Databeveiliging & Dataverlies

Privésleutels voor het genereren van valse coronacertificaten die door Europese corona-apps worden geaccepteerd zijn gelekt op internet. 

Twee gesigneerde coronacertificaten die op internet circuleren zijn met de privésleutels van de Franse en Poolse corona-apps ondertekend. Hoe de sleutels precies konden lekken is onbekend.

Het ministerie van Volksgezondheid laat weten dat het een onderzoek heeft ingesteld naar het lekken van de private keys.

Alles bij de bron; Security


 

Volgens schattingen zou een derde van ruim tweehonderd miljoen Netflix-gebruikers zijn inloggegevens doorfluisteren aan ‘familieleden’ – zelfs al zijn ze geen familie. Door wachtwoorden te delen met anderen, deel je de abonnementskosten van het groeiend aantal videodiensten. Hoe meer zielen, hoe lager de prijs. In goed Nederlands: password sharing is het nieuwe filesharing. 

Afgezien van de economische impact is het niet zonder risico om wachtwoorden te delen. Je weet niet of anderen wel voorzichtig zijn met je gegevens. Wachtwoorden zijn an sich al zwak – makkelijk te raden, makkelijk te stelen en te misbruiken. In het ergste geval gebruik je het gedeelde wachtwoord ook nog voor andere diensten. Zo’n slordigheid is voer voor hackers....

...De wereld is veranderd in een inlogmaatschappij die vraagt om ijzersterke wachtwoorden, extra verificatie, een telefoon met DigiD en biometrische beveiliging. Voor veel gebruikers – niet alleen ouderen – is dat een hoge drempel.

Zelfstandige wachtwoord-apps ondervinden concurrentie van de webbrowsers. Chrome, Safari, Edge en Firefox werpen zich allemaal op als geheugensteun en helpen gebruikers bij het verzinnen van complexe wachtwoorden.

Je weg vinden tussen die verschillende wachtwoordkluizen en authenticatiegereedschap is niet eenvoudig en het blijft een rotklus.

Alles bij de bron; NRC


 

Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt heeft nu ook beloningen uitgeloofd voor zerodaylekken in de Windowsapplicaties van vpn-aanbieders.

Er wordt gezocht naar kwetsbaarheden waardoor informatie is te achterhalen, het echte ip-adres van gebruikers zichtbaar wordt en erop afstand code op het systeem van gebruikers is uit te voeren. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Alles bij de bron; Security


 

Volgens security bedrijf WizCase kon er 100GB aan data ingekeken worden. Daarin troffen de onderzoekers 500 miljoen records aan met informatie over de persoonlijke gegevens van 1 miljoen klanten en informatie over geïnstalleerde software op apparaten van ongeveer 300.000 QuickFox-klanten. Alle uitgelekte data dateert uit de periode tussen juni 2021 en september 2021. Het securitybedrijf kreeg toegang tot de data zonder dat het daarvoor inloggegevens of een wachtwoord moest ingeven. 

De persoonlijke gegevens betroffen namen, e-mailadressen, telefoonnummers, apparaattypen en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld waren opgeslagen. Ook de originele IP-adressen van de vpn-gebruikers waren terug te vinden. Aan de hand daarvan kon WizCase zien dat het merendeel van de getroffen klanten zich in de Verenigde Staten, Japan, Indonesië en Kazachstan bevindt.

QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase.

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn. WizCase nam contact op met QuickFox, maar heeft geen antwoord gekregen. Volgens Security.nl is het lek inmiddels gedicht.

Alles bij de bron; Tweakers


 

Welk bedrijf uit de buurt is gehackt, slachtoffer van een datalek of beboet voor schending van de privacywet. Dat kunt u opzoeken in een online overzicht op de website datalekt.nl. Dat geeft een actueel overzicht van incidenten die sinds 2016 hebben plaatsgevonden en via de media of privacytoezichthouder Autoriteit Persoonsgegevens (AP) in de openbaarheid zijn gekomen.

Het online overzicht is een initiatief van onderzoeksjournalist en schrijfster van het boek ‘Komt een vrouw bij de h@cker’, Maria Genova en cybersecurity-expert Joram Teusink van Mite3 Cybersecurity. 

De kaart geeft zeker geen compleet beeld. ‘De meeste hacks en datalekken worden niet openbaar gemaakt. Dat bekent dat in werkelijkheid heel Nederland rood kleurt en dat er geen enkele sector is waar deze cyberincidenten niet plaatsvinden’, waarschuwen de makers.

Alles bij de bron; Computable


 

Zo'n 650.000 WordPress-sites lopen risico om door kwaadwillenden te worden overgenomen. Onderzoekers van Jetpack ontdekten twee kwetsbaarheden in de plug-in WP Fastest Cache . 

WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd.

Jetpack waarschuwde de ontwikkelaar van WP Fastest Cache op 29 september. Vervolgens verscheen op 11 oktober versie 0.9.5 waarin de kwetsbaarheden zijn verholpen. Sinds het uitkomen van de nieuwe versie is WP Fastest Cache zo'n 354.000 keer gedownload, wat inhoudt dat nog zo'n 650.000 WordPress-sites niet zijn bijgewerkt met de nieuwste versie van de plug-in.

Alles bij de bron; Security


 

De Gegevensbeschermingsautoriteit GBA onderzoekt een mogelijk beveiligingslek bij het valideren en lezen van Covid Safe Tickets via de CovidScan-applicatie. Dat meldt de GBA zelf. Mogelijk zijn er 39.000 personen getroffen.

Het probleem situeert zich bij een gecodeerde lijst, zegt de Gegevensbeschermingsautoriteit. Die zogenaamde ‘suspension list’ is gecodeerd, maar kan via een sleutel die zich in de CovidScan-app bevindt, toch uitgelezen worden.

“In deze fase van het scanproces van het Covid Safe Ticket werd door een burger een potentiële beveiligingsfout opgemerkt”, zegt de GBA in een persmededeling. Deze persoon slaagde erin de beveiligingssleutel te gebruiken om de gecodeerde lijst zelf te kunnen lezen. Op die manier is het dus ook voor hackers in theorie mogelijk om te controleren welke gevaccineerde personen op welk moment toch positief hebben getest, terwijl gezondheidsgegevens de hoogst mogelijke vorm van privacy zouden moeten genieten.

“De Gegevensbeschermingsautoriteit neemt dit zeer ernstig, gezien de bijzonder gevoelige aard van gezondheidsgegevens”, klinkt het nog. De GBA zal de zaak verder opvolgen, maar kan geen verdere commentaar geven of er een onderzoek is opgestart, en wat er in tussentijd met de CovidScan-app moet gebeuren. Volgens onze informatie is het lek op dit moment ook nog niet gedicht.

Alles bij de bron; deMorgen


 

Sommige voormalige werknemers van OnlyFans hebben nog steeds toegang tot de gegevens van gebruikers van de dienst. Het gaat om het gebruik van Zendesk, een softwarepakket voor klantenservice. Werknemers van OnlyFans zouden soms nog lang na hun dienstverband toegang hebben tot deze softwareomgeving, aldus een ex-werknemer van het bedrijf.

Motherboard wist via de inloggegevens van meerdere oud-werknemers binnen te komen in de softwareomgeving. Via Zendesk zijn tickets in te zien van zowel betalende klanten als mensen die het platform gebruiken om hun content te plaatsen.

Via deze tickets vallen veel privégegevens in te zien, afhankelijk van waarom de gebruikers contact opnemen met OnlyFans. Zo zouden ex-werknemers toegang hebben tot creditcardgegevens, rijbewijzen, volledige namen, selfies met paspoort of ID-kaart en andere zeer persoonlijke informatie.  

Alles bij de bron; RTL


 

Een coalitie van vijftig organisaties en beveiligingsexperts heeft de Belgische overheid in een open brief gevraagd om te stoppen met een wetsvoorstel dat de end-to-end encryptie van communicatiediensten zoals WhatsApp zou ondermijnen. In het wetsvoorstel worden aanbieders gedwongen om autoriteiten toegang tot de communicatie van gebruikers te geven.

