Internet en Telecom

De details zijn elke keer weer anders, maar onderzoekers en hackers treffen regelmatig gevoelige data aan in databases die onbeveiligd en openbaar zijn. Hoe kan dat eigenlijk? Waarom zijn er zoveel databases zo gemakkelijk in te zien?

Dat een server of database openbaar is, betekent eigenlijk alleen: deze is in te zien vanaf het open internet waar iedereen bij kan als je het adres hebt en de juiste inloggegevens.

Heeft een bedrijf geen wachtwoord of andere inlogbeveiliging toegevoegd? Dan spreken we van een onbeveiligde database. Een onbeveiligde database hoeft niet eens gehackt te worden, de gelukkige vinder loopt zo naar binnen... ...Het vinden van openbare databases is niet zo ingewikkeld als het lijkt. Er zijn zelfs gespecialiseerde zoekmachines die bepaalde databases voor je kunnen doorzoeken...

De FBI heeft overigens een creatieve nieuwe manier bedacht om misbruik van databases tegen te gaan: de federale politiedienst adviseert bedrijven om nepdata op de servers te plaatsen. De bedoeling? Hackers verwarren, aldus Ars Technica.

Dit soort technieken zullen de komende tijd alleen nog maar belangrijker worden. Het aantal datalekken nam in de eerste drie kwartalen van 2019 met 33 procent toe ten opzichte van dezelfde periode in het jaar ervoor, blijkt uit onderzoek van Risk Based Security. Van de 7,9 miljard stuks data die gestolen werden, was circa 6 miljard te wijten aan "slecht ingestelde databases, backups en diensten".

Alles bij de bron; NU

De Android-versie van de Twitter-app heeft een kwetsbaarheid waardoor willekeurige telefoonnummers geüpload kunnen worden, waarna ze door de dienst gematcht worden met gebruikers. Wie genoeg nummers invoert, krijgt vanzelf de nummers van belangrijke personen.

Securityresearcher Ibrahim Blaic probeerde aanvankelijk een sequentiële set nummers te uploaden bij Twitter, maar daar was het systeem al op voorbereid. Een randomized set van twee miljard gegenereerde telefoonnummers kreeg hij er echter wel doorheen. Het resultaat was 17 miljoen matches tussen telefoonnummer en Twitter-account. Balic zou de kwetsbaarheid niet gemeld hebben aan Twitter en de onderzoeker's Twitter-account is intussen geschorst.

In een reactie tegenover TechCrunch zegt Twitter dat het "werkt om ervoor te zorgen dat deze bug niet opnieuw uitgebuit kan worden". Dat was op Kerstavond, dus het lijkt erop dat de bug nog steeds aanwezig is. Het is nog de vraag hoe Twitter dit precies oplost, aangezien niet aan te tonen is of een telefoonnummer echt is of uit de lucht gegrepen is door een kwaadwillende.

Alles bij de bron; Tweakers

Een man uit Almere is veroordeeld tot twee jaar cel wegens het stelen en delen van foto’s van bekende Nederlandse vrouwen, zoals hockeyster Fatima Moreira de Melo. Ook moet hij bijna 6.000 euro aan immateriële schade vergoeden. Hij kwam aan de foto’s door iCloud-accounts te hacken.

Bij een huiszoeking trof de politie 30.000 privé-beelden van vrouwen aan op computers en telefoons van de man. De rechtbank vond twee jaar cel een passende straf voor het veelvuldig, op grote schaal en gedurende meerdere jaren hacken van privé-accounts. De rechter noemde het een geraffineerde en planmatige aanpak, die een grove inbreuk maakte op de privacy van de slachtoffers. 

Alles bij de bron; BeveilNieuws

Bij een inbraak op de website van de Oost-Vlaamse politieschool zijn de persoonlijke gegevens van Belgische politieagenten en rechters gestolen. Het gaat om namen, adresgegevens, telefoonnummers en in aantal gevallen ook bankrekeningnummers van vijftig rechters, driehonderd politieagenten en honderdvijftig leerling-agenten. Hoe de aanvallers op de website konden inbreken is onbekend. De ­politieschool laat de website door een externe firma beheren.

De inbraak vond al begin dit jaar plaats. "Maar omdat de hackers geen sporen nalieten, hadden we dat pas veel later door en konden we pas dan de politie inlichten", zegt Paul Schelleman, verantwoordelijke voor de gegevensbescherming bij de provincie Oost-Vlaanderen. Zo'n vijftig van de personen hebben sindsdien een phishing-sms ontvangen.

Alles bij de bron; Security

Veel smartphones, maar ook andere slimme apparaten, raken al snel verouderd omdat de fabrikant maar korte tijd updates levert. Terwijl de hardware van het apparaat nog probleemloos functioneert, is de gebruiker min of meer verplicht een nieuw toestel aan te schaffen als hij het veilig wil blijven gebruiken. Want ook geconstateerde en onder hackers bekende veiligheidslekken worden niet meer gerepareerd. 

Om consumenten beter te beschermen nam Nederland het initiatief voor Europese regelgeving die leveranciers gaat verplichten om gedurende een redelijke termijn ervoor te zorgen dat elk apparaat up-to-date en veilig te gebruiken blijft. Leveranciers worden niet verplicht om updates met nieuwe functionaliteit te leveren. Wel moet een apparaat minimaal blijven functioneren op hetzelfde niveau als ten tijde van de aankoop. Dat houdt onder andere in dat veiligheidslekken gerepareerd moeten worden.

Het is nog niet bekend hoe lang leveranciers verplicht worden om geleverde apparaten up-to-date te houden. In het wetsvoorstel wordt gesproken over een periode ‘die de consument redelijkerwijs kan verwachten’. 

Alles bij de bron; BeveilNieuws

E-mailadressen en wachtwoorden van duizenden gebruikers van de slimme Ring-deurbel zijn uitgelekt. Daarmee is het mogelijk om mee te kijken met wie er voor de voordeur van een gebruikers staat. 

Naast de wachtwoorden en gebruikersnamen zijn ook tijdzones te vinden, en de namen die gebruikers aan de camera's geven. Dat zijn over het algemeen namen van locaties waar de bel hangt, zoals 'voordeur' of 'oprit'.

In een reactie aan Buzzfeed schrijft Ring dat het geen last heeft gehad van een datalek. Ring zegt dat dat gebeurde door credential stuffing, de data zouden bij elkaar verzameld zijn uit databases van andere gehackte websites. Met de data kan een aanvaller live meekijken met de camera's die in de bellen zitten. Ring raadt gebruikers aan hun wachtwoord te wijzigen en tweestapsverificatie in te stellen.

Ring ligt de laatste tijd regelmatig onder vuur. Onlangs schreef Motherboard dat hackers live meekeken met camera's en daar zelfs een podcast over maakten, maar het bedrijf werkt ook samen met Amerikaanse politiediensten die opnames van de bel onbeperkt mogen bewaren. De politie kon daar tot kort geleden ook gebruikmaken van een controversiële heatmap om te zien waar de camera's hingen. Ook in Nederland wordt de bel gebruikt; verschillende Nederlandse gemeenten delen gratis Ring-deurbellen uit aan burgers om de veiligheid op straat te vergroten.

Alles bij de bron; Tweakers

Een groep van drie tot vijftig mensen toegang geven tot alle foto's op je telefoon lijkt misschien niet het beste idee en, zo blijkt, dat is het ook niet. Het spel Photo Roulette, gratis te downloaden voor iPhone en Android, selecteert een foto van een van de deelnemers uit de fotobibliotheek en toont deze aan de hele groep, waarna iedereen moet raden van wie deze foto is.

Bij de hack van het woordspel Words With Friends in september dit jaar zijn 170 miljoen unieke gebruikers getroffen, stelt website Have I Been Pwned donderdag. Het ging hierbij om e-mailadressen, gebruikersnamen en wachtwoorden die onveilig waren opgeslagen. Bij sommige gebruikers zijn ook telefoonnummers en gelinkte Facebook-accounts uitgelekt, mits gebruikers die informatie aan Zynga hadden gegeven...

...Naast de hack op Words With Friends zei de hacker in september ook in het bezit te zijn van data van andere spellen van Zynga, waaronder Draw Something en het stopgezette spel OMGPOP. Het gaat hier volgens de hacker om onversleutelde wachtwoorden van meer dan zeven miljoen gebruikers.

Zynga gaf op 12 september toe mogelijk gehackt te zijn, maar sprak niet over welke data gestolen zijn. Ook meldden ze toen niet om hoeveel accounts het zou gaan.

Alles bij de bron; NU