iSharing heeft als gevolg van een IDOR-kwetsbaarheid van miljoenen gebruikers de locatie- en persoonsgegevens gelekt.
IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.
Volgens de makers is iSharing vooral bedoeld voor ouders die willen weten waar hun kinderen zich bevinden. De Androidversie heeft meer dan tien miljoen downloads.
De IDOR-kwetsbaarheid zorgde ervoor dat appgebruikers niet alleen van zichzelf de locatie konden bekijken, of personen die hun toegang hadden gedeeld, maar van iedereen. Naast locatie ging het ook om naam, profielfoto, e-mailadres en telefoonnummer waarmee gebruikers op de app inlogden.
De servers van iSharing bleken niet goed te controleren of een gebruiker wel toegang tot opgevraagde gegevens had. De enige vereiste hiervoor was het opgeven van een gebruikers-ID, dat opeenvolgend lijkt te zijn, aldus onderzoeker Eric Daigle.
Het probleem is afgelopen weekend verholpen, zo meldt TechCrunch.
Alles bij de bron; Security
Streamingdienst Roku heeft de wachtwoorden van 576.000 accounts gereset die gekaapt waren en heeft voor alle accounts tweefactorauthenticatie (2FA) ingeschakeld. Dat heeft het bedrijf gisterenavond bekendgemaakt.
Eerder dit jaar meldde Roku al dat 15.000 accounts door middel van credential stuffing in handen van criminelen waren gekomen. Nadat de aanvallers toegang tot de accounts hadden gekregen probeerden ze streamingabonnementen aan te schaffen. Na ontdekking van de aanval in januari zegt Roku dat het ook een tweede aanval heeft ontdekt, waarbij 576.000 accounts werden gecompromitteerd.
Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.
Roku roept gebruikers op om een uniek wachtwoord voor hun Roku-account aan te maken van minimaal acht karakters. Verder is voor alle tachtig miljoen Roku-accounts 2FA ingeschakeld. Wanneer gebruikers willen inloggen ontvangen ze op hun e-mailaccount een verificatielink waarmee kan worden ingelogd.
Alles bij de bron; Security
Cybercriminelen lijken het steeds vaker gemunt te hebben op overheidsorganisaties. Vorig jaar waren er 183 digitale aanvallen op overheidsinstellingen, terwijl dat er in 2022 nog 58 waren. Dat blijkt uit de Rapportage Datalekken 2023 van de Autoriteit Persoonsgegevens (AP)....
....Ondanks de sterke toename van cyberaanvallen op overheidsinstellingen gebeuren de meeste datalekken buiten de digitale wereld. Persoonsgegevens belanden het vaakst in verkeerde handen als gevolg van verkeerd verstuurde brieven. Van de ruim 25.000 meldingen van datalekken die de AP in 2023 kreeg, ging het in bijna tienduizend gevallen om een verkeerd verstuurde brief. Vooral in de zorgsector komt dit veel voor: bijna zesduizend brieven met persoonlijke informatie belandden bij de verkeerde persoon.
Alles bij de bron; Trouw [Thnx-2-Niek]
Het onderzoek van het CCVT richt zich op het monitoren van openbare buckets op verschillende cloudplatforms, zoals Amazon Web Services, Azure Blob Storage, Digital Ocean Spaces en Google Cloud platform. Door te zoeken naar relevante keywords voor hun klanten op domeinen, merknamen, samenwerkingen, projecten en applicaties, identificeert het CCVT potentieel risicovolle datalekken.
“In de meeste gevallen vinden wij data die ook daadwerkelijk openbaar hoort te zijn, zoals statische web content of afbeeldingen. In dit specifieke geval ontdekte wij een grote hoeveelheid CV’s, inclusief gevoelige, persoonlijke gegevens, zoals namen, adressen, telefoonnummers en werkgeschiedenis”
Door een fout in de configuratie waren deze voor iedereen toegankelijk via /media/forms/upload. “Wij troffen maar liefst 1.969 CV’s aan, verzameld over een periode van 11 februari 2022 tot 23 februari 2024. Ze waren afkomstig van kandidaten verspreid over de hele wereld, waaronder het Verenigd Koninkrijk, Frankrijk, Luxemburg en België.
Het CCVT deed een ‘responsible disclosure’ melding van de kwetsbaarheid bij de betreffende organisatie. Het technologiebedrijf reageerde snel door de public network access in Azure uit te schakelen, waardoor de gelekte persoonsgegevens niet langer toegankelijk waren.
Alles bij de bron; DutchITChannel
Aanvallers maken actief misbruik van een backdoor en een kwetsbaarheid in zeker 92.000 NAS-systemen van fabrikant D-Link. De kwetsbare apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer.
Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Zowel D-Link als securitybedrijven roepen gebruikers op om de NAS-systemen offline te halen.
"We zien vanaf meerdere ip-adressen scans/exploits voor CVE-2024-3273 (kwetsbaarheid in end-of-life D-Link NAS-systemen)", aldus de Shadowserver Foundation. "Aangezien er geen patch voor deze kwetsbaarheid beschikbaar is, moeten deze apparaten worden vervangen/offline gehaald, en minimaal hun remote toegang achter een firewall hebben zitten."
Volgens securitybedrijf GreyNoise worden de aanvallen uitgevoerd door een botnet waarbij wordt geprobeerd om de NAS-systemen met malware te infecteren. GreyNoise roept eigenaren van een kwetsbaar NAS-systeem op om in ieder geval hun UPnP-configuratie te controleren.
Alles bij de bron; Security
De Indiase regering heeft eindelijk een oplossing gevonden voor een jarenlang cyberveiligheidsprobleem, waarbij grote hoeveelheden gevoelige gegevens over haar burgers aan het licht zijn gekomen. Een beveiligingsonderzoeker vertelde dat hij minstens honderden documenten met persoonlijke informatie van burgers – waaronder Aadhaar-nummers, COVID-19-vaccinatiegegevens en paspoortgegevens – online had gevonden waar iedereen toegang toe had.
De schuldige was de clouddienst van de Indiase overheid, genaamd S3WaaS, die wordt aangekondigd als een “veilig en schaalbaar” systeem voor het bouwen en hosten van websites van de Indiase overheid.
Beveiligingsonderzoeker Sourajeet Majumder vertelde dat hij in 2022 een verkeerde configuratie ontdekte waardoor de persoonlijke informatie van burgers die op S3WaaS was opgeslagen, werd blootgesteld aan het open internet. Omdat de privédocumenten onbedoeld openbaar werden gemaakt, indexeerden zoekmachines de documenten ook, waardoor iedereen actief op internet kon zoeken naar de gevoelige gegevens van burgers.
Majumder zei dat, ondanks herhaalde waarschuwingen over de datalekken, de clouddienst van de Indiase overheid vorige week nog steeds de persoonlijke informatie van sommige individuen openbaarde. Majumder zei dat gevoelige gegevens van sommige burgers online terechtkwamen lang nadat hij de verkeerde configuratie in 2022 voor het eerst had onthuld.
De blootgestelde gegevens, aldus Majumder, brengen burgers mogelijk het risico op identiteitsdiefstal en oplichting. “Meer nog, wanneer gevoelige gezondheidsinformatie zoals COVID-testresultaten en vaccingegevens naar buiten komt, is het niet alleen onze medische privacy die in gevaar komt – het wekt de angst voor discriminatie en sociale afwijzing”, zei hij.
Majumder merkte op dat dit incident een “wake-up call voor veiligheidshervormingen” zou moeten zijn.
Alles bij de bron; TechCrunch [googliaans vertaald]
Facebook heeft in het geheim Snapchat-gebruikers afgeluisterd die de vpn-tool Onavo van Facebook gebruikten. Dat blijkt uit documenten die als onderdeel van een rechtszaak tegen Meta openbaar zijn geworden. Facebook wilde via 'Project Ghostbusters' het gedrag van Snapchat-gebruikers analyseren, om zo een competitief voordeel te krijgen.
Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst.
In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Vervolgens werden de gegevens gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek, zo werd vorig jaar duidelijk, toen Meta in Australië een boete van 20 miljoen dollar kreeg voor het misleiden van gebruikers van de Onavo Protect vpn-app.
Volgens de nu openbaar geworden documenten kon Facebook via de vpn-app uitgebreid analyseren hoe gebruikers Snapchat gebruikten. Het programma zou later ook zijn uitgebreid naar Amazon en YouTube.
Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren.
Alles bij de bron; Security
De Duitse overheid heeft een waarschuwing gegeven voor 17.000 Microsoft Exchange-servers in het land die één of meerdere kritieke kwetsbaarheden bevatten en daardoor risico lopen om te worden aangevallen. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, roept beheerders en organisaties dan ook op om in actie te komen.
Volgens het BSI blijkt uit onderzoek dat Duitsland 45.000 Exchange-servers telt die via Outlook Web Access (OWA) toegankelijk zijn. Daarvan is 37 procent kwetsbaar, aldus het BSI.
Voor 48 procent van de Exchange-servers bij onze Oosterburen kon het BSI niet duidelijk vaststellen of ze nog kwetsbaar zijn. Vanwege de situatie heeft de overheidsinstantie dreigingsniveau 'oranje' afgegeven. Exchange-beheerders worden dan ook opgeroepen om geregeld te controleren of hun servers nog wel up-to-date zijn. Tevens wordt aangeraden om webdiensten van Exchange-servers, zoals Outlook Web Access, niet direct vanaf het internet toegankelijk te maken maar achter een vpn te plaatsen.
Alles bij de bron; Security
Het Duitse ministerie voor Digitalisering en Transport heeft een wetsvoorstel geïntroduceerd dat end-to-end encryptie voor chatdiensten, cloudaanbieders en e-mailproviders in de toekomst verplicht. Het 'recht op encryptie' voorstel is een aanvulling op de Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) en geldt voor communicatiediensten zoals WhatsApp en Signal, maar ook voor e-maildiensten en cloudproviders waar gebruikers data kunnen opslaan (pdf).
Gebruikers moeten straks 'waar het technisch mogelijk is' end-to-end encryptie kunnen gebruiken. "Hoewel end-to-end encryptie nu de industriestandaard is, maken individuele chatdiensten geen gebruik van end-to-end encryptie of gebruiken het alleen voor bepaalde functies, wat niet door technische beperkingen is te rechtvaardigen." Het gaat dan bijvoorbeeld om Telegram dat geen end-to-end encryptie voor groepschats biedt.
Advocaat Dennis-Kenji Kipker van de Universiteit van Bremen merkt op dat het voorstel vooral gaat over technische maatregelen die gebruikers zelf moeten uitvoeren. Versleutelde e-maildienst Tuta is blij met het wetsvoorstel.
Netzpolitik.org meldt dat nog onduidelijk is of het wetsvoorstel daadwerkelijk een wet wordt en denkt dat de Duitse minister van Binnenlandse Zaken roet in het eten kan gooien. Zij pleitte eerder nog voor een verbod van Telegram.
Alles bij de bron; Security
Nederland loopt voorop in Europa qua bescherming van persoonlijke informatie op internet. Dat blijkt uit onderzoek van statistiekbureau CBS naar het ICT-gebruik van inwoners van Nederland. In 2021 zei 82 procent van de bevolking maatregelen te treffen om hun online gegevens te beschermen. Twee jaar later was dat percentage gestegen naar 89 procent.
In die twee jaar zijn Nederlanders volgens het CBS voorzichtiger geworden met het online publiceren van persoonlijke informatie. Zo'n 78 procent van de mensen ouder dan twaalf jaar heeft de toegang tot locatiegegevens beperkt of geweigerd. In 2021 was dat nog 70 procent.
Daarnaast beperkt meer dan 70 procent de toegang tot profielgegevens op sociale media. Dat was in 2021 nog 55 procent.
Het onderzoek wordt in heel Europa uitgevoerd. Daaruit blijkt dat Nederland koploper is als het gaat over de bescherming van online gegevens. In totaal is 92 procent van de Nederlanders onder de 75 jaar daar bewust mee bezig.
Na Nederland volgen Finland (91 procent), Ierland (82 procent), Tsjechië (82 procent) en Denemarken (81 procent).
Alles bij de bron; NU