Dit zou Belgische burgers allesbehalve veilig maken, maar de eisen zouden ook het gebruik van end-to-end encryptie in België ondermijnen, gaan de experts en organisaties verder. Eerder stelde de Belgische privacytoezichthouder dat het wetsvoorstel bedrijven zou dwingen om een "de factor backdoor" aan hun diensten toe te voegen.

De Belgische overheid wordt dan ook opgeroepen om van het wetsvoorstel af te zien. De brief is onder andere ondertekend door de Liga voor Mensenrechten, European Digital Rights (EDRi), Internet Society en versleutelde e-maildienst Tutanota. Directeur van WhatsApp, Will Cathcart, laat via

Twitter weten dat sterke encryptie essentieel is om privacy en gebruikers te beschermen en dat het Belgische wetsvoorstel de veiligheid van iedereen gevaar laat lopen.

Alles bij de bron; Security


 

Al sinds 2017 rijzen twijfels over de betrouwbaarheid van de Chinese tech-gigant Da Jiang Innovations (DJI), wereldwijd marktleider op het gebied van drones. Toch blijft de politie ze gebruiken, terwijl Defensie ze in de ban deed...

... De Nederlandse politie zette in 2021 tot nu toe meer dan duizend keer een drone in, en inmiddels bestaat de dronevloot uit ruim honderd DJI-toestellen. De drones worden onder andere gebruikt voor opsporing en crowd control, zegt de politie. Tijdens recente protesten tegen de coronamaatregelen zette de politie een van hun DJI Matrice-drones in om toezicht te houden op de mensenmassa...

...Sinds 2017 rijzen er echter al twijfels over de betrouwbaarheid van de Chinese tech-gigant. De Amerikaanse cybersecurity-onderzoeker Kevin Finisterre besloot samen met een groep programmeurs eens uit te zoeken hoe goed die drones nu eigenlijk beveiligd zijn. Hij krijgt gemakkelijk toegang tot vertrouwelijke servers van DJI en vindt onversleutelde vluchtgegevens en identiteitsbewijzen van gebruikers. Bovendien ontdekt hij een functie in de DJI-besturingsapp om software te kunnen installeren op de telefoon van de gebruiker van de drone. “Als het bedrijf ervoor kiest om die achterdeur te gebruiken, kunnen ze de gebruiker daarmee langdurig monitoren”, zegt hij...

...Net als de Amerikaanse onderzoeker Finisterre vond ook zij een functie in de app die allerlei andere software op de telefoon kon installeren zonder dat de gebruiker het doorheeft. Bovendien had DJI een doolhof aan digitale versleuteling opgetrokken om dat achterdeurtje uit het zicht te houden van buitenstaanders als de Franse onderzoekers. “Dat maakt het extra verdacht”, zegt Romand-Latapie. 

DJI laat in een schriftelijke reactie weten dat al hun producten veilig zijn. Ook hoeven gebruikers volgens DJI geen data te delen, ook niet met de tech-gigant zelf. Overheden kunnen volgens DJI gebruik maken een speciale overheidsdrone, een editie waarvan de data éxtra beveiligd zou zijn.

Opmerkelijk genoeg gebruikt de Nederlandse politie die editie niet, laat ze in een reactie weten. De dronebestuurders bij de politie gebruiken gewoon de meegeleverde DJI-apps en -software, terwijl experts benadrukken dat overheidsorganisaties hun eigen app moeten ontwikkelen om DJI-drones veilig te gebruiken.

Agenten gebruiken soms zelfs de recreatieve DJI-app, waarvan het Franse onderzoeksteam ontdekte dat die gevoelige data naar Chinese servers stuurde. De politie stelt zelf ook dat ze niet kan uitsluiten dat data van politiedrones belandt op servers in China.

Alles bij de bron; Trouw


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha