Captain Kirk

Digitale burgerrechtenbeweging Bits of Freedom vreest dat de Europese AI-wet de deur openzet voor nog meer massasurveillance door de overheid. Dat laat de organisatie weten in een reactie op het vorige week gesloten voorlopige akkoord. De Europese burgerrechtenbeweging EDRi deelt dezelfde zorgen. Eerder stelde ook mensenrechtenorganisatie Amnesty International dat de verordening groen licht geeft voor 'dystopische digitale surveillance' in de Europese Unie. De Artificial Intelligence Act stelt regels aan het gebruik van kunstmatige intelligentie. Eén van de onderdelen betreft het gebruik van live gezichtsherkenning door justitie. Het Europees Parlement had zich in eerste instantie nog uitgesproken voor een volledig verbod op biometrische identificatie, zonder enige uitzonderingen. De EU-lidstaten wilden echter dat justitie de technologie wel kan inzetten. Over dit onderdeel werd dan ook lang onderhandeld. "Even leek het er op dat dit verbod zo breed uitgezonderd zou worden, dat we nog maar amper van een verbod konden spreken", aldus Bits of Freedom. Het eindresultaat is dat justitie real-time gezichtsherkenning toch mag inzetten op basis van verschillende uitzonderingen. Het gaat dan om het zoeken van mensen die worden vermist of slachtoffer van mensenhandel of seksueel misbruik zijn. Het voorkomen van een 'specifieke en actuele' terroristische dreiging of het vinden van de locatie of het identificeren van personen die worden verdacht van misdrijven, waaronder terrorisme, mensenhandel, seksueel misbruik, moord, kidnapping, verkrachting, gewapende overvallen, deelname aan een criminele organisatie en milieudelicten. "Het is teleurstellend dat er geen algeheel verbod op biometrische identificatie is aangenomen. We vrezen dat dit de deur open zet voor nog meer discriminatie en massasurveillance door de overheid", zegt Nadia Benaissa, beleidsadviseur van Bits of Freedom. Ook eDRI stelt dat de aangenomen verordening een pad creëert dat leidt tot het gebruik van AI-systemen voor massasurveillance. "We hebben de Europese organen en Nederlandse bewindspersonen opgeroepen niet te zwichten voor de Big Tech lobby. Ook deze week hebben we nog opgeroepen onze rechten niet in te ruilen voor een ‘deal’. Belangrijk, zeker ook binnen de Nederlandse context. Van discriminerende fraudeopsporingsalgoritmen door gemeenten en DUO tot het racistisch inzetten van AI voor visumaanvragen. Nederland kent vele slechte voorbeelden, met als dieptepunt: de toeslagenaffaire. Deze AI-verordening is dus hard nodig", merkt Bits of Freedom op. "Het beschermen van fundamentele rechten was één van de belangrijkste doelen van de wet. Wij houden nog een slag om de arm en wachten de definitieve tekst in spanning af", gaat Benaissa verder. Ella Jakubowska, beleidsadviseur van eDRI, stelt dat het lastig is om blij te zijn met een wet die voor het eerst stappen heeft gezet om live gezichtsherkenning in de hele EU te legaliseren en spreekt van een schim van de wet die Europa echt nodig heeft. bron: https://www.security.nl

Mobiele wachtwoordmanagers kunnen via de autofill-functie van Android-apps de inloggegevens van gebruikers lekken, zo hebben onderzoekers aangetoond. Wanneer een gebruiker op een Android-app wil inloggen kan die een inlogpagina via WebView laden. Daarbij kan het voorkomen dat de wachtwoordmanager niet weet waar de inloggegevens moeten worden ingevuld, namelijk in de WebView-pagina of direct in de onderliggende app. WebView is een belangrijk onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. De WebView-engine is een standaardonderdeel van Android. Wanneer een app via WebView een inlogpagina weergeeft, zal de autofill-functie voor het automatisch invullen van inloggegevens worden aangeroepen. Wanneer gebruikers bijvoorbeeld op een muziek-app op hun Androidtelefoon willen inloggen, en er wordt gekozen voor inloggen via Facebook of Google, zal de muziek-app de inlogpagina van Facebook of Google via een WebView binnen de app laden. Wanneer de wachtwoordmanager wordt aangeroepen om de inloggegevens automatisch in te vullen, zou dit idealiter in de WebView-pagina moeten gebeuren. De onderzoekers ontdekten dat de autofill-functie onbedoeld de inloggegevens aan de onderliggende app doorgeeft. Dit zou met name een probleem zijn in het geval van malafide apps, die zo inloggegevens van gebruikers kunnen stelen. Volgens de onderzoekers is de 'AutoSpill' kwetsbaarheid onder andere aanwezig in 1Password, LastPass, Keeper en Enpass. 1Password laat tegenover TechCrunch weten dat het aan een beveiligingsupdate werkt. LastPass zegt dat het gebruikers via een pop-up voor eventuele aanvallen waarschuwt. bron: https://www.security.nl

Het logo dat computerfabrikanten laten zien tijdens het opstarten van de computer kan door aanvallers worden gebruikt om beveiligingsmaatregelen als Secure Boot te omzeilen en systemen stilletjes met bootkits te infecteren, zo hebben onderzoekers van securitybedrijf Binarly ontdekt. Die hebben hun aanval, die het fabrikantenlogo als aanvalsvector gebruikt, 'LogoFAIL' genoemd. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Voor het weergeven van het logo maken de UEFI-leveranciers gebruik van verschillende libraries. Deze libraries blijken meerdere kwetsbaarheden te bevatten die via een malafide logo zijn te misbruiken. Via de beveiligingslekken is het mogelijk voor een aanvaller om een UEFI-bootkit te installeren en zo vergaande controle over het systeem te krijgen. Verschillende UEFI-leveranciers bieden gebruikers de mogelijkheid om een eigen logo te gebruiken. Een aanvaller die toegang tot het systeem heeft zou op deze manier zijn malafide logo tijdens het opstarten van de computer kunnen laten uitvoeren. Een andere mogelijke aanvalsvector is het proces om firmware te updaten. Firmware-updates zijn standaard gesigneerd, maar dat geldt niet voor de gedeeltes die het logo bevatten. Een derde methode is het gebruik van een SPI flash programmer. Dit vereist wel dat de aanvaller fysieke toegang tot de computer heeft. Volgens de onderzoekers is het via LogoFAIL mogelijk om de veiligheid van het gehele systeem te compromitteren. De impact van de LogoFAIL-kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2. De onderzoekers hebben hun bevindingen aan verschillende laptopfabrikanten gemeld, alsmede UEFI-leveranciers. Gisteren presenteerden ze hun bevindingen tijdens Black Hat Europe. Daarbij stellen de onderzoekers dat LogoFAIL veel krachtiger is dan de BlackLotus-bootkit waarvoor Microsoft en de NSA waarschuwden. Verschillende UEFI-leveranciers en laptopfabrikanten, zoals Lenovo en AMI, hebben waarschuwingen en updates uitgebracht. Update Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit laat weten dat een aanvaller via LogoFAIL UEFI-beveiligingsmaatregelen zoals SecureBoot kan uitschakelen, de UEFI-bootvolgorde kan aanpassen en ongewenste software kan uitvoeren om het besturingssysteem te infecteren. bron: https://www.security.nl

Door verschillende kwetsbaarheden in Mozilla VPN kon het ip-adres van gebruikers lekken alsmede de WireGuard-encryptiesleutel gebruikt voor de versleuteling, zo ontdekten onderzoekers van securitybedrijf Cure53 die Mozillas vpn-dienst onderzochten (pdf). De problemen zijn inmiddels verholpen. De onderzoekers vonden in totaal zeven kwetsbaarheden, waarvan er één als kritiek werd aangemerkt. Het gaat om een probleem dat zich voordeed met de Mozilla VPN-app voor iOS. De WireGuard-configuratie, inclusief encryptiesleutel, werd op zo'n manier in de iOS Keychain opgeslagen dat die onderdeel van in iCloud opgeslagen back-ups werd. Deze back-ups zijn versleuteld, maar niet end-to-end versleuteld. "De secret key voor de Keychain met de WireGuard private key zal altijd toegankelijk voor Apple zijn, en kan zo door opsporingsdiensten worden gevorderd", aldus de onderzoekers. Een andere kwetsbaarheid met een 'high' impact maakte het mogelijk voor malafide extensies in de browser van de gebruiker om de vpn-verbinding uit te schakelen. De impact van de overige vijf beveiligingslekken werd als 'medium' beoordeeld. Het ging onder andere om een probleem waardoor het ip-adres van gebruikers kon lekken via de captive portal detectie. Hierbij werd een onversleuteld HTTP request buiten de vpn-tunnel om gestuurd. In het rapport krijgt Mozilla het advies om meer tijd en middelen te investeren in het analyseren van alle mogelijke aanvalsvectoren. bron: https://www.security.nl

Google Chromecasts bevatten verschillende kwetsbaarheden waardoor een aanvaller malafide firmware of spyware kan installeren om zo gevoelige informatie van gebruikers te onderscheppen. Google heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Volgens beveiligingsonderzoeker Nolen Johnson van securitybedrijf DirectDefense, die de kwetsbaarheden ontdekte, ligt de grootste dreiging in Chromecasts die via online marktplaatsen of veilingsites worden aangeschaft en van malware of spyware zijn voorzien. Via drie kwetsbaarheden (CVE-2023-48424, CVE-2023-48425 en CVE-2023-6181) is het mogelijk om de Secure Boot van de Chromecast te omzeilen en malafide firmware en ongesigneerde code te installeren. Een aanvaller moet hiervoor wel toegang tot de Chromecast hebben. "Een ander probleem betreft de afstandsbediening die met het apparaat is gepaird en van een ingebouwde microfoon is voorzien", aldus Johnson. De Chromecast zou de microfoon op afstand kunnen inschakelen en zo de audio van gebruiker kunnen onderscheppen. Daarnaast zou malware op de Chromecast ook inloggegevens van allerlei apps kunnen stelen. Google werd in het tweede kwartaal van dit jaar over de kwetsbaarheden ingelicht en kwam op 5 december met beveiligingsupdates voor de Chromecast met Google TV. bron: https://www.security.nl

WordPress waarschuwt voor een kritieke kwetsbaarheid waardoor websites op afstand zijn over te nemen. Via het beveiligingslek is in bepaalde omstandigheden remote code execution mogelijk. Beheerders worden dan ook aangeraden om direct te updaten naar WordPress 6.4.2 waarin het probleem is verholpen. Het beveiligingslek is niet direct te misbruiken in WordPress 'core'. Hiervoor is een aparte kwetsbaarheid in bijvoorbeeld een plug-in of theme vereist. De benodigde 'object injection' kwetsbaarheden komen echter op grote schaal voor in themes en plug-ins, aldus securitybedrijf Wordfence. Door deze beveiligingslekken met de kwetsbaarheid in WordPress zelf te combineren kunnen aanvallers websites op afstand volledig overnemen. Het beveiligingslek zit sinds versie 6.4 in WordPress. Wordfence stelt dat de meeste WordPress-sites automatisch de update zullen installeren, maar adviseert beheerders om te controleren of ze up-to-date zijn. bron: https://www.security.nl

Meta is begonnen om standaard end-to-end encryptie uit te rollen voor privéchats en telefoongesprekken die via Messenger en Facebook plaatsvinden. Sinds 2016 hebben gebruikers van Messenger de optie om end-to-end encryptie in te schakelen, maar de beveiligingsmaatregel stond niet standaard ingeschakeld. Iets dat Meta nu gaat veranderen. Volgens het techbedrijf was het een ongekend complexe en uitdagende puzzel om de overstap naar standaard end-to-end encryptie te maken. "De extra beveiligingslaag die end-to-end encryptie biedt houdt in dat de inhoud van je berichten en gesprekken met vrienden en familie beschermd zijn vanaf het moment dat ze je toestel verlaten tot het moment dat ze op het apparraat van de ontvanger aankomen. Dit houdt in dat niemand, waaronder Meta, kan zien wat er is verstuurd of gezegd, tenzij je besluit een bericht bij ons te rapporteren", aldus Meta. Het kan enige tijd duren voordat chats in Messenger worden geüpdatet naar standaard end-to-end encryptie. bron: https://www.security.nl

Jarenoude kwetsbaarheden in Microsoft Office, Oracle Java en Apple Safari, soms meer dan tien jaar oud, zijn dit jaar op grote schaal gebruikt bij aanvallen, zo claimt Cisco in een jaaroverzicht over 2023 (pdf). Eerder dit jaar kwam het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) met een zelfde bevinding. In de Top 10 van meest aangevallen beveiligingslekken staat bovenaan een uit 2017 stammende kwetsbaarheid in Microsoft Office. Een beveiligingslek in Apple Safari dat in het overzicht terugkomt dateert zelfs van 2010. "Dit onderstreept de noodzaak voor organisaties om geregeld software-updates te installeren, aangezien veel van de systemen gezien de leeftijd van de kwetsbaarheden waarschijnlijk ongepatcht waren", aldus Cisco. Acht van de tien kwetsbaarheden zijn als kritiek aangemerkt. "Het grote aantal gevallen waarbij wordt geprobeerd om misbruik van deze beveiligingslekken te maken, gecombineerd met hun ernst onderstreept het risico van ongepatchte systemen", zo laat het bedrijf verder weten. Van de gevallen waarbij Cisco kon achterhalen hoe aanvallers toegang tot een getroffen organisatie hadden gekregen was misbruik van kwetsbaarheden de meestvoorkomende methode. bron: https://www.security.nl

Aanvallers maken gebruik van malafide advertenties om uiteindelijk ransomware-aanvallen op organisaties uit te kunnen voeren, zo waarschuwt Microsoft. Via de advertenties wordt de 'Danabot' malware verspreid. Deze malware kan opgeslagen inloggegevens stelen, toetsaanslagen opslaan en aanvallers toegang tot het besmette systeem geven. Zo kunnen aanvallers ook andere malware installeren, waaronder ransomware. Danabot wordt als 'malware-as-a-service' aangeboden, oorspronkelijk gericht op het stelen van inloggegevens en plegen van bankfraude. Microsoft heeft naar eigen zeggen een 'malvertising' campagne ontdekt gebruikt om de Danabot-malware te verspreiden die vervolgens wordt gebruikt voor aanvallen met de Cactus-ransomware. Het gaat hierbij om een private versie van de malware, en niet de versie die als service beschikbaar is. De verantwoordelijke aanvallers zouden in het verleden vaak de Qakbot-malware bij hun aanvallen hebben ingezet, maar de infrastructuur van deze malware werd eind augustus tijdens een internationale politieoperatie offline gehaald. Microsoft adviseert organisaties onder andere om sterk wachtwoordbeleid in te voeren. Details over de gebruikte advertenties zijn niet gegeven. bron: https://www.security.nl

Microsoft gaat eindgebruikers die met Windows 10 werken vanaf oktober 2025 betaalde beveiligingsupdates aanbieden. Het is voor het eerst dat Extended Security Updates voor thuisgebruikers beschikbaar komen. Volgens onderzoeksbureau StatCounter draait 64 procent van de Nederlandse Windowsgebruikers Windows 10. Windows 10 Home en Pro ontvangen op 14 oktober 2025 de laatste normale beveiligingsupdates. Het besturingssysteem is daarna end-of-support en zal niet meer door Microsoft worden ondersteund. Voor zakelijke gebruikers biedt Microsoft bij Windowsversies die end-of-support zijn Extended Security Updates (ESU). Tegen betaling ontvangen deze klanten voor een periode van maximaal drie jaar beveiligingsupdates. Voor het eerst zullen ook thuisgebruikers deze optie aangeboden krijgen. "ESU is een betaald programma dat individuen en organisaties van alle groottes de optie biedt om het gebruik van Windows 10-apparaten op een veilige manier te verlengen na de end of support datum", aldus Microsoft. Via het ESU-programma worden alleen beveiligingsupdates aangeboden, geen nieuwe features of andere zaken. Verdere details over het ESU-programma voor eindgebruikers moet Microsoft nog bekendmaken. bron: https://www.security.nl

Bij de aanval op dna-testbedrijf 23andMe zijn de afstammingsgegevens van 6,9 miljoen gebruikers buitgemaakt. Een aantal dat niet eerder bekend was gemaakt. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf zou zo'n 14 miljoen gebruikers tellen. Bij een credential stuffing-aanval wisten aanvallers toegang tot de accounts van 14.000 gebruikers te krijgen, liet 23andMe vorige week tegenover de Amerikaanse beurswaakhond SEC weten. Verder werd gesteld dat de aanvallers toegang hadden gekregen tot een 'significant number of files' met de afstammingsgegevens van andere gebruikers. Een aantal werd echter niet genoemd. Tegenover TechCrunch laat het dna-testbedrijf nu weten dat het in totaal om 6,9 miljoen gebruikers gaat. 23andMe biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Maar via de 14.000 accounts die werden gecompromitteerd konden de aanvallers de afstammingsgegevens van 6,9 miljoen 23andMe-gebruikers downloaden. Het gaat om 6,9 miljoen mensen die ook toestemming hadden gegeven om hun gegevens via de DNA Relatives-feature te delen. Het gaat om naam, geboortejaar, relatielabels, het dna-percentage dat met familieleden wordt gedeeld, afstammingsrapporten en zelf doorgegeven locatie. Van 1,4 miljoen van deze gebruikers zijn ook de stamboomgegevens benaderd. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Vanwege de aanval besloot 23andMe de wachtwoorden van alle 14 miljoen gebruikers te resetten en het gebruik van tweestapsverificatie te verplichten. bron: https://www.security.nl

Facebook stopt met het versturen van PGP-versleutelde e-mails naar gebruikers, zo heeft het platform laten weten. Gebruikers konden instellen dat Facebook voor e-mailnotificaties gebruikmaakte van Pretty Good Privacy (PGP). Hiervoor moesten gebruikers hun OpenPGP public key bij Facebook uploaden en de public key van Facebook binnen hun eigen e-mailomgeving importeren, zodat gecontroleerd kon worden dat het bericht van Facebook afkomstig was. De feature werd acht jaar geleden geïntroduceerd, maar zal vandaag worden verwijderd, meldt TechCrunch. Hoeveel mensen er nog van de feature gebruikmaakten wil Facebook niet zeggen. Acht jaar geleden liet PGP-uitvinder Phil Zimmermann weten dat hij er geen gebruik van PGP maakte omdat er geen PGP-software voor zijn Mac beschikbaar was. Facebookgebruikers die versleutelde e-mailnotificaties ontvingen zullen vanaf vandaag onversleutelde berichten toegestuurd krijgen. Het is echter mogelijk om de e-mailnotificaties uit te zetten. bron: https://www.security.nl

Een zerodaylek in Microsoft Outlook waarvoor op 14 maart van dit jaar een beveiligingsupdate verscheen is sinds begin april vorig jaar door aanvallers misbruikt om toegang tot mailaccounts op Exchange-servers te krijgen, zo laat Microsoft vandaag weten. De aanvallen zouden het werk zijn van een vanuit Rusland opererende groep die bekendstaat als Fancy Bear en APT28. De kwetsbaarheid, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Door het versturen van een speciaal geprepareerde e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij de wachtwoordhash van het e-mailaccount wordt verstuurd. De verstuurde hash is vervolgens te onderscheppen en te kraken. Er is geen enkele interactie van het slachtoffer vereist, de aanvaller hoeft alleen het e-mailadres te kennen en hier een e-mail naar toe te sturen. Het zerodaylek zou onder andere tegen Poolse instanties zijn ingezet. Het Poolse Cyber Commando werkte samen met Microsoft bij het onderzoek naar de aanval. Volgens Microsoft hadden de aanvallers het in eerste instantie op 'high-value' gebruikers voorzien. Misbruik van de kwetsbaarheid vindt zeker sinds begin april 2022 plaats. Organisaties die willen kijken of hun accounts zijn gecompromitteerd zouden dan ook vanaf deze datum naar aanwijzingen moeten zoeken. Microsoft heeft instructies beschikbaar gemaakt voor het uitvoeren van dergelijke scans. Verder wordt aangeraden om gebruikers aan de Protected Users Group toe te voegen, wat voorkomt dat NTLM als authenticatiemechanisme wordt gebruikt en uitgaand SMB-verkeer op de firewall te blokkeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in een veelgebruikte WordPress-plug-in maakt het mogelijk om zo'n 170.000 websites over te nemen. Een update is sinds 29 november beschikbaar, maar op veel sites nog niet geïnstalleerd. Het gaat om de plug-in MW WP Form, waarmee het mogelijk is om mailformulieren voor WordPress-sites te maken. De plug-in is op meer dan 200.000 websites geïnstalleerd. Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om willekeurige bestanden naar de webserver te uploaden, waaronder PHP-bestanden. Daarmee is het mogelijk om willekeurige code op de webserver uit te voeren. Voorwaarde is wel dat de optie “Saving inquiry data in database” staat ingeschakeld. Het beveiligingslek werd op 24 november door securitybedrijf Wordfence aan de ontwikkelaars van de plug-in gemeld. Voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 met een 9.8 is beoordeeld, verscheen op 29 november een update (versie 5.0.2). Uit cijfers van WordPress.org blijkt dat de afgelopen week 32.000 websites de nieuwe update hebben geïnstalleerd, wat inhoudt dat nog zo'n 170.000 websites kwetsbaar zijn. Beheerders worden dan ook opgeroepen de nieuwste versie van de plug-in te installeren. bron: https://www.security.nl

Op internet zijn zo'n twintigduizend Microsoft Exchange-servers te vinden die end-of-life zijn en geen beveiligingsupdates meer ontvangen. In Nederland gaat het om zo'n zeshonderd servers, aldus de Shadowserver Foundation op basis van eigen scans. De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. De organisatie scant regelmatig op kwetsbare systemen. Laatst werd er gescand op Exchange-servers die end-of-life zijn. Dan blijkt dat erop internet zo'n twintigduizend van dergelijke systemen zijn te vinden. Het grootste deel staat in de Verenigde Staten en Duitsland, met respectievelijk vijfduizend en bijna drieduizend machines. In Nederland telt de Shadowserver Foundation 612 servers. Het grootste deel van de niet meer ondersteunde servers draait Exchange Server 2013. Deze versie van Exchange ontvangt sinds 11 april van dit jaar geen beveiligingsupdates meer. bron: https://www.security.nl

Precies tien jaar geleden lanceerde de Australische beveiligingsonderzoeker Troy Hunt de zoekmachine Have I Been Pwned, waarmee gebruikers kunnen kijken of hun e-mailadres in een bekend datalek voorkomt. Sindsdien bevat de zoekmachine e-mailadressen van 12,8 miljard 'pwned' accounts, afkomstig van 731 gecompromitteerde websites en verzamelde datasets. Hunt ontvangt e-mailadressen en wachtwoordhashes die bij deze websites zijn gestolen en voegt die toe aan zijn zoekmachine. Deze gegevens worden soms ook door opsporingsdiensten verstrekt, die slachtoffers van datalekken naar de zoekmachine verwijzen. Recentelijk deed de FBI dit met gegevens van slachtoffers van de Genesis Market, een online marktplaats die op grote schaal in gestolen persoonsgegevens handelde. Het Nederlandse Openbaar Ministerie wilde dit niet doen en besloot een eigen online check te maken waarmee mensen kunnen kijken of ze van de Genesis Market slachtoffer zijn geworden. "Internationaal wordt bij dit soort datadiefstallen standaard doorverwezen naar de website Have I Been Pwnd. Dat is een private Australische website waar de FBI ook in dit onderzoek hun onderzoeksdata aan heeft verstrekt. Wij hebben ervoor gekozen om zelf de regie te houden", zo stelde Ruben van Well, teamleider van het cybercrimeteam van de politie Rotterdam, eerder dit jaar. De Nederlandse overheid maakt echter zelf wel gebruik van Have I Been Pwned. Zo wordt er actief gekeken of er geen e-mailadressen van overheidsdomeinen in bekende datalekken voorkomen. Een aantal jaren geleden had Hunt nog gekeken of hij de zoekmachine kon verkopen, maar dat ging niet door. Recentelijk kondigde de onderzoeker verschillende abonnementen aan voor het monitoren van domeinen via Have I Been Pwned. Inmiddels werken er meerdere personen voor de zoekmachine. bron: https://www.security.nl

De EU-lidstaten en het Europees Parlement hebben een voorlopig politiek akkoord bereikt over de Cyber Resilience Act (CRA), waardoor fabrikanten hun producten minimaal vijf jaar lang van beveiligingsupdates moeten voorzien. Daarnaast moeten digitale producten – zowel software, hardware als componenten – naar verwachting vanaf 2027 voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Apparaten die als 'cyberonveilig' worden bestempeld mogen dan niet meer op de Europese markt worden aangeboden. De CRA is een wettelijke uitbreiding op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. De veiligheidseisen gaan bijvoorbeeld over het automatisch installeren van beveiligingsupdates, het versleuteld opslaan van gebruikersgegevens en gebruikers de optie bieden om data permanent te verwijderen. Minimaal vijf jaar updates Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. De minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden. Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden opensourcesoftware geldt dat zij niet aan de eisen voor fabrikanten hoeven te voldoen. Met de inwerkingtredingstermijn van drie jaar is volgens het ministerie van Economische Zaken voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen. Het voorlopige EU-akkoord moet hierna nog voor instemming worden voorgelegd aan de EU-lidstaten en het Europees Parlement. bron: https://www.security.nl

Onderzoekers hebben een manier gevonden om trainingsdata van ChatGPT op een eenvoudige manier te achterhalen, waaronder e-mailadressen en telefoonnummers. Hiervoor lieten de onderzoekers van Google DeepMind en verschillende universiteiten de chatbot een bepaald woord een oneindig keer herhalen, waarbij er opeens ook trainingsdata als antwoord werd gegeven. "De kwetsbaarheid is dat ChatGPT een groot deel van de trainingsdata onthoudt, misschien omdat het overtraind is of voor een andere reden", zo stellen de onderzoekers in een rapport. De aanval zorgt ervoor dat het onderliggende model afwijkt en zijn trainingsdata prijsgeeft. De onderzoekers denken dat het mogelijk is om op deze manier wel een gigabyte aan trainingsdata te achterhalen. Data gebruikt voor het trainen van ChatGPT is afkomstig van het openbare internet, maar de trainingsdata zelf is niet openbaar. "Hoe gevoeliger of origineler je data is, hoe belangrijker je extractie van trainingsdata vindt", aldus de onderzoekers. Die waarschuwden OpenAI op 30 augustus van dit jaar en gaven de chatbot-ontwikkelaar negentig dagen de tijd om het probleem te verhelpen voordat het openbaar zou worden gemaakt. De specifieke aanval mag dan zijn verholpen, de onderliggende kwetsbaarheid niet, zo waarschuwen de onderzoekers. bron: https://www.security.nl

Zyxel waarschuwt eigenaren van twee type NAS-apparaten voor verschillende kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller op afstand commando's op de systemen kan uitvoeren. De in totaal zes beveiligingslekken zijn aanwezig in de Zyxel NAS326 en NAS542. Drie daarvan (CVE-2023-35138, CVE-2023-4473 en CVE-2023-4474) maken het uitvoeren van OS-commando's door een ongeauthenticeerde aanvaller mogelijk. De impact van deze drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De overige drie beveiligingslekken die Zyxel heeft verholpen hebben een lagere impactscore. De fabrikant roept gebruikers op om de beschikbaar gestelde firmware-updates te installeren. De Amerikaanse overheid meldde afgelopen juni nog actief misbruik van een kritieke kwetsbaarheid (CVE-2023-27992) in NAS-apparaten van Zyxel waardoor een aanvaller ook OS-commando's kan uitvoeren. Een beveiligingsupdate verscheen op 20 juni. Nog geen drie dagen later werd het eerste misbruik al waargenomen. bron: https://www.security.nl

VMware heeft twee weken na de aankondiging van een kritieke kwetsbaarheid in VMware Cloud Director Appliance (VCD Appliance) een beveiligingsupdate uitgebracht om het probleem te verhelpen. In eerste instantie was er alleen een script als workaround beschikbaar. De VCD Appliance is een vooraf geconfigureerde virtual machine voor het draaien van VMware Cloud Director service, dat wordt gebruikt voor software-as-a-service. Via het beveiligingslek (CVE-2023-34060) kan een aanvaller de authenticatie omzeilen om zo via poort 22 (ssh) of poort 5480 (appliance management console) toegang tot het systeem te krijgen. De kwetsbaarheid doet zich alleen voor wanneer de VMware Cloud Director Appliance van een oudere versie is geüpgraded naar versie 10.5. Bij nieuwe installaties van de VCD Appliance is het probleem niet aanwezig. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware heeft versie 10.5.1 uitgebracht als oplossing en adviseert organisaties die te installeren. bron: https://www.security.nl

Onderzoekers hebben verschillende kwetsbaarheden in de bluetooth-standaard ontdekt waarmee het mogelijk is om man-in-the-middle (mitm) aanvallen op bluetooth-apparaten uit te voeren en zo versleuteld verkeer af te luisteren. Via de gevonden kwetsbaarheden zijn in totaal zes verschillende aanvallen mogelijk die door de onderzoekers de naam 'BLUFFS' hebben gekregen. BLUFFS staat zich voor BLUetooth Forward and Future Secrecy en richt zich op het compromitteren van de sessie tussen twee bluetooth-apparaten. De veiligheid en privacy van bluetooth is afhankelijk van twee beveiligingsmechanismes, namelijk het pairen en opzetten van een sessie. Via de BLUFFS-aanval is het mogelijk om de doelwitten voor het opzetten van een verbinding zwakke sessie-keys te laten gebruiken. Deze keys zijn vervolgens via een bruteforce-aanval te kraken, waarna de aanvaller het verkeer van zijn slachtoffers kan afluisteren. Daarnaast kan de aanvaller ervoor zorgen dat, zolang hij in de buurt van zijn slachtoffers is, dezelfde zwakke encryptie-sleutel voor alle sessies te laten gebruiken. Als de aanvaller erin slaagt om de encryptiesleutel te kraken is het ook mogelijk om alle eerdere en toekomstige sessies te ontsleutelen, zo stelt de Bluetooth Special Interest Group (SIG), een organisatie die toeziet op de ontwikkeling van bluetoothstandaarden. De onderzoekers hebben de BLUFFS-aanval getest tegen achttien verschillende apparaten van Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Del en Xiaomi, die in totaal zeventien verschillende bluetooth-chips gebruiken. De aanval raakt zowel de Secure Connections (SC) als Legacy Secure Connections (LSC) securitymode van bluetooth. Om de aanval uit te voeren moet een aanvaller in de buurt van twee kwetsbare bluetooth-apparaten zijn die een verbinding aan het opzetten zijn. Fabrikanten zouden inmiddels aan updates werken. bron: https://www.security.nl

Google start vrijdag 1 december aanstaande met het verwijderen van inactieve accounts. Het gaat om accounts waar gebruikers twee jaar lang niet op hebben ingelogd. Volgens het techbedrijf maken "onbeheerde accounts" vaak gebruik van oude of hergebruikte wachtwoorden die mogelijk zijn gecompromitteerd. Tevens claimt Google dat dergelijke accounts vaak geen gebruikmaken van tweefactorauthenticatie (2FA). Voordat een account daadwerkelijk wordt verwijderd zullen gebruikers gedurende een periode van verschillende maanden meerdere waarschuwingen ontvangen. Die worden zowel naar het Google-adres als hersteladres gestuurd als dat is ingesteld. Om gebruikers hierop te wijzen stuurde Google in juli al aan verschillende gebruikers een e-mail. Gebruikers die niet willen dat hun account wordt verwijderd moeten hierop inloggen. "Door proactief deze accounts te verwijderen verkleint Google het aanvalsoppervlak dat voor cybercriminelen beschikbaar is", zegt Oren Koren van securitybedrijf Veriti tegenover CNN. "Dezea actie van Google is een voorbeeld van een bredere trend in cybersecurity: het nemen van preventieve maatregelen om het digitale securitylandschap te versterken." bron: https://www.security.nl

Authenticatieplatform Okta heeft gegevens van alle klanten die support zochten gelekt. Het gaat voor de meeste klanten om naam en e-mailadres die bij een aanval eind september werden gestolen. Vorige maand liet Okta weten dat een aanvaller na een inbraak op een supportsysteem gevoelige gegevens van klanten had buitgemaakt waarmee op hun systemen kon worden ingelogd. Het datalek werd veroorzaakt door middel van gestolen inloggegevens waarmee de aanvaller kon inloggen op Okta's supportsysteem. Volgens Okta had een medewerker het wachtwoord voor het supportsysteem in zijn privé Google-account op zijn zakelijk beheerde laptop opgeslagen. Het bedrijf stelde dat de inloggegevens zeer waarschijnlijk zijn gestolen doordat de aanvallers toegang tot het privé Google-account of een privé apparaat van deze medewerker hebben gekregen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. In eerste instantie meldde Okta dat bij de aanval gegevens van 134 bedrijven waren gestolen. De aanvaller wist bij vijf klanten met gestolen sessietokens op de klantomgeving in te loggen. Drie van deze klanten, BeyondTrust, Cloudflare en 1Password, maakten de inbraak zelf bekend. Eerder uitte Cloudflare nog felle kritiek op Okta, omdat het vond dat het bedrijf meldingen over de inbraak niet serieus had genomen. Nu blijkt dat gegevens van alle bedrijven die support zochten zijn gelekt. Uit verder onderzoek naar de aanval blijkt dat de aanvaller de gegevens van alle klanten in het supportsysteem heeft opgevraagd. Voor 99,6 procent van de klanten gaat het om volledige naam en e-mailadres. "Er is een mogelijkheid dat de aanvaller deze informatie kan gebruiken om Okta-klanten via phishing of social engineering aan te vallen", aldus het authenticatieplatform, dat over een verhoogd risico op dergelijke aanvallen spreekt. Okta stelt dat het dit deel van het datalek in eerste instantie had gemist vanwege het zoekfilter dat de aanvaller gebruikte. bron: https://www.security.nl

Een kritieke kwetsbaarheid in ownCloud, een oplossing voor het uitwisselen en opslaan van bestanden, maakt het mogelijk voor aanvallers om het adminwachtwoord en andere inloggegevens te stelen en zo toegang tot opgeslagen data te krijgen. Vervolgens is het mogelijk om de aanwezige gegevens te stelen of die te versleutelen. Er zijn berichten dat het beveiligingslek, aangeduid als CVE-2023-49103, actief wordt misbruikt, maar het is de vraag of die aanvallen ook succesvol zijn. OwnCloud is een gratis opensource-oplossing die te vergelijken is met diensten zoals OneDrive, Dropbox en Google Drive. Via een ownCloud-server kunnen organisaties bestanden voor gebruikers beschikbaar maken. Op 21 november waarschuwde ownCloud voor een kritieke kwetsbaarheid waardoor een ongeautoriseerde aanvaller het adminwachtwoord, inloggegevens voor de mailserver, database credentials en S3 access-key kan stelen. De “graphapi” app van ownCloud maakt gebruik van een third-party library, die een url biedt. Via deze url is het mogelijk om de configuratiegegevens van de PHP-omgeving (phpinfo) te bekijken. Deze informatie bevat alle omgevingsvariabelen van de webserver. In 'containerized deployments' kan dit gevoelige data betreffen, zoals de eerder genoemde inloggegevens. OwnCloud benadrukt dat het uitschakelen van de graphapi app de kwetsbaarheid niet verhelpt. Daarnaast toont phpinfo ook andere mogelijk gevoelige configuratiegegevens waarmee een aanvaller informatie over het systeem kan verzamelen. Ook wanneer ownCloud niet in een container-omgeving draait is de kwetsbaarheid nog steeds reden tot zorg, aldus de softwareontwikkelaar. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Securitybedrijf GreyNoise meldde op het eigen blog dat er sinds 25 november misbruik van het beveiligingslek wordt gemaakt. Daarop kwam ook het Australische Cyber Security Centre (ACSC) met een waarschuwing. Beveiligingsonderzoeker Will Dormann laat via X weten dat het hier om niet werkende aanvallen gaat, aangezien alleen ownCloud-installaties die in een container draaien kwetsbaar zijn. bron: https://www.security.nl

Google waarschuwt gebruikers van Chrome voor een actief aangevallen zerodaylek in de browser. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2023-6345, bevindt zich in de Skia graphics engine, waar Chrome gebruik van maakt voor het weergeven van tekst en afbeeldingen. In april van dit jaar verhielp Google ook al een zerodaylek in dit deel van de browser. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 119.0.6045.199/.200 is beschikbaar voor Windows, voor Linux en macOS is versie 119.0.6045.199 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl