Het Amerikaanse ministerie van Defensie heeft vorig jaar via een onbeveiligde cloud-mailserver de gegevens van 20.000 personen gelekt, die het hier nu voor waarschuwt. De onbeveiligde server werd gehost op Microsofts Azure-cloud voor Amerikaanse Defensieklanten. Servers van deze cloudomgeving zijn fysiek gescheiden van de servers van andere commerciële klanten en zijn zo te gebruiken voor het delen van gevoelige, maar niet geclassificeerde overheidsdata.
Door een misconfiguratie was de server begin 2023 bijna drie weken lang zonder wachtwoord voor iedereen op internet toegankelijk. De enige vereiste was het kennen van het ip-adres. In totaal bleek op de mailserver zo'n drie terabyte aan militaire e-mails te staan, voornamelijk van het U.S. Special Operations Command. Een eenheid van het Amerikaanse leger dat zich bezighoudt met speciale militaire operaties.
Alles bij de bron; Security
Slimme fiets- en skihelmen van fabrikant Livall lekken de real-time locatiegegevens van gebruikers en maken het mogelijk om hen af te luisteren. Dat blijkt uit onderzoek van securitybedrijf Pen Test Partners.
De helmen zijn voorzien van een bluetooth-speaker en microfoon en kunnen via de bijbehorende app de locatie doorgeven. Via de app is het mogelijk om een groep aan te maken waarin de locatie van deelnemers wordt getoond en het mogelijk is om gesprekken te voeren. Deelname aan een groep bestaat uit een zescijferige code.
Pen Test Partners ontdekte dat het eenvoudig is om alle mogelijke cijfercombinaties via een bruteforce-aanval te proberen en zo toegang tot willekeurige groepen te krijgen. Gebruikers worden namelijk niet geïnformeerd wanneer iemand aan een groep wordt toegevoegd. De enige manier waardoor een malafide gebruiker kon worden gedetecteerd was wanneer een legitieme gebruiker het aantal groepsdeelnemers controleerde.
Livall werd op 7 januari over het probleem ingelicht, maar Pen Test Partners stelt dat de communicatie daarna stokte. Pas nadat de onderzoekers naar de media stapten en die het bedrijf benaderden, maakte Livall begin deze maand bekend dat het nu gebruikmaakt van codes bestaande uit zes alfanumerieke tekens, wat een bruteforce-aanval stukken lastiger maakt. Gebruikers moeten hiervoor wel hun app updaten.
Alles bij de bron; Security
Rechercheurs van het Team Internationale Misdrijven (TIM) van de politie hebben onlangs meegewerkt aan het achterhalen van de verblijfplaatsen van vermiste Oekraïense kinderen.
Bij de osint-hackathon, waaraan behalve TIM en Europol, drieëntwintig verschillende politiediensten en zes non-gouvernementele organisaties deelnamen, werden de verblijfplaatsen van acht kinderen gevonden.
Er werd gezocht in openbronnen naar informatie over de locaties van de vermiste kinderen, waarbij veelvuldig aan ‘geolocating’ werd gedaan. Alle gevonden informatie is aan Oekraïense autoriteiten overgedragen. Rechercheurs daar zullen de bevindingen verder analyseren en gebruiken binnen de relevante strafrechtelijke procedure.
Alles bij de bron; CopsInCyberspace
ExpressVPN heeft tijdelijk split tunneling uitgeschakeld. Door een bug werden dns-verzoeken met die functie in sommige gevallen niet naar de servers van ExpressVPN gestuurd, maar naar die van derden. De functie komt later weer beschikbaar.
De bug zit volgens ExpressVPN in versie 12 van zijn Windows-app, specifiek in versies 12.23.1 tot 12.72.0. De dienst heeft split tunneling nu uitgeschakeld in zijn recentste Windows-versie. De feature moet opnieuw worden geïntroduceerd zodra de bug is opgelost. Versie 10 van de Windows-app behoudt split tunneling.
Alles bij de bron; Tweakers
Code rood, want het Nederlandse internet kan zijn eigen broek niet meer ophouden. Dat vindt althans een groep experts die alarm slaat wegens een plan om het nationale registratiesysteem voor domeinnamen onder te brengen bij AWS, de clouddienst van de Amerikaanse internetreus Amazon.
De Tweede Kamer wil ook weten wat er aan de hand is. Raakt Nederland zijn digitale autonomie kwijt?
Er zijn 6,3 miljoen .nl-domeinen en de partij die ze bijhoudt, is de Stichting Internet Domeinregistratie Nederland, kortweg SIDN. Het belangrijke domeinnaamsysteem (DNS) draait op servers wereldwijd bij een externe datacenterpartij. Daarnaast staat in twee datacenters in Ede en Arnhem het registratiesysteem waar je websites kunt aanvragen, via een domeinverkoper. DRS, heet dit systeem. Dat is de afkorting die de alarmbellen deed rinkelen.
Eind januari kondigde SIDN aan dat het DRS-systeem in 2025 verhuist naar de AWS-cloud. Beheer en onderhoud van de eigen software wordt te duur en te complex. De boel veroudert en dat geldt ook voor de medewerkers die er nog verstand van hebben.
SIDN wil samenwerken met Canadese collega’s die al modernere registratiesoftware ontwikkelden. Ze bundelen hun krachten en het gezamenlijke resultaat stallen ze in de cloud. Dat registratiepakket willen ze aanbieden als dienst aan andere landen die ook tegen de upgrade aanhikken.
Het is een te commerciële aanpak voor een stichting zonder winstoogmerk, vinden critici als internetgoeroe Bert Hubert en Corinne Cath, internetonderzoeker aan de TU Delft. Andere bezwaren: door op andermans fundamenten te bouwen, verliest Nederland fundamentele kennis van de eigen infrastructuur. Je loopt ook het risico dat de software wordt ‘opgesloten’ of niet snel verplaatsbaar is als zich geopolitieke strubbelingen voordoen. Je weet het maar nooit, met Trump II. Misschien zou de Amerikaanse overheid wel kunnen meegluren in privégegevens.
De angst dat een storing bij Amazon in één keer alle Nederlandse websites platlegt, lijkt onterecht. Want het daadwerkelijke domeinnaamsysteem (DNS) draait door zoals altijd. Het is in Nederland nog nooit uitgevallen.
Alles bij de bron; NRC [inloggen noodzakelijk]
Fortinet waarschuwt organisaties voor een nieuwe kritieke kwetsbaarheid in FortiOS, wat mogelijk al misbruikt wordt.
FortiOS is het besturingssysteem dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. Een nieuwe kwetsbaarheid aangeduid als CVE-2024-21762 maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen.
De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.
Naast het installeren van de beschikbaar gestelde update kunnen organisaties als workaround ook de SSL VPN-functionaliteit in FortiOS uitschakelen. Het Australische Cyber Security Centre (ACSC) adviseert zowel het installeren van de update als het uitschakelen van de VPN-functie.
Alles bij de bron; Security
De Franse betalingsverwerkers Viamedis en Almerys hebben de gegevens van 33 miljoen mensen gelekt, zo meldt de Franse privacytoezichthouder CNIL. Het gaat onder andere om naam, burgerservicenummer, geboortedatum, naam van zorgverzekeraar en details van de verzekering.
De gegevens van de 33 miljoen slachtoffers werden eind januari bij een aanval gestolen.
De Franse privacytoezichthouder laat weten dat het een onderzoek is gestart en roept gedupeerden op om alert te zijn op spam en phishing. Details over de aanval, zoals hoe die precies kon plaatsvinden, zijn niet openbaar gemaakt.
Alles bij de bron; Security
China heeft een computersysteem van de Nederlandse krijgsmacht geïnfecteerd met geavanceerde spionagesoftware, meldt de MIVD dinsdag. Volgens de inlichtingendienst ging het om een 'losstaand computernetwerk' met minder dan vijftig gebruikers.
De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft een technisch rapport over de werkwijze van de Chinese staatshackers gepubliceerd op de website van het Nationaal Cyber Security Centrum (NCSC). Dat gebeurt voor het eerst.
Het gaat om malware waarmee systemen van het bedrijf Fortinet aangevallen kunnen worden. Met dit systeem kunnen computergebruikers veilig en beschermd op afstand werken. Volgens de MIVD maakten de Chinezen gebruik van een bekende kwetsbaarheid in FortiGate-apparaten van Fortinet.
De MIVD waarschuwt al jaren voor spionage door China. "Het is belangrijk om dergelijke spionageactiviteiten aan China toe te wijzen. Zo verhogen we de internationale weerbaarheid tegen dit soort cyberspionage", zegt demissionair minister Kajsa Ollongren van Defensie.
Alles bij de bron; NU
Singapore zegt dat het persoonlijke gegevens heeft verwijderd die zijn verzameld door zijn COVID-19 systemen voor het traceren van contacten, met uitzondering van informatie met betrekking tot een moordzaak, die voor onbepaalde tijd zal worden bewaard.
De stap komt een jaar nadat het land afgelopen februari plannen aankondigde om de traceringssystemen uit te schakelen, nadat de reisbeperkingen werden versoepeld toen de wereldwijde pandemie stabiliseerde. Er werden ook inspanningen geleverd om miljoenen Bluetooth wearables terug te vinden, die in het hele land werden verspreid om de nabijheid van gebruikers te detecteren en te monitoren, zodat deze apparaten konden worden opgeknapt en gerecycled voor toekomstig gebruik indien nodig.
De TraceTogether en SafeEntry systemen werken nu niet meer en alle COVID-gerelateerde persoonlijke gegevens die van de twee platforms zijn verzameld, zijn verwijderd, bevestigde de Smart Nation Group, een overheidsinstantie die valt onder het kabinet van de premier en wordt beheerd door het ministerie van Communicatie en Informatie.
De registratiegegevens van gebruikers, die werden bewaard om een snelle uitrol en registratie voor beide systemen mogelijk te maken, mocht er een nieuwe variant komen, zijn ook gewist.
In februari 2021 nam Singapore nieuwe wetgeving aan waarin de reikwijdte van de toegang van de lokale politie tot COVID-19 gegevens voor het traceren van contacten werd vastgelegd. Dit kwam enkele weken nadat bekend werd dat de politie toegang had tot de TraceTogether-gegevens voor het traceren van contacten voor strafrechtelijk onderzoek, wat in tegenspraak was met eerdere beweringen dat deze informatie alleen zou worden gebruikt als de persoon positief testte op het coronavirus.
De backend-infrastructuren voor de TraceTogether- en SafeEntry-systemen zijn ook ontmanteld en de websites aan de voorkant zijn gesloten. Daarnaast zijn de mobiele apps voor TraceTogether en SafeEntry Business verwijderd uit de officiële app stores.
De TraceTogether app gegevens werden vastgelegd, versleuteld en 21 dagen lang lokaal opgeslagen op de telefoon van de gebruiker en, indien nodig voor het opsporen van contacten, geüpload naar het Ministerie van Volksgezondheid voor controle.
SafeEntry werd gebruikt als een digitaal inchecksysteem dat gegevens verzamelde om het traceren van contacten te vergemakkelijken van personen en de locaties die ze bezochten toen ze positief testten op COVID. Bij de in- en uitgang van locaties, zoals supermarkten en winkelcentra, werden QR-codes weergegeven die bezoekers moesten scannen om vervolgens hun naam, nationale identificatienummer en mobiele nummer in te voeren.
Op het hoogtepunt werd TraceTogether door meer dan 90% van de lokale bevolking gebruikt.
Bron; ZDNet [Vertaald met DeepL.com]
De Autoriteit Persoonsgegevens (AP) gaat dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het plaatsen van trackingcookies of gebruik van andere trackingsoftware.
"Met volgsoftware of tracking cookies kunnen organisaties meekijken naar jouw internetgedrag. Dat mag niet zomaar, want wat je op internet doet is heel persoonlijk. Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt", zegt AP-voorzitter Aleid Wolfsen.
Volgens de toezichthouder blijkt uit de praktijk dat organisaties geregeld misleidende cookiebanners gebruiken, waarop bijvoorbeeld bepaalde knoppen zijn verborgen en vinkjes voor ‘accepteren’ automatisch aan staan. Of door impliciet uit te gaan van toestemming als de bezoeker verder gaat naar de website.
Alles bij de bron; Security