Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites.
Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9.
Alles bij de bron; Security
Een aanvaller is erin geslaagd om een database van de Amerikaanse nieuwssite Mashable te stelen die de privégegevens van 1,4 miljoen gebruikers bevat. De data is nu op internet verschenen. Het gaat om voor- en achternaam, locatie (zoals stad of land), e-mailadressen, geslacht, registratiedatum, ip-adressen, links naar socialmediaprofielen, verlopen OAuth-tokens en maand en dag van de verjaardag.
De 1,4 miljoen buitgemaakte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Een zoekmachine waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 76 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
Meer dan tien miljoen bestanden met details over hotelboekingen waren inzichtelijk op een verkeerd geconfigureerde AWS S3-bucket. De data werd beheerd door Prestige Software, een Spaans bedrijf dat samenwerkt met onder andere Agoda, Booking.com en Expedia...
...Volgens de onderzoekers gaat het om 24,4GB aan logbestanden en bevat de verzameling gegevens van hotelboekingen wereldwijd. Zowel recente boekingen als details over oudere boekingen, tot 2013, werden aangetroffen.
De persoonsgegevens werden zonder enige bescherming opgeslagen. Het gaat om creditcardgegevens, naam- en adresgegevens, paspoortnummers en e-mailadressen van hotelbezoekers. Ook de details van hotelreserveringen, zoals de kosten, het aantal nachten en aanvullende verzoeken staan vermeld.
Alles bij de bron; Tweakers
Camera's, algoritmes en stromen data. Steeds meer steden zetten geavanceerde technieken in om het leven in de stad veiliger en efficiënter te maken. Klinkt misschien handig en aantrekkelijk, maar het gaat niet altijd goed, zo bleek afgelopen zomer in Rotterdam.
Toen werd een scanauto ingezet in een park om te controleren of mensen wel anderhalve meter afstand hielden. Een veel te zwaar middel, vonden tegenstanders. Slimme camera's vinden zij niet geschikt voor dit soort situaties.
De discussie over privacy versus data woedt al langer. Maar nu technologie niet meer weg te denken is uit onze levens, is de vraag hoe we technieken dan wel zo kunnen inzetten dat onze steden er slimmer van worden. Moeten we dat überhaupt willen? En waar ligt de grens?
We nemen een kijkje in Rotterdam waar het deze zomer misging en spreken een expert die niet voor niets pleit voor een ministerie van Data. De technische revolutie is namelijk bijna niet bij te benen:
Bron; NOS
Cybersecurity-onderzoekers van de Schotse Abertay University zijn erin geslaagd meer dan 75.000 gewiste bestanden te halen van een honderdtal usb-sticks die ze kochten via tweedehands- en zoekertjessites. Onder de bestanden: belastingaangiften, contracten en bankdocumenten.
Op het eerste zicht leken op 98 van de honderd sticks alle data verdwenen te zijn, maar met enkele vrij verkrijgbare tools konden de onderzoekers de gegevens weer boven water halen...
...De manier waarop computers bestanden van sticks verwijderen, houdt niet in dat de data ook effectief weg is. Veel mensen beseffen dat niet. ‘Het bestand wordt uit een index verwijderd, zodat het ‘aan het zicht wordt onttrokken’', legt professor Renaud uit. ‘Het is er echter nog steeds en als je weet hoe, kun je het gemakkelijk terugvinden met behulp van forensische hulpmiddelen.’
Er bestaat anderzijds ook software die usb-drives permanent kan wissen. ‘Als je een stick gaat verkopen, raden we je ten zeerste aan dat te gebruiken’, besluit Renaud.
Alles bij de bron; Computable
Massachusetts neemt een wet aan die autofabrikanten verplicht telemetriegegevens van auto's uitleesbaar te maken. Iedereen moet deze gegevens kunnen gebruiken om het voertuig te repareren.
Autofabrikanten zijn volgens de nieuwe wet vanaf 2022 verplicht een standaard open dataplatform te implementeren in voertuigen. Dit platform geeft voertuigeigenaren en onafhankelijke onderhoudsspecialisten de mogelijkheid telemetriegegevens op te vragen. Deze informatie wordt vaak direct naar een server van de autofabrikant gestuurd.
Telemetriegegevens ondersteunen de data monteurs bij het uitvoeren van reparaties. Door deze data in eigen handen te houden kunnen fabrikanten reparaties door derde partijen bemoeilijken. Met de nieuwe wet wil Massachusetts dit voorkomen.
Alles bij de bron; DutchIT
Apple begint met 'privacylabels' voor apps op zijn mobiele besturingssysteem iOS. Op dat label moet staan welke data apps verzamelen en waarom. Vervolgens moeten gebruikers daar toestemming voor geven.
Het toevoegen van de informatie is nodig bij een update van de app of het indienen van een nieuwe app. Huidige versies van apps blijven werken, maar toestemming van gebruikers is nodig voor het krijgen van een Identification for Advertisers-code, of IDFA, te ontvangen, waarmee ze gebruikers voor advertentiedoeleinden kunnen tracken.
De bedoeling is dat productpagina's van apps ook duidelijk moeten maken welke datatypen apps verzamelen, wat het privacybeleid is en of code van derde partijen voor adverteren gebruikt wordt. Al die informatie moet in het label komen, waarna gebruikers toestemming moeten geven voor de tracking.
Alles bij de bron; Tweakers
Ongeveer alles wat callcentermedewerker Lara deed, hield haar werkgever in de gaten. Was ze aan het bellen, dan werd via de computer bijgehouden hoe lang.
Als ze naar de wc moest, moest ze haar status wijzigen naar 'persoonlijke verzorging'. "Bij alles werd meegekeken", vertelt Lara die tot voor kort in een callcenter werkte van een grote internetverkoper. Vanwege een geheimhoudingsclausule in haar contract noemt ze liever niet bij welk bedrijf het was en om anoniem te blijven zegt ze haar achternaam niet.
Teamleiders spraken medewerkers aan als die in hun ogen te lang aan het praten waren met elkaar. Na een tijdje nam de stress toe en ging ze steeds meer denken in 'targets halen'. Acht uur lang moest er elke zes minuten een berichtje verstuurd worden op de afdeling die de verzoeken via Whatsapp en social media afhandelt. "Ik raakte teleurgesteld in mezelf als ik dat dan niet haalde."
Het bedrif was wel open over de manieren waarop het personeel werd gecontroleerd. Wel heeft ze zichzelf altijd afgevraagd of, naast de berichten die ze naar klanten stuurde, er ook werd meegelezen met de berichten die ze naar directe collega's stuurde. "Ik heb dat nooit durven vragen, dan lijkt het toch of je wat te verbergen hebt."
Alles bij de bron; 1Vandaag [incl. audio]
De criminelen die eind augustus de systemen van de Universiteit van Newcastle met ransomware infecteerden en daarbij ook allerlei data buitmaakten hebben een deel van de gegevens online gezet. Het gaat om privégegevens van zowel medewerkers als studenten, waaronder namen, e-mailadressen, telefoonnummers, adresgegevens en informatie over de gevolgde opleiding.
In eerste instantie liet de universiteit nog weten dat er geen persoonlijke data van studenten was gestolen. Dat blijkt toch het geval te zijn en de aanvallers hebben een deel van de data gepubliceerd, zo melden The Newcastle Tab en de universiteit. Studenten en medewerkers krijgen het advies om alert te zijn op phishingmails die op basis van de gelekte gegevens kunnen worden verstuurd.
Alles bij de bron; Security
De politie heeft een 19-jarige man aangehouden voor het maken en verkopen van phishingpanels aan criminelen, waarmee hij mogelijk 100.000 euro verdiende.
Via een phishingpanel kunnen criminelen phishingsites opzetten en de gegevens zien die slachtoffers op de phishingsites invoeren. Daar kan vervolgens misbruik van worden gemaakt. Het onderzoek naar de tiener duurde bijna een jaar. Politie en het OM waren een nickname van de verdachte in een ander onderzoek naar een phishingbende tegengekomen.
Het cybercrimeteam van de politie eenheid Den Haag kon de man uiteindelijk op 19 oktober aanhouden. Bij zijn aanhouding had de tiener een geladen vuurwapen binnen handbereik. Uit het onderzoek bleek dat hij vermoedelijk al zeker twee jaar actief was en tientallen panels zou hebben verkocht. Er loopt nog een onderzoek naar klanten van de verdachte.
Volgens het Openbaar Ministerie en de politie verlagen phishingpanels de drempel voor criminelen om zich met phishing bezig te houden. "Heb je een panel, een netwerk van ronselaars, cashers en geldezels, dan kun je aan de slag. Met deze vorm van criminaliteit wordt schade aan het vertrouwen in het financiële verkeer toegebracht, en het brengt financiële schade aan slachtoffers en banken toe."
Alles bij de bron; Security