zoals WhatsApp zou ondermijnen. In het wetsvoorstel worden aanbieders gedwongen om autoriteiten toegang tot de communicatie van gebruikers te geven.

Dit zou Belgische burgers allesbehalve veilig maken, maar de eisen zouden ook het gebruik van end-to-end encryptie in België ondermijnen, gaan de experts en organisaties verder. Eerder stelde de Belgische privacytoezichthouder dat het wetsvoorstel bedrijven zou dwingen om een "de factor backdoor" aan hun diensten toe te voegen.

De Belgische overheid wordt dan ook opgeroepen om van het wetsvoorstel af te zien. De brief is onder andere ondertekend door de Liga voor Mensenrechten, European Digital Rights (EDRi), Internet Society en versleutelde e-maildienst Tutanota. Directeur van WhatsApp, Will Cathcart, laat via

Twitter weten dat sterke encryptie essentieel is om privacy en gebruikers te beschermen en dat het Belgische wetsvoorstel de veiligheid van iedereen gevaar laat lopen.

Alles bij de bron; Security


 

Al sinds 2017 rijzen twijfels over de betrouwbaarheid van de Chinese tech-gigant Da Jiang Innovations (DJI), wereldwijd marktleider op het gebied van drones. Toch blijft de politie ze gebruiken, terwijl Defensie ze in de ban deed...

... De Nederlandse politie zette in 2021 tot nu toe meer dan duizend keer een drone in, en inmiddels bestaat de dronevloot uit ruim honderd DJI-toestellen. De drones worden onder andere gebruikt voor opsporing en crowd control, zegt de politie. Tijdens recente protesten tegen de coronamaatregelen zette de politie een van hun DJI Matrice-drones in om toezicht te houden op de mensenmassa...

...Sinds 2017 rijzen er echter al twijfels over de betrouwbaarheid van de Chinese tech-gigant. De Amerikaanse cybersecurity-onderzoeker Kevin Finisterre besloot samen met een groep programmeurs eens uit te zoeken hoe goed die drones nu eigenlijk beveiligd zijn. Hij krijgt gemakkelijk toegang tot vertrouwelijke servers van DJI en vindt onversleutelde vluchtgegevens en identiteitsbewijzen van gebruikers. Bovendien ontdekt hij een functie in de DJI-besturingsapp om software te kunnen installeren op de telefoon van de gebruiker van de drone. “Als het bedrijf ervoor kiest om die achterdeur te gebruiken, kunnen ze de gebruiker daarmee langdurig monitoren”, zegt hij...

...Net als de Amerikaanse onderzoeker Finisterre vond ook zij een functie in de app die allerlei andere software op de telefoon kon installeren zonder dat de gebruiker het doorheeft. Bovendien had DJI een doolhof aan digitale versleuteling opgetrokken om dat achterdeurtje uit het zicht te houden van buitenstaanders als de Franse onderzoekers. “Dat maakt het extra verdacht”, zegt Romand-Latapie. 

DJI laat in een schriftelijke reactie weten dat al hun producten veilig zijn. Ook hoeven gebruikers volgens DJI geen data te delen, ook niet met de tech-gigant zelf. Overheden kunnen volgens DJI gebruik maken een speciale overheidsdrone, een editie waarvan de data éxtra beveiligd zou zijn.

Opmerkelijk genoeg gebruikt de Nederlandse politie die editie niet, laat ze in een reactie weten. De dronebestuurders bij de politie gebruiken gewoon de meegeleverde DJI-apps en -software, terwijl experts benadrukken dat overheidsorganisaties hun eigen app moeten ontwikkelen om DJI-drones veilig te gebruiken.

Agenten gebruiken soms zelfs de recreatieve DJI-app, waarvan het Franse onderzoeksteam ontdekte dat die gevoelige data naar Chinese servers stuurde. De politie stelt zelf ook dat ze niet kan uitsluiten dat data van politiedrones belandt op servers in China.

Alles bij de bron; Trouw


 

De Canadese corona-app Portpass, waarmee gebruikers kunnen aantonen dat ze zijn gevaccineerd of getest op corona, heeft privégegevens van mogelijk honderdduizenden gebruikers gelekt. Dat meldt de Canadese publieke omroep CBC.

Portpass is door een commerciële partij ontwikkeld en biedt gebruikers de mogelijkheid om een qr-code te genereren waarmee kan worden gereisd en toegang tot locaties en evenementen kan worden verkregen.

De privédata van gebruikers blijkt via de website toegankelijk, zo stelt CBC. Het gaat om e-mailadressen, namen, bloedgroep, telefoonnummers, geboortedatum en foto. Hoe de informatie toegankelijk is wil de omroep niet laten weten, om zo misbruik te voorkomen.

De website van Portpass is op het moment van schrijven offline. Eerder hadden onderzoekers aangegeven dat het mogelijk is om de app door middel van valse vaccinatiebewijzen te manipuleren.

Alles bij de bron; Security


 

Ruim 80% van de 2.000 grootste bedrijven ter wereld heeft de bescherming van zijn domeinnamen niet op orde. De eenvoudigste maatregelen worden vaak niet eens genomen.

Dat blijkt uit onderzoek van Corporation Service Company, een Amerikaans bedrijf dat zich richt op domeinnaambeheer. Zij onderzochten de domeinrecords van de organisaties uit de Forbes Global 2.000-lijst. Daarbij zochten ze met een algoritme domeinen die sterk leken op de officiële domeinnamen van de 2.000 enterprises. Van deze zogeheten ‘homoglyphs’ was 70% geregistreerd door andere partijen dan de bedrijven zelf.

Dichter bij huis vond de SIDN al in 2017 bij een inventarisatie 1.786 .nl-domeinnamen waarin de naam ‘politie’ voorkomt. Minstens 1.500 daarvan stonden niet op naam van de politie en vormden dus aantrekkelijke weblocaties voor phishing-praktijken door hackers en cybercriminelen.

Ook de beveiliging van hun eigen officiële domeinnamen is bij de overgrote meerderheid zeer slecht geregeld. 81% had niet de basale beveiligingsmaatregelen getroffen, zoals het gebruik van het registry lock protocol. Dit protocol maakt het veel moeilijker om een domein makkelijk over te zetten naar kwaadwillenden. Ook waren maar bij 17% redundant DNS-services in gebruik die bescherming bieden tegen DDoS-aanvallen. 

Alles bij de bron; AGConnect


 

De AIVD roept organisaties op om actief na te denken over het beschermen van gevoelige data tegen de quantumcomputer. De veiligheidsdienst doet een oproep aan IT-beveiligers om voorbereidingen te treffen voor de impact die quantumcomputers gaan hebben op cryptografie.

Experts verwachten dat we nog circa 10 tot 20 jaar verwijderd zijn van een quantumcomputer die de huidige cryptografische standaard kan kraken. 

Maar maatregelen zijn nu al noodzakelijk volgens de AIVD, omdat quantumcomputers mogelijk sneller in staat zijn de huidige cryptografische standaarden te kraken dan nu wordt verwacht. Daarnaast kan de data die nu versleuteld wordt verstuurd ergens onderschept worden en dan jaren later alsnog worden ontcijferd. Daarom wil de veiligheidsdienst organisaties met een brochure wijzen op de voorzorgsmaatregelen die ze kunnen nemen.

De AIVD noemt als oplossing 'post-quantum cryptografie'. Deze vorm van cryptografie is gebaseerd op wiskundige problemen die moeilijk zijn te kraken door quantumcomputers. Tot slot adviseert de AIVD om gevoelige data die niet naar buiten mag komen te beveiligen met zowel een laag asymmetrische cryptografie als een laag symmetrische cryptografie. Ook kan het een overweging zijn om echt gevoelige data helemaal offline te halen, aldus de veiligheidsdienst.

Alles bij de bron; Tweakers


 

Hoewel de overstap naar de (publieke) cloud ruim voor de coronapandemie al op de it-agenda stond, nam de ‘versaasing’ van de zakelijke it-wereld het afgelopen anderhalf jaar pas echt een vlucht. Organisaties die géén gebruikmaken van saas-oplossingen zijn op een hand te tellen.

Werknemers hebben hierdoor via meerdere devices toegang tot data. Het beveiligen van deze endpointdevices klinkt dan ook als een logische oplossing om datalekken te voorkomen, maar het goed beheren en beveiligen van de data zelf is minstens zo belangrijk, zo niet belangrijker...

...De ransomware-aanvallen van de afgelopen maanden laten eens te meer zien hoe belangrijk het is om juist ook die data en bestanden goed te beveiligen. Ondanks goede security-maatregelen kunnen endpoints voor hackers een interessante manier zijn om (eenvoudig) toegang te krijgen tot zakelijke data. En eenmaal binnen kunnen ze hun gang gaan.

Organisaties doen er dan ook goed aan hun it-omgeving zo in te richten dat ongewone gebruikersactiviteiten snel worden gedetecteerd. Kijk naar wat er met data gebeurt en signaleer op deze manier snel opvallende zaken. Het plotseling op grote schaal versleutelen van data vraagt bijvoorbeeld veel rekenkracht en zou direct aanleiding moeten zijn om alle data uit voorzorg te blokkeren....

...De populariteit van SaaS-oplossingen en het feit dat data en documenten met iedereen gedeeld kunnen worden, hebben de productiviteit op het werk een flinke impuls gegeven. Maar het kan zoals hierboven omschreven ook voor uitdagingen zorgen op het gebied van databeheer en –beveiliging.

Alles bij de bron; Computable


 

Een bug in de Autodiscover-feature van Microsoft Exchange maakt het mogelijk om inloggegevens voor Windows-domeinen te onderscheppen. Onderzoekers van securitybedrijf Guardicore stellen dat ze op deze manier 372.000 inloggegevens voor Windows-domeinen hebben bemachtigd en bijna 97.000 inloggegevens afkomstig van Microsoft Outlook, mobiele e-mailclients en andere applicaties die met Exchange-servers communiceren.

Autodiscover is een protocol dat Microsoft Exchange gebruikt voor het automatisch configureren van e-mailclients zoals Microsoft Outlook. Het moet het eenvoudig voor gebruikers maken om hun Outlook-client in te stellen. Alleen het opgeven van een gebruikersnaam en wachtwoord is voldoende, waarna het protocol de rest van de configuratie afhandelt. De client probeert hiervoor verbinding te maken met een Autodiscover-url, die gebaseerd is op het e-mailadres van de gebruiker...

...Wanneer deze url's niet worden gevonden, omdat de organisatie van de gebruiker die niet heeft ingesteld, maakt de client verbinding met Autodiscover.com, ook al staat dit los van het domein van de gebruiker, namelijk example.com. De eigenaar van dit Autodiscover.com ontvangt zo alle requests voor het oorspronkelijke domein.

Guardicore registreerde verschillende Autodiscover-domeinen, zoals Autodiscover.es, Autodiscover.fr en Autodiscover.uk. Hierdoor ontvingen de onderzoekers honderdduizenden inloggegevens van gebruikers die hun e-mailclients wilden instellen, maar geen verbinding konden maken met het Autodiscover-endpoint van hun organisatie. De gegevens waren onder andere afkomstig van banken, energiecentrales, logistieke bedrijven, voedselproducenten en vastgoedondernemingen.

Microsoft laat in een reactie weten dat het niet van tevoren over het probleem was ingelicht en stappen zal nemen om gebruikers te beschermen.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha