Cybercrime
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bij een ransomware-aanval op de Belgische gemeente Maldegem zijn de persoonsgegevens van twaalfduizend mensen gestolen die bijstand ontvangen of ontvingen. Ook werden bestanden op het gemeentenetwerk versleuteld. De aanvallers eisten 200.000 euro losgeld, dat de gemeente niet heeft betaald. De gestolen persoonsgegevens zijn inmiddels door de aanvallers online gezet.
"De hackers hebben de database van het vroegere OCMW bemachtigd. Dat is vervelend want het gaat over kwetsbare mensen en een kwetsbare doelgroep", zegt waarnemend directeur van de gemeente Maldegem Koen Cromheecke. Volgens Cromheecke zijn er geen mensen in gevaar. "We kunnen niet zeggen hoe je aan de gegevens geraakt, want dat zou het voor die mensen nog erger maken. Je moet al deskundige zijn en specifieke computerprogramma's hebben om aan de gegevens te geraken."
De gestolen data werd onlangs online gezet. "Pas nu hebben we een zicht op de omvang van de diefstal. Omdat het over zoveel mensen gaat, is het onmogelijk om ze individueel te benaderen. We hebben wel een callcenter op poten gezet dat iedereen met vragen kan helpen. Zij houden sowieso een identiteitscontrole, zodat niemand met de gegevens van iemand anders kan gaan lopen", laat Cromheecke verder weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Criminelen hebben toegang gehad tot de telefoonnummers van 1900 Signal-gebruikers. Van een deel van deze gebruikers is ook de sms-verificatiecode ingezien. Bij zeker één gebruiker is het account daardoor overgenomen.
Aanvallers kregen op 4 augustus toegang tot Twilio's klantenserviceconsole. Twilio verzorgt telefoonnummerverificatiediensten aan Signal, waardoor de aanvallers ook toegang hadden tot Signal-gegevens. De criminelen konden de gegevens van ongeveer 1900 gebruikers inzien. Daarbij konden ze alleen telefoonnummers van gebruikers zien en van een deel ook de sms-verificatiecode.
De criminelen zochten bij hun aanval naar de telefoonnummers van drie specifieke gebruikers. Van een van deze gebruikers is het account daadwerkelijk geregistreerd naar een nieuw apparaat.
Het account van deze gebruiker is dus overgenomen, maar Signal benadrukt dat bij deze gebruiker en bij andere gebruikers gesprekken, profielinformatie en contactlijsten niet zijn ingezien. Daarvoor is de Signal PIN vereist, een pincode die niet was gestolen bij deze aanval. De criminelen konden wel berichten sturen en ontvangen met dat Signal-account.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Australische man die wordt verdacht van betrokkenheid bij een grootschalige sms-phishingaanval is onder andere aangeklaagd voor het niet verstrekken van zijn encryptie-wachtwoord dat toegang tot zijn versleutelde computer geeft. Iets waarop een maximale gevangenisstraf van tien staat jaar. Dat laat de Australische politie weten.
Volgens de Australische politie werden de sms-berichten via een simbox verstuurd die vanuit de woning van de dertigjarige man en andere locaties werd bediend. Een simbox is een apparaat dat honderden simkaarten kan bevatten en honderdduizenden sms-berichten per dag kan versturen.
Bij een doorzoeking van de woning van de 30-jarige man werd 20.000 dollar in beslag genomen, alsmede opslagapparaten met meer dan vijfhonderd frauduleuze identiteitsdocumenten met namen van meerdere slachtoffers.
De Australische politie laat in de aankondiging van de aanhouding weten dat er ook meerdere telefoons en een versleutelde desktopcomputer in beslag zijn genomen. De man is voor zeven misdrijven aangeklaagd, waaronder het niet geven van zijn wachtwoord om toegang tot het versleutelde systeem te krijgen. De Australische autoriteiten kunnen een verdachte bevelen om zijn encryptiesleutels of wachtwoord af te staan. Op het niet verstrekken van de inloggegevens staat een maximale gevangenisstraf van tien jaar.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Britse zorg is flink gemankeerd door een cyberaanval waardoor naar verwachting nog meer dan 3 weken sprake zal zijn van uitval. Het gaat onder meer om het uitschrijven van noodrecepten, het uitsturen van ambulances en toegang tot patiëntendossiers bij de National Health Service (NHS). Aanleiding is een ransomware-aanval op een softwareleverancier van de NHS.
Het getroffen bedrijf is Advanced. Het bedrijf meldt op zijn site dat het op 4 augustus een verstoring van zijn systemen had en dat dat het gevolg was van een cyberaanval met ransomware...
...In zijn FAQ over de aanval legt Advanced nog uit waarom het zo lang gaat duren om de normale dienstverlening te herstellen. Geraakte systemen worden door het bedrijf opnieuw opgebouwd en hersteld in een gescheiden en veilige omgeving, "Om alle klanten te helpen vertrouwen te hebben in het opnieuw verbinden met onze producten zodra de service is hersteld, hebben we een gedefinieerd proces geïmplementeerd waardoor alle omgevingen systematisch worden gecontroleerd voordat ze veilig weer online worden gebracht."
Dat proces omvat de implementatie van aanvullende blokkeerregels, het verder beperken van privileged accounts voor hogere stafmedewerkers, het scannen van alle geraakte systemen en het zeker stellen dat die volledig zijn gepatched, het resetten van inloggegevens (credentials), het uitrollen van aanvullende software-agents voor endpoint detection & response en het uitvoeren van 24/7 monitoring.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Aanvallers zijn erin geslaagd om bij een grootschalige aanval meer dan duizend Zimbra-mailservers van een backdoor te voorzien. De getroffen Zimbra-mailservers zijn onder andere van overheden, ministeries, legeronderdelen en multinationals.
Begin dit jaar kwam Zimbra met een beveiligingsupdate voor een path traversal-kwetsbaarheid (CVE-2022-27925). Via een malafide zip-bestand is het mogelijk om willekeurige bestanden op het systeem te overschrijven.
In eerste instantie werd gemeld dat het beveiligingslek alleen is te misbruiken wanneer aanvallers over de inloggegevens van de beheerder beschikken. Bij onderzoek naar gecompromitteerde servers bleek dat de kwetsbaarheid ook door een ongeauthenticeerde aanvaller is te misbruiken, wat de kans op misbruik vele malen groter maakt.
Verder onderzoek wees uit dat aanvallers op grote schaal misbruik maakten van het lek om webshells op kwetsbare servers te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren.
Zimbra kwam eind juli met een update voor het lek (CVE-2022-37042) dat het mogelijk maakt om de authenticatie te omzeilen. De Zimbra-software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
In Microsoft Exchange Server zitten drie kritieke kwetsbaarheden waardoor een aanvaller de mailboxes van alle gebruikers op de server kan overnemen.
Vervolgens is het mogelijk om e-mails vanuit de mailboxes te versturen of te lezen en bijlagen te downloaden. Microsoft heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De drie beveiligingslekken (CVE-2022-21980, CVE-2022- 24516 en CVE-2022-24477) vallen in de categorie "Elevation of Privilege" (EoP).
Via dergelijke kwetsbaarheden kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.0 en Microsoft verwacht dat aanvallers er zeer waarschijnlijk misbruik van zullen maken bij aanvallen op organisaties.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Aanvallers zijn er via een phishingaanval in geslaagd om gebruikersnamen en wachtwoorden van medewerkers van Cloudflare te stelen en probeerden hiermee vervolgens op systemen van het internetbedrijf in te loggen.
Net als bij de aanval op Twilio eerder werd er bij de aanval op Cloudflare gebruikgemaakt van sms-berichten. De berichten linkten naar een phishingsite. Drie medewerkers van Cloudflare vulden daar hun inloggegevens in. Met de verkregen gegevens werd geprobeerd om op systemen va Cloudflare in te loggen.
Aangezien de aanvallers niet over de vereiste fysieke beveiligingssleutel beschikten kregen ze geen toegang, aldus Cloudflare.
De phishingwebsite in kwestie was niet alleen opgezet om inloggegevens van personeel te stelen, maar probeerde ook de remote administration software AnyDesk geïnstalleerd te krijgen. Daarmee hadden de aanvallers systemen van de betreffende medewerkers op afstand kunnen overnemen, maar dat is niet het geval geweest, zo laat Cloudflare verder weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Cloudcommunicatieplatform Twilio waarschuwt klanten dat een aanvaller toegang tot hun gegevens heeft gekregen nadat personeel in een phishingbericht trapte. Het malafide bericht leek van de it-afdeling afkomstig, zo laat het bedrijf in een blogposting weten.
Meerdere werknemers trapten in de phishingaanval en vulden hun inloggegevens op de phishingsite in. Twilio noemt geen exact aantal. Met de ingevulde inloggegevens kreeg de aanvaller toegang tot interne systemen van het bedrijf en kon zo gegevens van klanten opvragen. Hoeveel klanten slachtoffer van het datalek zijn geworden laat Twilio niet weten. Ook meldt het bedrijf niet tot wat voor soort klantgegevens er toegang is verkregen en wat de gevolgen hiervan zijn.
Twilio biedt een platform voor telefonie, het versturen en ontvangen sms-berichten en andere communicatiefuncties. Het bedrijf telt 256.000 actieve klanten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Ista, een Duitse energiemetingsbedrijf, is specialist in het meten en afrekenen van het energieverbruik in gebouwen met een gezamenlijke energie-installatie. Het bedrijf heeft 5800 medewerkers en is actief in 22 landen. De producten en diensten zijn digitaal. Zo beheert de onderneming zestig miljoen apparaten en leest de gegevens op afstand af.
Eind juli zijn de systemen van Ista getroffen door een externe cyberaanval. Om schade te voorkomen, zijn alle mogelijk getroffen it-systemen direct offline gehaald. Een expertgroep van interne en externe specialisten onderzoekt wat er is gebeurd en hoe dat in de toekomst is te voorkomen. Ista grijpt de gelegenheid aan om zijn security te verbeteren.
Het is niet bekend hoe groot de schade is. In verband met de lopende onderzoeken, kan Ista verder niet veel kwijt over het voorval.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een groot tandartsbedrijf met meer dan 130 tandartspraktijken in België en Nederland is getroffen door een cyberaanval. Daardoor zijn sinds donderdag zo'n 120 tandartspraktijken in Nederland noodgedwongen gesloten.
Wat er precies gebeurd is, is niet bekendgemaakt. Het bedrijf spreekt alleen van een 'cyberincident'. Dave Maasland van ESET Nederland zegt dat de aanval alle kenmerken van een ransomware-aanval in zich heeft, al sluit hij andere aanvallen niet helemaal uit. Zo stelt een anonieme bron van de nieuwssite dat het personeel geen toegang heeft tot de patiënthistorie van klanten.
Naar verwachting kunnen de praktijken volgende week mondjesmaat weer open. Ook wordt er met externe partijen onderzoek gedaan naar het incident. Of er patiëntgegevens zijn buitgemaakt, wil het bedrijf niet delen.
Alles bij de bron; AGConnect