Op internet zijn wachtwoorden en gebruikersnamen voor 87.000 Fortigate vpn-servers gelekt, zo waarschuwt securitybedrijf Fortinet. De inloggegevens konden worden gestolen door middel van een kwetsbaarheid waarvoor op 24 mei 2019 een beveiligingsupdate verscheen. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8.
Door middel van path traversal kan een ongeauthenticeerde aanvaller systeembestanden downloaden. Op deze manier kan een aanvaller de inloggegevens van ingelogde vpn-gebruikers bemachtigen. Exploits die misbruik van het beveiligingslek maken zijn al bijna twee jaar beschikbaar.
Desondanks zijn er nog altijd ongepatchte Fortigate-servers op internet te vinden. De aanvaller die de wachtwoordenlijst online plaatste kon via het beveiligingslek de inloggegevens van een groot aantal vpn-accounts bemachtigen. Hoewel de servers in kwestie inmiddels gepatcht zijn, blijven ze kwetsbaar als gestolen wachtwoorden niet zijn gewijzigd, aldus Fortinet. Het securitybedrijf herhaalt het advies dat organisaties die kwetsbare versies draaien ook als onderdeel van de upgrade een wachtwoordreset van alle accounts moeten uitvoeren.
Hoewel er al geruime tijd een beveiligingsupdate voor de kwetsbaarheid beschikbaar is zoeken aanvallers nog altijd naar kwetsbare servers, meldt securitybedrijf Bad Packets.
Alles bij de bron; Security
Een beveiligingslek in Microsoft Azure Container Instances (ACI) maakte het mogelijk voor gebruikers om toegang tot de data van andere klanten te krijgen. De kwetsbaarheid is inmiddels verholpen.
Azure Container Instances is een managed service waarmee het mogelijk is om containers direct in de Microsoft Azure-cloud te draaien, zonder het gebruik van virtual machines.
Onlangs werd Microsoft door een beveiligingsonderzoeker van securitybedrijf Palo Alto Networks gewaarschuwd voor een beveiligingslek in Azure ACI dat het mogelijk voor gebruikers maakt om toegang tot de data van andere klanten te krijgen. Details over het lek zijn niet gegeven.
Hoewel er geen aanwijzingen van misbruik zijn heeft Microsoft klanten gewaarschuwd die mogelijk zijn getroffen door de activiteiten van de onderzoeker. Zij hebben het advies gekregen om alle belangrijke credentials die voor 31 augustus van dit jaar op het platform zijn gebruikt in te trekken. Klanten die geen Service Health Notification hebben ontvangen hoeven geen actie te ondernemen.
Alles bij de bron; Security
De coronatestresultaten van ruim 700.000 Fransen zijn op straat komen te liggen. Oorzaak was een lek op de site van een systeem dat de resultaten van de coronatesten in Frankrijk doorstuurt naar de overheid.
De namen, geboortedata, adressen, telefoonnummers, socialezekerheidnummers, e-mailadressen en testresultaten waren in te zien dankzij een wachtwoord dat voor iedereen terug te vinden was in een document op de site van Francetest. Dat is een nieuw bedrijf dat zich heeft gespecialiseerd in het doorgeven van de testresultaten aan het beveiligde overheidsplatform SI-DEP.
Alles bij de bron; RD
Vorige week meldde de ransomwaregroep op de eigen website dat het meer dan tweehonderd gigabyte aan data had buitgemaakt bij Bangkok Airways en het deze gegevens zou publiceren als de luchtvaartmaatschappij het losgeld niet betaalde.
In een verklaring op de eigen website bevestigt Bangkok Airways dat het slachtoffer van een cyberaanval is geworden en er ongeautoriseerde toegang tot systemen heeft plaatsgevonden. Daarbij zijn ook persoonlijke gegevens van passagiers buitgemaakt, waaronder naam, nationaliteit, geslacht, telefoonnummer, e-mailadres, adresgegevens, contactgegevens, paspoortinformatie, reisgeschiedenis, gedeeltelijke creditcardinformatie en maaltijdvoorkeuren.
Van hoeveel passagiers de gegevens zijn gestolen is niet bekendgemaakt. Aangezien de luchtvaartmaatschappij het gevraagde losgeld niet betaalde heeft de LockBit-groep de gestolen data via de eigen website inmiddels openbaar gemaakt.
Alles bij de bron; Security
Het Israëlische beveiligingsbedrijf Wiz en het Amerikaanse cybersecurityagentschap CISA raden alle klanten van de clouddienst Microsoft Azure aan hun digitale sleutel te veranderen. Dat zeggen de experts naar aanleiding van een groot beveiligingslek in de cloudsoftware, dat zo'n twee jaar heeft bestaan.
Wiz kwam het lek tegen in de zogenoemde Cosmos DB-database van Microsoft Azure. Hiermee kon het bedrijf bij sleutels komen die de toegang tot de databases van duizenden bedrijven beheren. Het lek werd eerder deze maand gedicht nadat Microsoft was ingelicht door Wiz.
Alles bij de bron; NU
Microsoft heeft duizenden klanten gewaarschuwd voor een kritieke kwetsbaarheid in Azure Cosmos DB waardoor aanvallers toegang tot databases konden krijgen. Cosmos DB is een databaseplatform dat onderdeel van Microsofts Azure-clouddienst is. Het wordt door allerlei bedrijven gebruikt voor de opslag van grote hoeveelheden data, waaronder Fortune 500-bedrijven gebruikt. Coca-Cola, Exxon-Mobil en Citrix maken gebruik van Cosmos DB.
Onderzoekers van securitybedrijf Wiz ontdekten dat het mogelijk was om volledige toegang tot de databases van Cosmos DB-klanten te krijgen en waarschuwde Microsoft, waarna de kwetsbare notebook-feature binnen 48 uur werd uitgeschakeld.
Microsoft waarschuwde klanten en adviseerde hen om hun keys te wijzigen, aangezien die door aanvallers gecompromitteerd kunnen zijn. Zolang deze keys niet zijn gewijzigd kan een aanvaller daarmee toegang tot de database krijgen. Wiz laat weten dat Microsoft alleen klanten heeft ingelicht die tijdens de onderzoeksperiode risico liepen. Het securitybedrijf denkt dat veel meer Cosmos DB-klanten gevaar lopen, aangezien de kwetsbaarheid zeker maanden en mogelijk jaren aanwezig was. Technische details over de kwetsbaarheid zullen op een later moment bekend worden gemaakt.
Alles bij de bron; Security
De 21-jarige hacker, die zich verschuilde achter het pseudoniem John Binns, vertelde aan journalisten van de Wall Street Journal dat hij achter de aanval zat op de Amerikaanse tak van T-Mobile waarbij de gegevens van 48,7 miljoen Amerikanen gestolen werd. De data omvat voor- en achternamen, geboortedata, social security numbers en rijbewijs- of id-kaartinformatie.
Binns vertelde dat hij T-Mobile’s internetadressen afzocht op zoek naar kwetsbaarheden. Dat deed hij naar eigen zeggen met een ‘simpele tool’ die beschikbaar is voor het grote publiek. Hij ontdekte bijgevolg een onbeveiligde router van het bedrijf die aangesloten was op het net en gebruikte die om toegang te krijgen tot het datacentrum van de operator in de noordwestelijke Amerikaanse staat Washington. Van dit centrum had hij inloggegevens buitgemaakt en nadat hij zichzelf naar binnen had gehackt, kon de man meer dan 100 servers bereiken. Vervolgens duurde het een week om die servers uit te pluizen. Binns vond in die tijd de persoonlijke data van 48,7 miljoen Amerikanen, waaronder huidige, voormalige of potentiële klanten van de Amerikaanse telecomoperator.
Of de hacker de data effectief verkocht heeft, en of hij hiervoor werd betaald, wou hij niet kwijt aan de journalisten van de Wall Street Journal. Met de hack wou de hacker aandacht trekken. "Ophef creëren was een doel", stelde hij tegenover de Wall Street Journal. "Ik sloeg in paniek want ik had plots toegang tot iets groots. De beveiliging van T-Mobile is slecht", stelde hij.
Alles bij de bron; Tweakers
China heeft een nieuwe datawet aangenomen die, volgens de overheid, persoonlijke gegevens van gebruikers beter moet beschermen.
De wet schrijft onder meer voor hoe techbedrijven met die gegevens moeten omgaan. De wet gaat op 1 november in en bevat enkele voorzieningen die aan de AVG doen denken. Bedrijven moeten onder meer toestemming van gebruikers krijgen voor ze persoonlijke gegevens kunnen verzamelen, en krijgen ook voorgeschreven hoe ze die data moeten beschermen wanneer ze buiten de Chinese grenzen worden vervoerd.
Daarnaast mag er ook alleen data worden verzameld wanneer daar een duidelijk doel voor is, en moeten bedrijven het minimum aan data verzamelen die nodig is om hun apps en dergelijke te laten werken. De wet bevat overigens ook enkele extra's, zoals de toevoeging dat bij het overlijden van de gebruiker, de controle over de data naar diens familie gaat. Die kunnen vervolgens bijvoorbeeld toestemming intrekken om gegevens te gebruiken.
Alles bij de bron; DutchITChannel
Honderden web-apps hebben per ongeluk 38 miljoen gegevens op het internet publiek toegankelijk gemaakt, als gevolg van verkeerde configuraties in Microsoft Power Apps. De data stond in de portal service van Power Apps, waarmee het gemakkelijk is om web- of mobiele apps te maken voor extern gebruik. Onder de data zitten onder meer huisadressen, BSN-nummers en vaccinatiegegevens.
Beveiligingsbedrijf Upguard ontdekte in mei dit jaar voor het eerst dat een app publiek toegankelijke data bevatte, terwijl die data privé had moeten blijven. Het bedrijf vroeg zich af of dit bij meer apps die de API's van Power Apps gebruikten voorkwam en startte een grootschalig onderzoek. Nu blijkt dat dit het geval was bij honderden portals, waaronder die van Ford, American Airlines en de Amerikaanse staat Indiana. En ook een aantal apps van Microsoft zelf bleken verkeerd geconfigureerd te zijn. In totaal waren 38 miljoen gegevens openbaar gemaakt op het internet.
Microsoft kondigde begin augustus aan dat API-data en andere informatie voortaan standaard wordt afgeschermd bij Power Apps. Daarnaast is er een tool uitgebracht waarmee gebruikers de instellingen van hun eigen portal kunnen controleren, om te zien of data publiekelijk beschikbaar zijn gemaakt. Volgens Upguard zijn de meeste getroffen apps inmiddels alsnog goed geconfigureerd, waardoor de data nu wel afgeschermd is.
Alles bij de bron; AGConnect
Het naleven van de Europese wetgeving rondom gegevensbescherming is van cruciaal belang voor honderdduizenden Amazon Web Services (AWS)-klanten. Velen van hen moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG), die het fundamentele recht van individuen op privacy en de bescherming van persoonsgegevens waarborgt.
AWS gaat nu twee nieuwe online hulpmiddelen lanceren om klanten te helpen gemakkelijker beoordelingen van gegevensoverdracht te voltooien en te voldoen aan de AVG, rekening houdend met de aanbevelingen van het European Data Protection Board (EDPB).
Met behulp van de nieuwe “Privacy Features for AWS Services” kunnen klanten bepalen of hun gebruik van een individuele AWS-service de overdracht van klantgegevens (de persoonlijke gegevens die ze naar hun AWS-account hebben geüpload) omvat. Met deze informatie kunnen klanten de juiste actie kiezen voor hun toepassingen.
Alles bij de bron; DutchITChannel