Het Amerikaanse ministerie van Defensie heeft vorig jaar via een onbeveiligde cloud-mailserver de gegevens van 20.000 personen gelekt, die het hier nu voor waarschuwt. De onbeveiligde server werd gehost op Microsofts Azure-cloud voor Amerikaanse Defensieklanten. Servers van deze cloudomgeving zijn fysiek gescheiden van de servers van andere commerciële klanten en zijn zo te gebruiken voor het delen van gevoelige, maar niet geclassificeerde overheidsdata.
Door een misconfiguratie was de server begin 2023 bijna drie weken lang zonder wachtwoord voor iedereen op internet toegankelijk. De enige vereiste was het kennen van het ip-adres. In totaal bleek op de mailserver zo'n drie terabyte aan militaire e-mails te staan, voornamelijk van het U.S. Special Operations Command. Een eenheid van het Amerikaanse leger dat zich bezighoudt met speciale militaire operaties.
Alles bij de bron; Security
Slimme fiets- en skihelmen van fabrikant Livall lekken de real-time locatiegegevens van gebruikers en maken het mogelijk om hen af te luisteren. Dat blijkt uit onderzoek van securitybedrijf Pen Test Partners.
De helmen zijn voorzien van een bluetooth-speaker en microfoon en kunnen via de bijbehorende app de locatie doorgeven. Via de app is het mogelijk om een groep aan te maken waarin de locatie van deelnemers wordt getoond en het mogelijk is om gesprekken te voeren. Deelname aan een groep bestaat uit een zescijferige code.
Pen Test Partners ontdekte dat het eenvoudig is om alle mogelijke cijfercombinaties via een bruteforce-aanval te proberen en zo toegang tot willekeurige groepen te krijgen. Gebruikers worden namelijk niet geïnformeerd wanneer iemand aan een groep wordt toegevoegd. De enige manier waardoor een malafide gebruiker kon worden gedetecteerd was wanneer een legitieme gebruiker het aantal groepsdeelnemers controleerde.
Livall werd op 7 januari over het probleem ingelicht, maar Pen Test Partners stelt dat de communicatie daarna stokte. Pas nadat de onderzoekers naar de media stapten en die het bedrijf benaderden, maakte Livall begin deze maand bekend dat het nu gebruikmaakt van codes bestaande uit zes alfanumerieke tekens, wat een bruteforce-aanval stukken lastiger maakt. Gebruikers moeten hiervoor wel hun app updaten.
Alles bij de bron; Security
Fortinet waarschuwt organisaties voor een nieuwe kritieke kwetsbaarheid in FortiOS, wat mogelijk al misbruikt wordt.
FortiOS is het besturingssysteem dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. Een nieuwe kwetsbaarheid aangeduid als CVE-2024-21762 maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen.
De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.
Naast het installeren van de beschikbaar gestelde update kunnen organisaties als workaround ook de SSL VPN-functionaliteit in FortiOS uitschakelen. Het Australische Cyber Security Centre (ACSC) adviseert zowel het installeren van de update als het uitschakelen van de VPN-functie.
Alles bij de bron; Security
De persoonsgegevens die eind vorig jaar bij EasyPark werden gestolen zijn niet gevoelig, zo stelt het bedrijf in een recente update over het incident. Parlementariër Paul Tang hekelt die reactie van de parkeerapp. "Het bedrijf probeert dit zo klein mogelijk te maken. 'Het stelt niet zoveel voor, maakt u zich geen zorgen, loopt u rustig door'. Dat is eigenlijk de reactie van het bedrijf", aldus Tang tegenover tv-programma Kassa.
Bij de aanval werden de persoonsgegevens van een onbekend aantal mensen gestolen. Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer. "De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd.", aldus EasyPark in een update over het incident.
Tang voegt toe; "Het klopt wat EasyPark zegt. Bij gevoelige gegevens wordt bedoeld gegevens waarmee mensen kunnen worden uitgesloten of gediscrimineerd. Denk aan geaardheid, gezondheid, afkomst. Dat is dit niet. Maar het zijn wel gevoelige gegevens in de zin dat het gegevens zijn die geld opleveren en door criminelen gebruikt kunnen worden. In die zin zijn ze wel gevoelig."
De PvdA-Europarlementariër legt verder uit dat de verantwoordelijkheid voor dit soort datalekken ligt bij de bedrijven die de data verzamelen en beheren. "In dit geval is EasyPark ook verantwoordelijk voor de bescherming van onze gegevens. Hier kunnen we nog zo vaak ons wachtwoord veranderen, maar als het de tweede keer in korte tijd is dat EasyPark de gegevens laat lekken is daar het probleem en ligt dat niet bij ons."
"Een bedrijf als EasyPark verzamelt die gegevens, beheert die gegevens, maar let niet goed op en dat gebeurt eigenlijk nog veel te vaak." Tang pleit voor strenger toezicht en het meer inzetten op handhaving en boetes. "Er zijn veel datalekken, maar zoveel boetes worden niet uitgedeeld."
Alles bij de bron; Security
Online wervingsplatform Chattr.AI heeft gegevens gelekt van sollicitanten, klanten en eigen personeel. Via het platform kunnen bedrijven op geautomatiseerde wijze personeel werven. Allerlei grote Amerikaanse fastfoodketens werken ermee.
Chattr.AI maakt gebruik van Firebase, Googles ontwikkelplatform voor mobiele en web-apps.
Het online werveringsplatform bleek de Firebase-omgeving niet goed te hebben beveiligd, want de onderzoekers konden een nieuwe gebruiker registreren waarmee ze volledige toegang tot de Firebase-database van Chattr.AI kregen. Daarin vonden ze namen, e-mailadressen, telefoonnummers, plaintext wachtwoorden, vertrouwelijke berichten en andere informatie van Chattr-medewerkers, franchisemanagers en sollicitanten.
In het geval van de sollicitanten ging het onder andere om cv's, sollicitatiegesprekken, profielfoto en adresgegevens. Een dag na te zijn ingelicht werd het probleem door Chattr.AI verholpen.
Alles bij de bron; Security
Zo'n 150.000 WordPress-sites zijn door een kritieke kwetsbaarheid in een populaire SMTP-plug-in op afstand over te nemen. Een beveiligingsupdate is beschikbaar, maar zo'n 150.000 websites hebben die nog niet geïnstalleerd.
De kwetsbaarheid is aanwezig in de plug-in "POST SMTP", waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Dat meldt securitybedrijf Wordfence. De plug-in is een vervanging voor de standaard PHP-mailfunctie van WordPress. Meer dan 300.000 websites maken gebruik van de plug-in.
De plug-in is via een mobiele app te bedienen. Een kwetsbaarheid in een functie van deze app maakt het mogelijk voor een aanvaller om alle verzonden e-mails te bekijken, waaronder wachtwoordresetmails. Een aanvaller kan een wachtwoordreset voor de beheerder uitvoeren en via de kwetsbaarheid dit bericht in handen krijgen om vervolgens een eigen wachtwoord voor de beheerder in te stellen en zo de website over te nemen. Op 1 januari verscheen een update voor de kwetsbaarheid.
Alles bij de bron; Security
De Japanse softwareontwikkelaar Ateam heeft jarenlang gegevens van klanten, zakelijke partners en medewerkers via een onbeveiligde Google Drive gelekt. Bestanden waren door het verkeerd instellen van de permissies voor iedereen op internet toegankelijk. De permissies voor de bestanden stonden al sinds maart 2017 verkeerd ingesteld.
Het probleem werd afgelopen 22 november opgelost. Vorige maand maakte de ontwikkelaar het datalek bekend. Op dit moment is het nog onbekend of er misbruik van de gelekte data is gemaakt.
Alles bij de bron; Security
Privégegevens van mensen die via KLM en Air France reisden, zoals telefoonnummers en e-mailadressen en in sommige gevallen ook paspoortgegevens, waren eenvoudig voor onbevoegden te achterhalen, zo stelt de NOS op basis van eigen onderzoek.
Het datalek werd veroorzaakt door de links met vluchtinformatie die de luchtvaartmaatschappijen via sms naar passagiers stuurden. Die bestonden slechts uit zes tekens en er was verder geen authenticatie vereist om de gelinkte vluchtinformatie te bekijken, waardoor een aanvaller kon proberen om geldig tekencombinaties via een script te achterhalen. Van elke honderd tot tweehonderd adressen die automatisch waren te proberen was er dan één geldig.
Uit het onderzoek bleek dat de codes te kort waren en er te veel werkende codes waren.
Na te zijn ingelicht op vrijdagmiddag werd het probleem bij zowel KLM als Air France binnen een paar uur verholpen. Van hoeveel mensen de gegevens zijn gelekt wil KLM niet zeggen.
Alles bij de bron; Security
Zo'n vijftigduizend WordPress-sites bevatten een kritieke kwetsbaarheid. De sites in kwestie maken gebruik van Backup Migration, een plug-in waarmee beheerders een back-up van hun WordPress-site kunnen maken, de site naar een andere host kunnen migreren of een lokale back-up kunnen herstellen.
Meer dan negentigduizend WordPress-sites hebben de plug-in geïnstalleerd.
Op 7 december kwam de ontwikkelaar van de plug-in met versie 1.3.8, waarin het probleem is verholpen. Uit cijfers van WordPress.org blijkt dat zo'n veertigduizend websites de update hebben geïnstalleerd, wat inhoudt dat nog zo'n vijftigduizend WordPress-sites kwetsbaar zijn.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Alles bij de bron; Security
Ziekenhuizen en andere medische instellingen wereldwijd lekken via slecht beveiligde servers de gegevens van miljoenen patiënten, zo stellen onderzoekers van securitybedrijf Aplite op basis van eigen onderzoek.
Het gaat om röntgenscans, MRI-scans, namen, adresgegevens, behandeldata en in sommige gevallen social-securitynummers. In totaal vonden de onderzoekers meer dan 3800 servers in honderdtien landen met daarop gegevens van zestien miljoen patiënten.
Daarnaast werden op deze servers 43 miljoen 'health' records van patiënten aangetroffen, met onderzoeksuitslagen, wanneer het onderzoek plaatsvond en gegevens van de betreffende arts.
De servers maken gebruik van het Digital Imaging and Communications in Medicine (DICOM) protocol, gebruikt voor de opslag van medische scans. DICOM is een decennia oud protocol. DICOM-afbeeldingen worden meestal opgeslagen op een picture storage and sharing system (PACS) server.
De servers blijken echter niet goed beveiligd, waardoor aanwezige patiëntgegevens door onbevoegden zijn te achterhalen. Volgens de onderzoekers maakt minder dan één procent van de DICOM-servers gebruik van effectieve beveiligingsmaatregelen, zo meldt TechCrunch. De problemen met DICOM zijn niet nieuw, in 2019 werd hier ook al voor gewaarschuwd.
Alles bij de bron; Security