Onderzoekers hebben in een systeem waarmee scholen de laptops van hun leerlingen kunnen besturen en monitoren verschillende kwetsbaarheden ontdekt waardoor een aanvaller op hetzelfde netwerk de machines had kunnen overnemen. Het gaat in totaal om vier beveiligingslekken in Netop Vision Pro, die vorige maand door de fabrikant zijn verholpen.
De onderzoekers ontdekten dat al het netwerkverkeer van de software onversleuteld wordt verstuurd, waaronder Windowswachtwoorden. Het gaat om het wachtwoord dat een docent gebruikt om op de computer van een leerling in te loggen. Screenshots van de desktops van de leerlingen, die de software continu maakt, worden ook onversleuteld verstuurd naar de leraar. Iedereen op het lokale netwerk kan deze screenshots onderscheppen.
Het tweede probleem was dat de commando's die door een docent naar een computer worden verstuurd door een aanvaller zijn te onderscheppen, aan te passen en opnieuw zijn "af te spelen". Zo zou het mogelijk zijn om willekeurige applicaties te starten. De derde kwetsbaarheid maakte het mogelijk voor een aanvaller om zijn rechten te verhogen.
Via de software kunnen docenten op afstand taken op de schoolcomputers van leerlingen uitvoeren, zoals het blokkeren van websites, het installeren of uitvoeren van applicaties en het delen van documenten. Volgens de onderzoekers hoort Netop Vision Pro in de standaardconfiguratie nooit toegankelijk te zijn vanaf het internet. Door de coronapandemie worden schoolcomputers echter op allerlei netwerken aangesloten, wat het aanvalsoppervlak vergroot.
Alles bij de bron; Security
Een Weens bedrijf heeft via een IDOR-kwetsbaarheid de uitslagen van 136.000 coronatests gelekt. Alleen het aanpassen van een getal in de adresbalk van de browser was voldoende om naam, adresgegevens, geboortedatum, identiteitsnummer en uitslag van 136.000 coronatests te zien, afgenomen bij 80.000 mensen in Duitsland en Oostenrijk. Dat laat de Duitse hackersclub Chaos Computer Club (CCC) weten.
Het gaat hier om een Insecure direct object references (IDOR)-kwetsbaarheid. Deze beveiligingslekken doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van deze kwetsbaarheid komt die nog altijd geregeld voor.
Tevens ontdekten de onderzoekers dat via een dashboard, dat voor elk aangemaakt account toegankelijk was, kon worden gezien wanneer erin een testcentra een coronatest was uitgevoerd en wat het resultaat was. Aan de hand hiervan kon een url worden afgeleid van een afbeelding met onder andere de foto van de teststrip waarop het resultaat stond. Op verschillende van deze foto's waren ook de namen van patiënten te zien, meldt de CCC.
Alles bij de bron; Security
In tientallen landen wereldwijd wordt er gebruikgemaakt van corona-apps die gebruikers waarschuwen als ze in contact zijn geweest met een besmet persoon, maar bij veel van deze apps buiten de EU is de privacy niet goed geregeld. Dat stelt securitybedrijf Symantec op basis van eigen onderzoek naar de corona-apps uit 31 landen.
Van de 31 onderzochte corona-apps hebben er 18 toegang tot apparaatgegevens die persoonlijke informatie bevatten, waardoor de identiteit van de gebruiker kan lekken. Het gaat dan om toegang tot de microfoon, kalender, adresboek, wifi-informatie en telefoonservice. Verder blijkt dat 16 van de onderzochte corona-apps gebruikersgegevens onbeveiligd versturen zodat die door aanvallers kunnen worden afgeluisterd.
Van de 18 corona-apps die toegang tot apparaatgegevens hebben komen er vier uit de Europese Economische Ruimte (EER), namelijk Hongarije, Ierland, Noorwegen en Polen. In het geval van het onbeveiligd versturen van data is dit het geval bij twee apps uit de EER, te weten Hongarije en Polen. De Nederlandse CoronaMelder-app is niet in het onderzoek van Symantec meegenomen.
Alles bij de bron; Security
De maatschappelijke kosten van verzwakken van versleuteling zijn hoog. Encryptie is hard nodig, vinden
enDigitale beveiliging is een race. Cybercriminelen en buitenlandse geheime diensten proberen voortdurend computers te hacken, geheimen te ontfutselen en data te gijzelen. Cybersecurityfirma’s, de staat en burgers die een moeilijk wachtwoord bedenken, proberen die inbraken te stoppen. Helaas liggen in deze race de beveiligers inmiddels ver achter...
...Dus wat staat de politiek te doen? Welke stappen kan de samenleving nemen om de hackers weer in te halen en de veiligheid van het internet structureel op te voeren? Encryptie aanmoedigen! Want encryptie lijkt zo ongeveer de enige beveiligingsmaatregel te zijn die werkt. Met encryptie kan iedere Nederlander zijn of haar digitale veiligheid significant versterken.
Het is onverstandig om encryptie te verzwakken. Omdat je het meest betrouwbare en breed beschikbare beveiligingsmiddel minder betrouwbaar maakt. Overheden die zelf voortdurend gehackt worden, kunnen ons niet garanderen dat alleen criminelen last zullen hebben van zwakkere encryptie. Het zal ons allemaal raken. Niet doen dus.
Alles bij de bron; NRC
1. Waarom gebruiken niet gewoon WhatsApp?
"Het probleem zit bij de metadata, de extra informatie die aan de berichten hangt", vertelt computerwetenschapper Jeroen Baert. "Facebook weet misschien niet wat er in die berichten staat, maar wel wie ze stuurt, om hoe laat, hoe vaak en naar wie. Als de politie met een gerechtelijk bevel naar Google of Facebook stapt, worden die gegevens vrijgegeven, want zij zijn gebonden aan het recht."
"End-to-end-encryptie (versleuteling waarbij enkel zender en ontvanger de inhoud kunnen lezen, red.) is bovendien maar zo veilig als de uiteindes. Als je een crimineel bij wijze van spreken een telefoon uit zijn handen slaat, dan kan je meelezen", zegt Baert. Cryptofoons of superbeveiligde telefoons, zoals die van Sky ECC, bieden extra bescherming tegen allerlei mogelijke manieren waarop iemand toch zou kunnen meelezen.
2. Zijn alternatieve berichtenapps als Signal en Telegram beter beveiligd?
"Signal wordt gezien als de gouden standaard van beveiligde apps", zegt Baert. "Zij houden echt het minimum minimorum bij van wat nodig is om berichten te versturen. "Telegram is een beetje een raar beestje. Daar is de end-to-end-encryptie niet standaard, je moet die aanzetten. Het bedrijf is van Russische oorsprong en er is weinig bekend over welke beveiliging ze precies gebruiken. Ze doen daar nogal mysterieus over."
3. Bestaat er eigenlijk zoiets als "onkraakbaar"?
"Hoe de politie Sky ECC heeft gekraakt, weten we niet exact. Bij EncroChat (een gelijkaardig bedrijf als Sky ECC dat vorig jaar werd gehackt door de politie, red.) is bijvoorbeeld de updateserver van de telefoons gehackt. Die server werd overgenomen, waardoor de sleutels in handen kwamen van de politie. Eigenlijk heb je de encryptie dan vervangen, niet gekraakt. Mogelijk is hier iets gelijkaardigs gebeurd. Het kan ook dat er ergens een fout is gemaakt bij de implementatie van de versleuteling."
Alles bij de bron; VRT
Een groep hackers zou toegang hebben gekregen tot 150.000 beveiligingscamera's van de Amerikaanse start-up Verkada. Daardoor konden ze live meekijken in ziekenhuizen, gevangenissen, politiebureaus, scholen en bedrijven.
Persbureau Bloomberg kreeg diverse beelden van de hackers toegestuurd. Op camerabeelden die het persbureau mocht inzien was te zien hoe acht zorgmedewerkers een patiënt aan een bed vastbonden in een psychiatrisch ziekenhuis in Florida.
De hackers zeggen dat ze ook mee konden kijken in een gevangenis in Alabama. Daar zou gezichtsherkenning zijn gebruikt om gevangenen te volgen. Ook konden ze meekijken tijdens verhoren op verschillende politiebureaus.
De groep zou toegang hebben tot het volledige videoarchief van alle Verkada-klanten. Ze verklaren de start-up te hebben gehackt om de gebrekkige beveiliging van het bedrijf aan te willen tonen.
Bloomberg heeft Verkada op de hoogte gesteld van het lek. Het bedrijf zegt het incident te onderzoeken. "We hebben alle interne beheerdersaccounts uitgeschakeld om ongeautoriseerde toegang te voorkomen", meldt een woordvoerder.
Alles bij de bron; NU
De persoons- en adresgegevens van circa negentienduizend gedupeerden met aardbevingsschade aan hun huis in Groningen zijn door een groot datalek bij de Nederlandse Aardolie Maatschappij (NAM) gelekt.
Het overgrote deel van de gegevens die van deze groep gelekt zijn, zijn NAW-gegevens (naam, adres en woonplaats), aldus de woordvoerder. In totaal zijn er van 120 mensen privacygevoelige gegevens zoals e-mailadressen, telefoonnummers of bankgegevens gelekt. De mensen van wie bankgegevens zijn buitgemaakt zijn gebeld door de NAM.
Het bedrijf werd vorige week op de hoogte gebracht van het lek in de software die de NAM gebruikt voor het versturen van grote bestanden, waaronder documenten met gegevens over de afhandeling van de door de gedupeerden ingediende waardedalingsclaims.
Alles bij de bron; NU
Door een niet goed werkend script zijn de persoonsgegevens van 18.000 inburgeraars gelekt, zo heeft minister Van Engelshoven van Onderwijs laten weten. Inburgeraars kunnen een verzoek doen om te vragen wat hun buitenlandse diploma in Nederland waard is.
De huidige leverancier van dit digitale aanvraagsysteem is een Nederlands bedrijf met een vestiging in Servië, waar de testers en ontwikkelaars werken. Met deze leverancier heeft overheidsinstantie Nuffic een verwerkersovereenkomst afgesloten met de verplichting dat persoonsgegevens worden geanonimiseerd, omdat buiten de Europese Unie geen persoonsgegevens mogen worden verwerkt. De huidige leverancier gebruikte een script voor het anonimiseren van persoonsgegevens voordat die in de testomgeving komen. Nu blijkt dit script niet goed te hebben gewerkt.
De nieuwe leverancier van het diplomawaarderingssysteem ontdekte vorige maand bij de overdracht van de testdatabase dat er persoonsgegevens in stonden. Het betreft alle persoonsgegevens van diplomawaardering voor inburgeraars sinds de start van de applicatie op 1 februari 2017. Het gaat om zo'n 18.000 personen. De persoonsgegevens hebben sinds 11 augustus 2020 in de testomgeving gestaan.
Nuffic heeft het datalek bij de Autoriteit Persoonsgegevens gemeld en het meldpunt datalekken van DUO. De huidige leverancier heeft de persoonsgegevens uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbestanden ook verwijderd, waaronder uit de back-ups. Alle gedupeerde personen zijn gisteren ingelicht, zo stelt de minister.
Alles bij de bron; Security
Hierbij bied ik uw Kamer het onderzoeksrapport “Inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister” van de Audit Dienst Rijk (ADR) aan. Op 10 maart 2020 is uw Kamer geïnformeerd over het datalek dat zich heeft voorgedaan bij het CIBG ten aanzien van het Donorregister.
Twee fysieke gegevensdragers (externe harde schijven) met daarop een kopie van donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010 lagen niet meer in de kluis waar ze werden bewaard. Na de melding van het datalek bij het ministerie van VWS en de Autoriteit Persoonsgegevens heeft het CIBG de ADR gevraagd onafhankelijk onderzoek uit te voeren...
...Specifiek heeft de ADR geconstateerd dat procedures en werkinstructies voor het bewaren en vernietigen van externe gegevensdragers niet of onvoldoende aanwezig waren. Hierdoor heeft het kunnen gebeuren dat de twee harde schijven zijn verdwenen, zonder dat kan worden nagegaan wat er precies is gebeurd met deze gegevensdragers. De ADR constateerde voor het nieuwe Donorregister dat het ten tijde van het onderzoek nog ontbrak aan een voldoende invulling en borging van het bijbehorend informatiebeveiligingsplan.
Het management van het CIBG geeft aan dit ernstige constateringen te vinden en stelt dat dit niet had mogen gebeuren. De interne sturing op de naleving van de regels omtrent informatiebeveiliging is onvoldoende geweest.
Ik sluit mij hierbij aan. Ook ik vind de bevindingen zeer ernstig. Iedereen moet erop kunnen vertrouwen dat met persoonsgegevens in het Donorregister zorgvuldig en op een goed beveiligde manier wordt omgegaan. Hierin is helaas tekortgeschoten...
...Het CIBG is direct aan de slag gegaan met de constateringen van de ADR en heeft al tijdens het lopende onderzoek de informatiebeveiliging rondom het nieuwe Donorregister verbeterd. Als resultaat hiervan zijn op dit moment de meeste maatregelen die het CIBG diende te nemen al geïmplementeerd. Nu richt het CIBG haar aandacht op de resterende maatregelen en het integreren van de maatregelen in de besturingscyclus van het CIBG om de kwaliteit continu te verbeteren. Op deze manier worden de aanbevelingen van het ADR-onderzoek structureel ingebed in de werkwijze van het CIBG.
Alles bij de bron; RijksOverheid
Een kritieke kwetsbaarheid in de Logix-controllers van fabrikant Rockwell Automation maakt het mogelijk voor aanvallers om op afstand toegang tot industriële systemen te krijgen. Het beveiligingslek, aangeduid als CVE-2021-22681, is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Een beveiligingsupdate is niet beschikbaar gemaakt.
Door het beveiligingslek kan een aanvaller de key achterhalen en met elke willekeurige Logix-controller die toegankelijk is verbinding maken. Zo kan de aanvaller zich voordoen als het werkstation dat de Logix-controller bestuurt en de controller bijvoorbeeld met malware infecteren, wat gevolgen voor het productieproces heeft.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is de kwetsbaarheid op afstand te misbruiken en vereist dit weinig kennis. Rockwell adviseert organisaties om de instellingen van hun controller aan te passen en ervoor te zorgen dat die niet direct vanaf het internet toegankelijk is.
Alles bij de bron; Security