Databeveiliging & Dataverlies

De Canadese corona-app Portpass, waarmee gebruikers kunnen aantonen dat ze zijn gevaccineerd of getest op corona, heeft privégegevens van mogelijk honderdduizenden gebruikers gelekt. Dat meldt de Canadese publieke omroep CBC.

Portpass is door een commerciële partij ontwikkeld en biedt gebruikers de mogelijkheid om een qr-code te genereren waarmee kan worden gereisd en toegang tot locaties en evenementen kan worden verkregen.

De privédata van gebruikers blijkt via de website toegankelijk, zo stelt CBC. Het gaat om e-mailadressen, namen, bloedgroep, telefoonnummers, geboortedatum en foto. Hoe de informatie toegankelijk is wil de omroep niet laten weten, om zo misbruik te voorkomen.

De website van Portpass is op het moment van schrijven offline. Eerder hadden onderzoekers aangegeven dat het mogelijk is om de app door middel van valse vaccinatiebewijzen te manipuleren.

Alles bij de bron; Security


 

Ruim 80% van de 2.000 grootste bedrijven ter wereld heeft de bescherming van zijn domeinnamen niet op orde. De eenvoudigste maatregelen worden vaak niet eens genomen.

Dat blijkt uit onderzoek van Corporation Service Company, een Amerikaans bedrijf dat zich richt op domeinnaambeheer. Zij onderzochten de domeinrecords van de organisaties uit de Forbes Global 2.000-lijst. Daarbij zochten ze met een algoritme domeinen die sterk leken op de officiële domeinnamen van de 2.000 enterprises. Van deze zogeheten ‘homoglyphs’ was 70% geregistreerd door andere partijen dan de bedrijven zelf.

Dichter bij huis vond de SIDN al in 2017 bij een inventarisatie 1.786 .nl-domeinnamen waarin de naam ‘politie’ voorkomt. Minstens 1.500 daarvan stonden niet op naam van de politie en vormden dus aantrekkelijke weblocaties voor phishing-praktijken door hackers en cybercriminelen.

Ook de beveiliging van hun eigen officiële domeinnamen is bij de overgrote meerderheid zeer slecht geregeld. 81% had niet de basale beveiligingsmaatregelen getroffen, zoals het gebruik van het registry lock protocol. Dit protocol maakt het veel moeilijker om een domein makkelijk over te zetten naar kwaadwillenden. Ook waren maar bij 17% redundant DNS-services in gebruik die bescherming bieden tegen DDoS-aanvallen. 

Alles bij de bron; AGConnect


 

De AIVD roept organisaties op om actief na te denken over het beschermen van gevoelige data tegen de quantumcomputer. De veiligheidsdienst doet een oproep aan IT-beveiligers om voorbereidingen te treffen voor de impact die quantumcomputers gaan hebben op cryptografie.

Experts verwachten dat we nog circa 10 tot 20 jaar verwijderd zijn van een quantumcomputer die de huidige cryptografische standaard kan kraken. 

Maar maatregelen zijn nu al noodzakelijk volgens de AIVD, omdat quantumcomputers mogelijk sneller in staat zijn de huidige cryptografische standaarden te kraken dan nu wordt verwacht. Daarnaast kan de data die nu versleuteld wordt verstuurd ergens onderschept worden en dan jaren later alsnog worden ontcijferd. Daarom wil de veiligheidsdienst organisaties met een brochure wijzen op de voorzorgsmaatregelen die ze kunnen nemen.

De AIVD noemt als oplossing 'post-quantum cryptografie'. Deze vorm van cryptografie is gebaseerd op wiskundige problemen die moeilijk zijn te kraken door quantumcomputers. Tot slot adviseert de AIVD om gevoelige data die niet naar buiten mag komen te beveiligen met zowel een laag asymmetrische cryptografie als een laag symmetrische cryptografie. Ook kan het een overweging zijn om echt gevoelige data helemaal offline te halen, aldus de veiligheidsdienst.

Alles bij de bron; Tweakers


 

Hoewel de overstap naar de (publieke) cloud ruim voor de coronapandemie al op de it-agenda stond, nam de ‘versaasing’ van de zakelijke it-wereld het afgelopen anderhalf jaar pas echt een vlucht. Organisaties die géén gebruikmaken van saas-oplossingen zijn op een hand te tellen.

Werknemers hebben hierdoor via meerdere devices toegang tot data. Het beveiligen van deze endpointdevices klinkt dan ook als een logische oplossing om datalekken te voorkomen, maar het goed beheren en beveiligen van de data zelf is minstens zo belangrijk, zo niet belangrijker...

...De ransomware-aanvallen van de afgelopen maanden laten eens te meer zien hoe belangrijk het is om juist ook die data en bestanden goed te beveiligen. Ondanks goede security-maatregelen kunnen endpoints voor hackers een interessante manier zijn om (eenvoudig) toegang te krijgen tot zakelijke data. En eenmaal binnen kunnen ze hun gang gaan.

Organisaties doen er dan ook goed aan hun it-omgeving zo in te richten dat ongewone gebruikersactiviteiten snel worden gedetecteerd. Kijk naar wat er met data gebeurt en signaleer op deze manier snel opvallende zaken. Het plotseling op grote schaal versleutelen van data vraagt bijvoorbeeld veel rekenkracht en zou direct aanleiding moeten zijn om alle data uit voorzorg te blokkeren....

...De populariteit van SaaS-oplossingen en het feit dat data en documenten met iedereen gedeeld kunnen worden, hebben de productiviteit op het werk een flinke impuls gegeven. Maar het kan zoals hierboven omschreven ook voor uitdagingen zorgen op het gebied van databeheer en –beveiliging.

Alles bij de bron; Computable


 

Een bug in de Autodiscover-feature van Microsoft Exchange maakt het mogelijk om inloggegevens voor Windows-domeinen te onderscheppen. Onderzoekers van securitybedrijf Guardicore stellen dat ze op deze manier 372.000 inloggegevens voor Windows-domeinen hebben bemachtigd en bijna 97.000 inloggegevens afkomstig van Microsoft Outlook, mobiele e-mailclients en andere applicaties die met Exchange-servers communiceren.

Autodiscover is een protocol dat Microsoft Exchange gebruikt voor het automatisch configureren van e-mailclients zoals Microsoft Outlook. Het moet het eenvoudig voor gebruikers maken om hun Outlook-client in te stellen. Alleen het opgeven van een gebruikersnaam en wachtwoord is voldoende, waarna het protocol de rest van de configuratie afhandelt. De client probeert hiervoor verbinding te maken met een Autodiscover-url, die gebaseerd is op het e-mailadres van de gebruiker...

...Wanneer deze url's niet worden gevonden, omdat de organisatie van de gebruiker die niet heeft ingesteld, maakt de client verbinding met Autodiscover.com, ook al staat dit los van het domein van de gebruiker, namelijk example.com. De eigenaar van dit Autodiscover.com ontvangt zo alle requests voor het oorspronkelijke domein.

Guardicore registreerde verschillende Autodiscover-domeinen, zoals Autodiscover.es, Autodiscover.fr en Autodiscover.uk. Hierdoor ontvingen de onderzoekers honderdduizenden inloggegevens van gebruikers die hun e-mailclients wilden instellen, maar geen verbinding konden maken met het Autodiscover-endpoint van hun organisatie. De gegevens waren onder andere afkomstig van banken, energiecentrales, logistieke bedrijven, voedselproducenten en vastgoedondernemingen.

Microsoft laat in een reactie weten dat het niet van tevoren over het probleem was ingelicht en stappen zal nemen om gebruikers te beschermen.

Alles bij de bron; Security


 

Scoupy waarschuwt twee miljoen gebruikers voor een datalek, daarbij zijn erg persoonlijke gegevens op straat komen te liggen, zoals naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum, kassabonnen en versleuteld wachtwoord en versleuteld bankrekeningnummer (IBAN).

Scoupy is een cashback-app waarmee je geld terugkrijgt bij aankoop van allerlei actieproducten in de supermarkt en bij de drogist. Je maakt daarbij een foto van de kassabon en krijgt geld terug.

Het incident is gemeld bij de Autoriteit Persoonsgegevens en er is ook aangifte gedaan bij de politie. “Het lek is gevonden en gedicht”, aldus Scoupy. Ook heeft het bedrijf onmiddellijk een gespecialiseerd cybersecurity bedrijf ingehuurd.

Scoupy is bezig de beveiliging aan te scherpen en belooft dat de komende tijd te blijven doen, waardoor de app en website tijdelijk niet beschikbaar kunnen zijn.

Alles bij de bron; iCulture


 

Een datalek bij het Belgische Onafhankelijk Ziekenfonds is veroorzaakt door een fout bij een systeemmigratie. Eén van de poorten bleef na de migratie open voor het internet staan, waardoor een aanvaller toegang tot het systeem kon krijgen en data van maximaal 190.000 mensen bemachtigde. Dat laat het Ziekenfonds tegenover DataNews weten.

Het gaat om naam, adresgegevens, contactgegevens, bankrekeningnummers, verzekering- en betaalinformatie, familiegegevens, volmachten, medische akkoorden, terugbetalingen, uitkeringen en ziekteperiodes. De aanvaller waarschuwde het Ziekenfonds en stelde de buitgemaakte gegevens te hebben verwijderd. 

Volgens de organisatie ontstond de inbraak op een technisch logsysteem waar acties op 'Mijn OZ' worden bijgehouden. Door een fout bleef na een migratie van het systeem één van de poorten openstaan, waardoor de aanvaller handelingen op het platform enige tijd kon inzien.

Alles bij de bron; Security


 

In december 2019 werd de Universiteit Maastricht (UM) geconfronteerd met een  cyberaanval  die de voortgang van het  onderwijs en  onderzoek tijdelijk in gevaar  bracht. De omvang van de cyberaanval was aanleiding voor de Inspectie van het  Onderwijs (hierna inspectie) om een stelselonderzoek uit te voeren naar  cyberveiligheid in het hoger onderwijs. 

Kort gezegd:  wat kan het hoger onderwijs  doen  om de weerstand tegen cyberdreigingen te vergroten en zo de goede voortgang en kwaliteit van het onderwijs en onderzoek te waarborgen?  

Daartoe heeft de inspectie in de periode juli 2020 – juni 2021 deskresearch uitgevoerd, gesprekken gevoerd met veertien instellingen voor hoger onderwijs (ho-instellingen), en gesprekken gevoerd met betrokken partijen op het gebied van hoger onderwijs en op het gebied van cyberveiligheid. Dit onderzoek beantwoordt drie deelvragen:

  1. In hoeverre is er bij hoger onderwijsinstellingen aandacht voor cyberdreigingen en welke maatregelen worden er genomen om de weerstand te vergroten?
  1. In hoeverre vragen kenmerken van hoger onderwijsinstellingen om andere accenten binnen het cyberrisicomanagement?
  1. Wie heeft zicht op en is verantwoordelijk voor de informatiebeveiliging van het Nederlandse hoger onderwijs

...Met dit onderzoek wil de inspectie een bijdrage leveren aan het beeld van  cyberveiligheid in het hoger onderwijs.

Vanuit de Wet op het hoger onderwijs zijn  instellingen zelf verantwoordelijk voor de inrichting van de organisatie en voor een goede bedrijfsvoering. Het bestuur wordt geacht de kwaliteit en goede voortgang van het onderwijs en onderzoek te waarborgen.

We hebben dit onderzoek uitgevoerd nadat een grote cyberaanval op een Nederlandse universiteit wereldkundig werd. Daarna werd de samenleving geconfronteerd met de COVID-19 pandemie waardoor de afhankelijkheid van de digitale infrastructuur enorm toenam. Mede door deze gebeurtenissen werd het onderwerp cyberveiligheid tijdens de uitvoering van dit onderzoek in het maatschappelijke debat in toenemende mate onderwerp van gesprek.

Alles bij de bron; RijksOverheid


 

Een kritieke kwetsbaarheid in verschillende clients van het versleutelde chatplatform Matrix maakt het mogelijk voor een aanvaller om end-to-end versleutelde berichten te ontsleutelen. Door de kwetsbaarheid kan een aanvaller in bepaalde gevallen encryptiesleutels bemachtigen en daarmee eerder verstuurde versleutelde berichten te lezen.

Het probleem wordt veroorzaakt door een logische fout in de room key sharing functionaliteit van Matrix. Deze feature zorgt ervoor dat een Matrix-client die de encryptiesleutels mist voor het ontsleutelen van een verstuurd bericht die sleutels aan de afzender kan vragen. Bij dit verzoekt blijkt dat de identiteit van de aanvrager niet goed wordt gecontroleerd. Hierdoor is het mogelijk om via een gecompromitteerd account het apparaat te imiteren dat de encryptiesleutels vraagt.

Volgens Matrix zou een aanvaller naast het bemachtigen van de encryptiesleutels ook het account van de ontvanger van de berichten moeten compromitteren. Vervolgens is het mogelijk om de eerder verstuurde versleutelde berichten te lezen.

De Matrix-ontwikkelaars benadrukken dat het hier niet om een kwetsbaarheid in het Matrix-protocol gaat, maar een lek in de implementatie. Gebruikers wordt dan ook aangeraden om hun clients te updaten. 

Alles bij de bron; Security


 

Whatsapp kondigde vrijdag aan eind dit jaar end-to-end versleuteling aan te bieden voor de backup-dienstverlening. Gebruikers krijgen daarbij de mogelijkheid een 64-bit sleutel aan te maken en die zelf te beheren. Maar het is ook mogelijk de sleutel te laten bewaren door Whatsapp in een digitale kluis die de gebruiker kan beveiligen met een eigen wachtwoord. In beide gevallen heeft Whatsapp noch enige derde partij toegang tot de sleutel. De gebruiker moet de sleutel of het zelfgekozen wachtwoord wel goed bewaren want zonder deze is het dan niet meer mogelijk de backups te benaderen.

De backup-dienstverlening wordt ook zo ingericht dat de sleutel op permanente wijze wordt vernietigd na een aantal onsuccesvolle pogingen toegang te krijgen tot de backups. Die aanpak moet ervoor zorgen dat het onmogelijk wordt met geweld ('brute force') de versleuteling van de backups te kraken.

Whatsapp komt zo tegemoet aan de kritiek dat het berichtenverkeer via de dienst weliswaar versleuteld is, maar de organisatie - en dus ook moederbedrijf Facebook en mogelijk de Amerikaanse opsporingsdiensten - vrij toegang hebben tot de backups van de dienstverlening.

Alles bij de bron; AGConnect


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha