Captain Kirk

Dat kennen we. Mijn zoon had van de week ook zo een 24 uur waar hij zich doorheen moest worstelen 😁 Ik weet bijna wel zeker dat het probleem de accu is. Te sterke accu qua vermogen kan ervoor zorgen dat niet iedere component het vermogen ook kan verwerken. Je zou de gok kunnen wagen de laptop te starten alleen op de originele voeding. Misschien valt dan de schade nog mee. Indien de laptop niet meer start, is het betreffende beschadigde onderdeel vaak niet meer terug te vinden, laat staan, te vervangen. Dus dan moet er al snel een nieuw moederbord in. Vaak betaal je ook nog eens voor onderzoekskosten, los van of ze het probleem kunnen vinden en fixen. Mijn advies zou dan ook zijn op zoek te gaan naar een nieuw model. Let dan vooral op het werkgeheugen. 8 is mooi, 16 nog beter. Laptops met 4g. draaien wel maar bij multitasking en een spel ga je vertraging merken. AMD of Intel, schelen niet zo veel van elkaar. Op dit moment loopt AMD iets voor. Maar dat merk je vooral bij het draaien van echt zware applicaties.

QNAP heeft eigenaren van een NAS-systeem gewaarschuwd voor een variant van de AgeLocker-ransomware die data op de apparaten versleutelt. Onlangs werden QNAP-NASsen ook al doelwit van de Qlocker-ransomware die honderden systemen infecteerde. Verdere details over de ransomware zijn nog niet gegeven. QNAP stelt dat het onderzoek nog gaande is. Wel wordt gebruikers aangeraden om het QTS-besturingssysteem of QuTS hero en alle geïnstalleerde applicaties geregeld te updaten. Om het NAS-systeem verder te beveiligen wordt aangeraden om die niet voor het hele internet bereikbaar te maken. Wanneer de NAS toch online toegankelijk moet zijn adviseert QNAP het gebruik van een vpn of een myQNAPcloud-link. Vorig jaar september kwam QNAP ook al met een waarschuwing voor de AgeLocker-ransomware. Die variant bleek zich te verspreiden via een beveiligingslek in het programma Photo Station dat op de NAS-systemen kan draaien. bron: https://www.security.nl

België heeft ziekenhuizen niet aangemerkt als aanbieders van essentiële diensten, wat gevolgen heeft voor de beveiliging van systemen en het reageren op cyberaanvallen. Dat meldt de Belgische krant De Tijd. In 2016 werd de Europese Network and Information Systems (NIS)-richtlijn aangenomen. Die verplicht dat aanbieders van vitale diensten maatregelen nemen om hun systemen te beveiligden en incidenten en aanvallen melden. In Nederland werd de NIS-richtlijn omgezet naar de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn verplicht vitale aanbieders om technische en organisatorische beveiligingsmaatregelen te nemen om cyberincidenten te voorkomen of hun impact te beperken. Ook moet er beveiligingsbeleid zijn uitgewerkt, geldt er een meldplicht voor het melden van ernstige incidenten en moeten er periodiek audits naar de veiligheid van systemen worden uitgevoerd. In België werd de richtlijn twee jaar geleden naar nationale wetgeving omgezet. De Belgische regering heeft echter nagelaten om ziekenhuizen als essentiële dienst aan te merken. Die zijn daardoor niet verplicht om cyberaanvallen te melden en kunnen in het geval van een incident niet eenvoudig een beroep doen op de overheid om hen te helpen. De Belgische minister van Volksgezondheid Frank Vandenbroucke laat in een reactie weten dat hij de situatie wil verbeteren. "Naar aanleiding van de recente cyberaanvallen is de overheid opnieuw in overleg gegaan met de sector van de ziekenhuizen en de laboratoria, en werden een aantal instrumenten aangereikt om de cyberveiligheid te verhogen. Sinds begin dit jaar wordt de richtlijn NIS-2 besproken. Binnen dit kader willen we tot een aanpak komen op maat van de ziekenhuissector." bron: https://www.security.nl

Mozilla heeft de eigen vpn-dienst nu ook gelanceerd in Duitsland en Frankrijk. Wanneer Nederland aan de beurt is, is nog niet bekend. Vorig jaar juli werd Mozilla VPN als eerste in Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde State uitgerold. De vpn-dienst maakt gebruik van het WireGuard-protocol dat volgens de ontwikkelaar een snellere, eenvoudigere en modernere vpn-oplossing is dan IPSec. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. Mozillas vpn is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. Ook Mozilla zelf zegt geen logbestanden bij te houden of netwerkgegevens van gebruikers te volgen of delen. De vpn-dienst kost 5 dollar per maand en werkt met Android versie 8 en nieuwer, iOS 12.0 en nieuwer, macOS 10.14 en nieuwer, Ubuntu 18.04 en nieuwer en Windows 10 64-bit. Tevens is het gebruik van een Firefox-account verplicht. bron: https://www.security.nl

Klanten van wachtwoordmanager Passwordstate, die onlangs slachtoffer van een supply-chain-aanval werd, zijn doelwit van een gerichte phishingaanval geworden, zo laat softwareontwikkelaar Click Studios weten. Het bedrijf roept klanten tevens op om e-mails over de supply-chain-aanval niet via social media te delen. Passwordstate is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Vorige week liet ontwikkelaar Click Studios weten dat aanvallers het updatemechanisme van de wachtwoordmanager hadden gecompromitteerd en zo klanten met malware konden infecteren. Volgens Click Studios wordt de wachtwoordmanager door 29.000 klanten en 370.000 it-professionals wereldwijd gebruikt, waaronder Fortune 500-bedrijven. De malafide update downloadde weer een ander bestand dat informatie over het besmette systeem, zoals gebruikersnaam, domeinnaam, computernaam, draaiende services, en Passwordstate-data terugstuurde naar de aanvallers. Daardoor is er een risico dat wachtwoorden van klanten in handen van de aanvallers terecht zijn gekomen. De afgelopen dagen heeft Click Studios via e-mail met klanten over de supply-chain-aanval en verspreidde malware gecommuniceerd. Sommige klanten deelden deze e-mails via social media. Iets wat Click Studios afraadt om te doen, aangezien de aanvaller hier nu misbruik van blijkt te maken. De inhoud van deze e-mails is namelijk gebruikt voor phishingaanvallen op klanten, aldus de softwareontwikkelaar. In de phishingmails die over de supply-chain-aanval gaan wordt klanten opgeroepen om een bepaald zip-bestand te downloaden. Dit zip-bestand bevat een variant van de malware die bij de supply-chain-aanval werd gebruikt en downloadt een aanvullend bestand. Wat dit bestand precies doet wordt op het moment nog onderzocht. Klanten wordt dan ook aangeraden om alert te zijn op phishingmails en bij twijfel contact op te nemen met de helpdesk (pdf). bron: https://www.security.nl

Cloudprovider DigitalOcean heeft van een onbekend aantal klanten de privégegevens gelekt die in handen van een aanvaller zijn gekomen. De datadiefstal vond plaats tussen 9 en 22 april van dit jaar. Daarbij kreeg de aanvaller toegang tot de naam, adresgegevens en creditcardgegevens van klanten. Wat de creditcardgegevens betreft gaat het om verloopdatum, laatste vier cijfers van het creditcardnummer en banknaam. DigitalOcean geeft geen informatie over hoe de aanvaller toegang tot factuurgegevens van klanten kon krijgen, maar stelt dat de gebruikte kwetsbaarheid is verholpen en "ongeautoriseerde partijen" geen toegang meer tot de data hebben. Tevens zijn relevante privacytoezichthouders over het datalek geïnformeerd, zo staat in een e-mail die naar gedupeerde klanten werd gestuurd. Tegenover TechCrunch laat de cloudprovider weten dat één procent van de "factuurprofielen" door het datalek is getroffen, maar noemt verder geen concreet aantal. bron: https://www.security.nl

Een toekomstige versie van Microsoft Edge biedt gebruikers de optie om alle domeinen die ze bezoeken standaard over https te laden, wat gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Dat laat Microsoft in een roadmap voor Edge weten. Vanaf Edge 92, die gepland staat voor deweek van 22 juli, krijgen gebruikers de mogelijkheid om hun verbinding standaard via https in plaats van http te laten lopen voor domeinen die het veiligere protocol waarschijnlijk zullen ondersteunen. Hoe Microsoft zal bepalen of een domein ook via https bereikbaar is wordt nog niet duidelijk gemaakt. Daarnaast kan de browser ook zo worden ingesteld dat https standaard voor alle domeinen wordt gebruikt. "Veiligere verbindingen beschermen klanten tegen man-in-the-middle-aanvallen", aldus Microsoft. Eerder namen ook Google en Mozilla soortgelijke stappen. Zo is https inmiddels het standaard protocol in de adresbalk van Chrome en biedt Firefox een "https-only mode" waarbij gebruikers kunnen instellen dat websites alleen via https worden bezocht. bron: https://www.security.nl

Mozilla hanteert vanaf 1 mei nieuwe regels voor certificaatautoriteiten waarmee het aantal gemaakte fouten bij het uitgeven van nieuwe certificaten moet worden teruggedrongen. In de Root Store Policy beschrijft Mozilla hoe het met certificaten en certificaatautoriteiten omgaat. Versie 2.7.1 van het beleid zal op 1 mei aanstaande van kracht worden. Certificaatautoriteiten spelen, doordat ze tls-certificaten voor websites uitgeven, een belangrijke rol bij het vertrouwen op internet. Met de Root Store Policy wil Mozilla ervoor zorgen dat het beter toezicht op de compliance van certificaatautoriteiten kan houden, de werkwijze van certificaatautoriteiten wordt verbeterd en er minder fouten worden gemaakt bij het uitgeven van nieuwe tls-certificaten. De nieuwe regels gaan onder andere over de verplichte auditrapporten die certificaatautoriteiten moeten aanleveren, de documentatie die bij incidenten moet worden verstrekt en welke methodes mogen worden gebruikt om aan te tonen dat de private key van de certificaatautoriteit is gecompromitteerd. Naast de regels die op 1 mei van kracht worden zal het vanaf 1 oktober 2021 verplicht zijn voor certificaatautoriteiten om domeinen en ip-adressen binnen 398 dagen voor de uitgifte van een certificaat te verifiëren. "Veel van deze aanpassingen zullen zorgen voor updates en verbeteringen van de processen van certificaatautoriteiten en auditors", aldus Ben Wilson van Mozilla. "Het updaten van de Root Store Policy verbetert het security-ecosysteem van het internet en de kwaliteit van elke https-verbinding, en helpt dus om je informatie privé en veilig te houden." bron: https://www.security.nl

Meer dan negenduizend WordPress-sites zijn door beveiligingslekken in een gebruikte plug-in kwetsbaar voor aanvallen en een beveiligingsupdate is niet beschikbaar. Het gaat om de plug-in Store Locator Plus, die inmiddels door WordPress van de officiële downloadsite voor plug-ins is verwijderd. Store Locator Plus is een plug-in waarmee bijvoorbeeld winkels, bedrijven of andere locaties een routebeschrijving voor bezoekers en klanten kunnen tonen. Er zijn twee kwetsbaarheden in de plug-in waardoor aanvallers beheerders kunnen worden. De eerste kwetsbaarheid maakt het mogelijk voor geauthenticeerde gebruikers om via hun metadata beheerder op elke website te worden die van de plug-in gebruikmaakt. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. De ontwikkelaar van de plug-in werd op 5 maart door securitybedrijf Wordfence over het lek ingelicht en kwam op 5 april met een patch. Die blijkt onvolledig te zijn, waardoor de kwetsbaarheid als ongepatcht moet worden beschouwd. Vanwege het beveiligingslek besloot WordPress de plug-in op 12 april van de downloadsectie van WordPress.org te verwijderen. Een tweede kwetsbaarheid die nog altijd ongepatcht is en een impactscore van 7,2 heeft, maakt het voor ongeauthenticeerde aanvallers mogelijk om malafide JavaScript aan pagina's toe te voegen. Hiermee kan een aanvaller backdoors injecteren of een nieuw beheerdersaccount toevoegen en zo de website overnemen. Beheerders van websites die van de plug-in gebruikmaken wordt aangeraden die uit te schakelen. Aangezien updates ontbreken zijn er geen uitgebreide technische details van de kwetsbaarheden openbaar gemaakt. bron: https://www.security.nl

Criminelen maken gebruik van een ruim twee jaar oude kwetsbaarheid in SharePoint om servers met ransomware te infecteren, wat aantoont dat nog altijd veel organisaties de beschikbare beveiligingsupdate niet hebben geïnstalleerd, zo waarschuwt antivirusbedrijf Trend Micro. De kwetsbaarheid, aangeduid als CVE-2019-0604, werd in februari en maart 2019 door Microsoft gepatcht. Door een speciaal geprepareerde SharePoint-appplicatie naar een SharePoint-server te uploaden kan een aanvaller willekeurige code op de server uitvoeren. Al in mei van 2019 waarschuwde de Canadese overheid voor aanvallen die misbruik van het beveiligingslek maakten. Vorig jaar publiceerde de Amerikaanse overheid nog een Top 10 van meest aangevallen kwetsbaarheden waarin het beveiligingslek ook werd genoemd. Desondanks zijn een jaar later nog tal van organisaties waar er met kwetsbare SharePoint-servers wordt gewerkt, stelt Trend Micro. Die servers zijn nu het doelwit van ransomware-aanvallen. Door het beveiligingslek installeren aanvallers een webshell en daarmee de Beacon-dropper van het Cobalt Strike-framework. Via de dropper wordt uiteindelijk de Hello/WickrMe-ransomware geïnstalleerd. Slachtoffers moeten vervolgens losgeld betalen voor het ontsleutelen van hun gegevens. Hoe langer slachtoffers wachten met betalen, des te hoger het losgeld. Organisaties wordt aangeraden om de beschikbare beveiligingsupdate te installeren. bron: https://www.security.nl

GitHub heeft besloten om de nieuwe trackingmethode van Google genaamd FLoC standaard te blokkeren op alle pagina's van github.io. Dat laat het populaire platform voor softwareontwikkelaars in een blogposting weten en is ook aangekondigd door GitHub-ceo Nat Friedman op Twitter. Federated Learning of Cohorts (FLoC) is een nieuwe trackingmethode van Google waarbij Chrome-gebruikers op basis van hun browsegedrag in zogeheten cohorten worden geplaatst. Vervolgens kunnen adverteerders aan gebruikers binnen een bepaald cohort advertenties tonen. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Het cohort wordt met websites en adverteerders gedeeld, zodat die op basis van het cohort gericht kunnen adverteren. Zowel websites als Chrome-gebruikers doen standaard aan FLoC mee. "We vermoeden dat Google FLoC opt-out heeft gemaakt voor gebruikers en websites omdat Google weet dat een opt-in privacyschendend systeem nooit de schaal zou bereiken die het interessant voor adverteerders maakt om te gebruiken", liet Brandon Eich, ceo van browserontwikkelaar Brave, onlangs nog weten. Hij riep alle websites op om FLoC uit te schakelen. De Amerikaanse burgerrechtenbeweging EFF noemde FLoC eerder een verschrikkelijk idee. GitHub heeft geen reden gegeven voor het blokkeren van de trackingmethode. Door het toevoegen van een header aan alle websites op github.io wordt Google Chrome verteld dat FLoC voor de betreffende pagina moet worden uitgeschakeld. De maatregel geldt niet voor websites die van een custom domain gebruiken. Beheerders van deze sites moeten de header zelf toevoegen. Eerder liet ook WordPress weten dat het van plan is om FLoC te gaan blokkeren. bron: https://www.security.nl

Vandaag is door een actie van internationale opsporingsdiensten de beruchte Emotet-malware van ruim één miljoen besmette computers wereldwijd verwijderd. In januari wisten de Nederlandse politie en buitenlandse opsporingsdiensten het Emotet-netwerk over te nemen. Twee van de drie hoofdservers waarmee het Emotet-botnet werd aangestuurd bevonden zich in Nederland en kwamen in handen van de Nederlandse politie. "Op de Nederlandse centrale servers wordt een software-update geplaatst voor alle geïnfecteerde computersystemen. Alle geïnfecteerde computersystemen halen de update daar automatisch op, waarna de Emotet-besmetting in quarantaine wordt geplaatst", zo lieten het Openbaar Ministerie en de Nederlandse politie bij de aankondiging van de operatie weten. Naast de Nederlandse politie rolde ook de Duitse politie een update uit die ervoor zorgde dat de malware vandaag automatisch werd verwijderd. Het gaat hierbij alleen om de registersleutel en service waarmee Emotet zich op geïnfecteerde computers startte. Andere malware die via Emotet werd geïnstalleerd kan nog steeds op besmette machines actief zijn. "Het uitrollen van code via een botnet, zelfs met de juiste intenties, is vanwege de juridische consequenties die dit soort acties inhouden altijd een lastig onderwerp geweest", stelt beveiligingsonderzoeker Jerome Segura van antimalwarebedrijf Malwarebytes. Hoewel het Emotet-botnet al in januari werd uitgeschakeld werd besloten om de malware pas vandaag te verwijderen, zodat beheerders voldoende tijd hadden om geïnfecteerde computers te onderzoeken. bron: https://www.security.nl

QNAP heeft de eigen anti-malwaretool van een update voorzien om de Qlocker-ransomware te verwijderen die afgelopen dagen honderden NAS-systemen wist te infecteren. Volgens QNAP maken de aanvallers gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync om toegang tot NAS-systemen te krijgen en vervolgens de ransomware te installeren. Die versleutelt bestanden op de NAS en eist 450 euro voor het ontsleutelen van de data. QNAP adviseert gebruikers om naar de meest recente versie van de genoemde software te updaten. Tevens wordt aangeraden om de Malware Remover-tool op het NAS-systeem uit te voeren. In het geval data is versleuteld moeten slachtoffers eerst een scan uitvoeren en daarna contact opnemen met de helpdesk van QNAP. Het NAS-systeem moet niet worden uitgeschakeld. Ook niet getroffen gebruikers wordt uit voorzorg aangeraden om de nieuwste versie van de Malware Remover te installeren. Verder raadt QNAP aan om de standaardpoort 8080 voor het benaderen van het NAS-systeem te wijzigen, back-ups van de data op de NAS te maken en een sterk wachtwoord te gebruiken. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om het updatemechanisme van de zakelijke wachtwoordmanager Passwordstate te compromitteren en zo een update te verspreiden die klanten met malware genaamd 'Moserpass' infecteerde. Het gaat om een zogenaamde supply-chain-aanval. Dat laat ontwikkelaar Click Studios in een waarschuwing op de eigen website en in een e-mail aan klanten weten (pdf). Passwordstate is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Volgens Click Studios wordt de wachtwoordmanager door 29.000 klanten en 370.000 it-professionals wereldwijd gebruikt, waaronder Fortune 500-bedrijven. Aanvallers wisten van 20 april tot en met 22 april het updatemechanisme te compromitteren en konden zo een besmette update onder klanten uitrollen. Deze update downloadde weer een ander bestand dat informatie over het besmette systeem, zoals gebruikersnaam, domeinnaam, computernaam, draaiende services, en Passwordstate-data terugstuurde naar de aanvallers. Daardoor is er een risico dat wachtwoorden van klanten in handen van de aanvallers terecht zijn gekomen. Updates voor de wachtwoordmanager die klanten handmatig installeren zijn niet door de aanvallers gecompromitteerd. Hoe de aanvallers toegang tot het updatesysteem konden krijgen is nog niet bekendgemaakt, maar volgens Click Studios is er geen sprake van zwakke of gestolen inloggegevens. Click Studios adviseert klanten om alle wachtwoorden die ze in de wachtwoordmanager hebben opgeslagen te wijzigen. bron: https://www.security.nl

Zeker tienduizend WordPress-sites zijn nog altijd kwetsbaar voor aanvallen omdat een beschikbare beveiligingsupdate niet is geïnstalleerd. De websites maken gebruik van The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken. Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen. De kwetsbaarheid werd al voor het uitkomen van een beveiligingsupdate aangevallen. Op 9 maart kwamen de ontwikkelaars van de add-on met een patch. Volgens securitybedrijf Wordfence heeft een kleine zestig procent van de websites de update inmiddels geïnstalleerd. Zeker tienduizend websites hebben dat niet gedaan en lopen daardoor risico. Wordfence claimt dat het miljoenen aanvallen heeft waargenomen waarbij aanvallers het hadden voorzien op het beveiligingslek in The Plus Addons. Zodra aanvallers een website hebben gecompromitteerd voegen ze onder andere JavaScript toe die bezoekers naar malafide websites doorstuurt. bron: https://www.security.nl

Een Amerikaanse organisatie is bijna een jaar lang gecompromitteerd geweest door aanvallers die de vpn-wachtwoorden van thuiswerkers hadden bemachtigd en een kwetsbaarheid in de software van SolarWinds gebruikten voor de installatie van een backdoor. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens het CISA staat deze aanval en de gebruikte Supernova-malware los van de wereldwijde supply-chain-aanval via de software van SolarWinds die vorig jaar werd ontdekt. Microsoft waarschuwde eind december vorig jaar al voor de Supernova-malware die wordt geïnstalleerd via een kwetsbaarheid in het Orion-platform van SolarWinds. Via dit lek kan een ongeauthenticeerde aanvaller commando's op de Orion-server uitvoeren en zo de backdoor installeren. Microsoft stelde destijds al dat de aanval met de Supernova-malware los stond van de supply-chain-aanval en was uitgevoerd door een andere groep aanvallers. Het CISA heeft nu meer details over de aanval op één van de getroffen organisaties gegeven. De aanvallers wisten van maart 2020 tot en met februari 2021 via de Pulse Secure vpn-server van deze organisatie in te loggen op het bedrijfsnetwerk. Hierbij maakten de aanvallers gebruik van geldige vpn-wachtwoorden van thuiswerkers. Voor deze accounts was geen multifactorauthenticatie ingesteld. Hoe de aanvallers deze wachtwoorden hebben bemachtigd is onbekend. Daarnaast gebruikten de aanvallers Amerikaanse ip-adressen om verbinding met de vpn-server te maken. "Zo konden ze zich voordoen als thuiswerkers", laat het CISA in de analyse weten. De ip-adressen in kwestie waren van routers die zeer vermoedelijk door de aanvallers zijn gecompromitteerd. Nadat er toegang tot het netwerk was verkregen maakten de aanvallers verbinding met de SolarWinds Orion-server. Via de kwetsbaarheid in de software, die inmiddels is gepatcht, werd de Supernova-backdoor geïnstalleerd. Via de backdoor brachten de aanvallers vervolgens het netwerk in kaart en konden allerlei gevoelige informatie en inloggegevens stelen. Het CISA geeft in de analyse verschillende details over de aanvallers en malware, waaronder ip-adressen. Organisaties die de Supernova-malware in hun netwerk aantreffen wordt opgeroepen om dit incident als een andere aanval dan de supply-chain-aanval te beschouwen. bron: https://www.security.nl

De Europese privacytoezichthouder EDPS wil dat er een verbod komt op gezichtsherkenning en andere vormen van biometrische identificatie in de openbare ruimte. Dat laat de EDPS weten naar aanleiding van een wetsvoorstel van de Europese Commissie om misbruik van kunstmatige intelligentie tegen te gaan. Het wetsvoorstel van de Europese Commissie stelt onder andere dat alle systemen voor biometrische identificatie op afstand als risicovol worden beschouwd en aan strikte eisen moeten voldoen. Zo is het gebruik van dergelijke systemen in openbare ruimtes "in beginsel" verboden. Er zijn echter uitzonderingen die het mogelijk maken om deze systemen wel in te zetten. De Europese Toezichthouder voor gegevensbescherming (EDPS) had eerder opgeroepen tot een compleet verbod van biometrische identificatie in openbare ruimtes, waaronder gezichtsherkenning, maar daar is geen gehoor aan gegeven. De EDPS zegt zich dan ook te zullen blijven inzetten voor een strengere aanpak van technologie waarmee menselijke kenmerken in de openbare ruimte automatisch worden herkend, zoals gezicht, beweging, vingerafdruk en stem. "Een strengere aanpak is noodzakelijk, gegeven dat biometrische identificatie op afstand, waar AI op ongekende wijze aan kan bijdragen, zeer grote risico's met zich meebrengt wat betreft een vergaande en ondemocratische inbreuk op het privéleven", aldus de EDPS. De toezichthouder zal het voorstel van de Europese Commissie nauwgezet en uitgebreid analyseren, waarbij de nadruk ligt op tools en systemen die een risico voor de fundamentele rechten op databescherming en privacy vormen. bron: https://www.security.nl

Tientallen webshops van het bedrijf DutchDo uit Kerkrade zijn getroffen door een datalek nadat een aanvaller toegang tot de database kreeg, zo blijkt uit een e-mail die het bedrijf naar klanten heeft gestuurd. De gelekte gegevens betreffen in ieder geval adresgegevens en e-mailadres, maar op Twitter laten gedupeerde klanten weten dat in het bericht dat zij ontvingen ook de diefstal van hun IBAN-nummer wordt gemeld. DutchDo exploiteert meer dan dertig verschillende webshops, zoals Adapters.nl, Coaxkabel.nl, Externehardeschijf.nl, Ventilators.nl en Wifiversterken.nl, zo meldt Opgelicht?!. Het bedrijf waarschuwt klanten dat de gestolen gegevens voor spam en phishingaanvallen kunnen worden gebruikt. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Verdere details over de aanval zijn niet gegeven. Op Twitter wordt verder gemeld dat DutchDo en AlleKabels, waar onlangs bleek dat de gegevens van 3,6 miljoen klanten waren gestolen, dezelfde holding hebben. bron: https://www.security.nl

Twitter heeft per ongeluk een e-mail naar gebruikers verstuurd waarin hen werd gevraagd om hun Twitteraccount te bevestigen. Veel gebruikers dachten dat het om een phishingaanval of scam ging, mede omdat de e-mail onverwachts kwam. De e-mail had als onderwerp "Confirm your Twitter account" met de Twitternaam van de gebruiker en bevatte een grote knop genaamd "Confirm Now". Via het officiële Twitter Support-account laat de microbloggingdienst weten dat het om een fout ging en het bericht niet verstuurd had moeten worden. Twittergebruikers die de e-mail hebben ontvangen hoeven hun account niet te bevestigen en kunnen het bericht negeren. bron: https://www.security.nl

Met de volgende versie van Google Chrome kan de browser inloggegevens tussen aanverwante websites delen. Wanneer de gebruiker een account heeft op de website example.com kan Chrome straks aanbieden om daarmee ook in te loggen op example.co.uk als deze site van dezelfde achterliggende partij is, zo heeft Google bekendgemaakt. Op dit moment biedt Chrome deze optie niet aan, wat ervoor kan zorgen dat hetzelfde wachtwoord voor verschillende domeinen in de browser wordt opgeslagen. Chrome 91 biedt gebruikers straks de optie om een opgeslagen wachtwoord voor alle aanverwante websites in te voeren die via Digital Asset Links (DALs) aan elkaar zijn gekoppeld. Het Digital Asset Links (DAL)-protocol maakt het mogelijk voor een app of website om een verifieerbare verklaring over andere apps of websites te maken. Zo kan website A aangeven dat de inloggegevens die Chrome voor de site heeft opgeslagen ook voor website B zijn te gebruiken, zodat gebruikers niet op website B hoeven in te loggen als ze al op website A zijn ingelogd. Bedrijven, organisaties of andere partijen die meerdere websites met hetzelfde accountsysteem hebben kunnen vanaf Chrome 91 ervoor zorgen dat de browser aan gebruikers aanbiedt om opgeslagen inloggegevens voor de ene website ook voor aanverwante websites te gebruiken. Hiervoor moeten de websites in kwestie wel een DAL-koppeling maken, wat is te doen door het toevoegen van een JSON-bestand. Chrome 91 staat gepland voor 25 mei. bron: https://www.security.nl

Eigenaren van een QNAP NAS-systeem die gebruikmaken van Hybrid Backup Sync (HBS 3) zijn gewaarschuwd voor een kritieke kwetsbaarheid in de software waardoor een aanvaller op afstand toegang tot het apparaat kan krijgen. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen. QNAP stelt dat het om een ernstig beveiligingslek gaat, aangeduid als CVE-2021-28799. Er zijn echter beveiligingsupdates beschikbaar gesteld en QNAP adviseert gebruikers om naar de laatste versie van HBS 3 te updaten. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP zijn de afgelopen dagenb het doelwit geworden van een aanval met de Qlocker-ransomware die bestanden voor losgeld versleutelt. Volgens QNAP maken de aanvallers gebruik van een recent verholpen kwetsbaarheid om systemen met de ransomware te infecteren. Het kritieke beveiligingslek, aangeduid als CVE-2020-36195, is aanwezig in de multimedia console en media streaming add-on en maakt het mogelijk voor aanvallers om op afstand volledige toegang tot een kwetsbaar NAS-systeem te krijgen en ransomware uit te voeren. Vorige week kwam QNAP met een waarschuwing voor de kwetsbaarheid en liet weten in welke versies van de applicaties en QTS die is verholpen. De ransomware maakt gebruik van het archiveringsprogramma 7-Zip om bestanden op het NAS-systeem te versleutelen en eist 450 euro voor het ontsleutelen van de data. Op het forum van Bleeping Computer hebben zich al honderden slachtoffers van de ransomware gemeld. Onderzoekers hebben mogelijk een manier gevonden waardoor slachtoffers kosteloos hun bestanden kunnen ontsleutelen, maar dit wordt nog verder onderzocht. bron: https://www.security.nl

Antivirusbedrijf Trend Micro waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de beveiligingssoftware van de virusbestrijder. Het beveiligingslek CVE-2020-24557 bevindt zich in Trend Micro Apex One, Apex One as a Service en OfficeScan XG. Via de kwetsbaarheid kan een aanvaller bepaalde beveiligingsfeatures uitschakelen, bepaalde Windows-features uitschakelen of misbruiken of zijn rechten verhogen. Een aanvaller moet wel toegang tot het systeem hebben om misbruik van de kwetsbaarheid te kunnen maken. Mogelijk is de kwetsbaarheid in de beveiligingssoftware gecombineerd met een ander beveiligingslek of is er via malware misbruik van gemaakt. Trend Micro kwam vorig jaar augustus met een beveiligingsupdate voor het beveiligingslek, maar maakte gisteren bekend dat de kwetsbaarheid actief wordt aangevallen. Klanten die de update nog niet hebben geïnstalleerd worden dan ook opgeroepen dit zo snel mogelijk te doen. Ook het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een waarschuwing voor het aangevallen lek gegeven. Het is niet de eerste keer dat Trend Micro Apex One en OfficeScan het doelwit van aanvallen zijn. Vorig jaar liet de virusbestrijder nog weten dat zerodaylekken in de beveiligingssoftware actief waren misbruikt, mogelijk bij Mitsubishi Electric. bron: https://www.security.nl

De criminelen achter de REvil-ransomware claimen te hebben ingebroken op het netwerk van Quanta Computer, een bedrijf dat onder andere levert aan Apple, Cisco, Dell, HP en Lenovo. Daarbij zouden grote hoeveelheden vertrouwelijke tekeningen en gigabytes aan persoonlijke data zijn buitgemaakt en versleuteld. De aanvallers eisen 50 miljoen dollar voor het ontsleutelen van de gegevens en het niet publiceren van de gestolen data. Om de leverancier onder druk te zetten heeft de REvil-groep via de eigen website inmiddels verschillende afbeeldingen van een nieuwe laptop openbaar gemaakt, waaronder de binnenkant van wat lijkt een Macbook, zo laat Bloomberg weten. De criminelen zeggen dat ze de komende dagen meer bestanden zullen publiceren tenzij Apple betaalt. Quanta Computer erkent dat er een aanval op een "klein aantal" Quanta-servers heeft plaatsgevonden, maar geeft geen verdere informatie over de aard van deze aanval, behalve dat die geen wezenlijke impact op de bedrijfsvoering van de leverancier heeft. bron: https://www.security.nl

De Europese Commissie heeft vandaag nieuwe regels gepresenteerd voor kunstmatige intelligentie en de toepassingen waarvoor de technologie mag worden ingezet. Zo wil Brussel dat AI-systemen die een duidelijke bedreiging vormen voor de veiligheid, bestaansmiddelen en rechten van mensen, worden verboden. Het gaat dan om systemen of toepassingen die menselijk gedrag manipuleren en systemen die "sociale scoring" door overheden mogelijk maken. Zo wordt in China een sociaal kredietscoresysteem gebruikt dat bijhoudt hoe mensen zich gedragen. Als gevolg van bijvoorbeeld bepaalde overtredingen kunnen mensen een lagere score krijgen, wat weer maatschappelijke gevolgen kan hebben. Daarnaast wil de EC "strenge verplichtingen" voor AI-systemen waarvan het risico als "hoog" wordt bestempeld. Zo zullen alle systemen voor biometrische identificatie op afstand als risicovol worden beschouwd en aan strikte eisen moeten voldoen. Zo is het gebruik van dergelijke systemen in openbare ruimtes "in beginsel" verboden. Er zijn echter uitzonderingen die het mogelijk maken om deze systemen wel in te zetten, zoals het zoeken naar een vermist kind, opsporen van een dader of verdachte van een ernstig misdrijf en het voorkomen van een aanslag. Er moet dan vooraf toestemming worden gegeven door een rechterlijke of andere onafhankelijke instantie, die slechts geldt voor een beperkte termijn en omgeving en voor specifieke databases. Bij het gebruik van AI-systemen zoals chatbots moeten gebruikers zich ervan bewust zijn dat ze contact hebben met een machine. De Europese Commissie verwacht dat de meeste AI-systemen in de categorie "minimaal risico" vallen, zoals op AI-gebaseerde videospellen of spamfilters. "Voor kunstmatige intelligentie is vertrouwen een must, geen luxe. Met deze baanbrekende regels neemt de EU het voortouw bij de ontwikkeling van nieuwe mondiale normen om ervoor te zorgen dat iedereen AI kan vertrouwen", zegt Margrethe Vestager, Eurocommissaris voor Mededinging. "Door normen vast te stellen kunnen we de weg vrijmaken voor wereldwijde ethische technologie en ervoor zorgen dat de EU concurrerend blijft." bron: https://www.security.nl