Captain Kirk

De ontwikkelaars van OpenSSL zullen volgende week dinsdag 21 april een belangrijke beveiligingsupdate uitbrengen, zo hebben ze aangekondigd. OpenSSL versie 1.1.1g zal één of meerdere kwetsbaarheden verhelpen waarvan de impact als "high" is bestempeld. Het is al meer dan drie jaar geleden dat er voor een beveiligingslek met een dergelijke impact in OpenSSL een beveiligingsupdate is verschenen. Alle kwetsbaarheden die sinds februari 2017 werden gepatcht hadden een lagere impact. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. Exacte details over het beveiligingslek dat aanstaande dinsdag 21 april zal worden verholpen zijn nog niet gegeven, behalve dat OpenSSL 1.1.g tussen 15:00 en 19:00 uur Nederlandse tijd zal verschijnen. bron: security.nl

Gamepadfabrikant Scuf Gaming heeft via een onbeveiligde database 1,1 miljoen klantenrecords gelekt. Volgens het bedrijf, dat eigendom van de bekende hardwarefabrikant Corsair is, gaat het om een systeem dat vanwege de thuiswerkmaatregelen rondom het coronavirus off-site werd beheerd. De database bevatte informatie over klantbestellingen, retouren en reparaties. Het ging onder andere om namen, e-mailadressen, adresgegevens, factuuradressen, bestelgeschiedenis, laatste vier cijfers van de creditcard en verloopdatum. De database was voor iedereen op internet zonder wachtwoord toegankelijk en werd gevonden door beveiligingsonderzoeker Bob Diachenko. De onderzoeker trof echter ook een bericht van criminelen aan dat de database was gedownload en er losgeld moest worden betaald om de data terug te krijgen. Volgens Corsair zijn er echter geen aanwijzingen dat criminelen ook daadwerkelijk de klantendatabase hebben gedownload. Naast de gegevens van klanten werden ook gegevens van medewerkers aangetroffen, waaronder gebruikersnamen, namen, versleutelde wachtwoorden, e-mailadressen en andere data. De database werd op 2 april door zoekmachine BinaryEdge geïndexeerd en een dag later door Diachenko gevonden. De onderzoeker waarschuwde Scuf Gaming op 3 april, waarop de database twee uur later werd beveiligd. Het zou voornamelijk gaan om data van klanten die tussen 2017 en 2020 contact met het bedrijf hebben gehad. bron: security.nl

Oracle heeft tijdens de patchronde van april een recordaantal van 405 kwetsbaarheden in een groot aantal producten verholpen. Niet eerder verhielp het softwarebedrijf in één keer zoveel beveiligingslekken, zo blijkt uit een vooraankondiging van de updates die later vandaag verschijnen. In tegenstelling tot veel andere bedrijven komt Oracle eens per kwartaal met beveiligingsupdates voor alle ondersteunde producten, wat het grote aantal verholpen kwetsbaarheden per patchronde verklaart. Dat neemt niet weg dat 405 kwetsbaarheden zelfs voor Oracle een groot aantal is. Het vorige "record" stond op 334. Het ging om de patchrondes van juli 2018 en januari 2020. Meerdere van de nu gepatchte kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het gaat onder andere om beveiligingslekken in Oracle MySQL, Fusion Middleware, Enterprise Manager en de Oracle Retail- en Oracle Communications-applicaties. De meeste kwetsbaarheden werden gepatcht in Oracle E-Business Suite (74), gevolgd door Oracle Fusion Middleware (56) en Oracle MySQL (45). Tevens zijn er vijftien kwetsbaarheden in Java verholpen die in alle gevallen het op afstand uitvoeren van code mogelijk maakten als er een kwaadaardige of gecompromitteerde website werd bezoekt. De beveiligingsupdates zullen later vandaag via Oracle zijn te downloaden. De volgende patchronde van Oracle staat gepland voor 14 juli 2020. bron: security.nl

Mozilla heeft besloten om de ondersteuning van het ftp-protocol in Firefox wegens de coronapandemie pas op een later moment dit jaar uit te schakelen. Oorspronkelijk zou het einde van de ftp-support op 2 juni plaatsvinden, maar dat is nu verschoven naar 28 juli. Mocht de coronasituatie op dat moment nog niet zijn verbeterd, dan zal een andere datum worden gekozen, zo heeft de browserontwikkelaar bekendgemaakt. Volgens Mozilla is ftp een nog nauwelijks gebruikt en onveilig protocol. "Het stamt nog van voor het web en is niet met veiligheid in het achterhoofd ontwikkeld", zegt Mozillas Caitlin Neiman. Firefoxgebruikers die straks nog bestanden via ftp willen downloaden zullen hiervoor een externe applicatie moeten gebruiken. Oorspronkelijk was Mozilla van plan om de ftp-support met de lancering van Firefox 77 op 2 juni van dit jaar uit te schakelen. "Om het risico van mogelijke problemen tijdens de coronapandemie te voorkomen zal ftp tot eind juli niet in de releaseversie van Firefox worden uitgeschakeld. Als de situatie niet op 28 juli is verbeterd, de verwachte releasedatum van Firefox 79, kunnen er verdere vertragingen zijn", merkt Neiman op. In de Nightly-versie van Firefox, een zeer vroege testversie van de browser, is ftp-support al uitgeschakeld. Gebruikers kunnen het via de instellingen van de about:config pagina nog wel inschakelen. Begin 2021 wordt echter alle code uit de browser verwijderd die met het ftp-protocol verband houdt. Ontwikkelaars van Firefox-extensies die in hun extensies gebruikmaken van ftp worden door Mozilla opgeroepen om hiermee te stoppen. Wanneer extensies toch met ftp blijven werken wordt ontwikkelaars aangeraden om eerst te controleren of de browser wel met het protocol overweg kan. bron: security.nl

Antivirusbedrijf Sophos heeft de broncode van de populaire sandboxtool Sandboxie openbaar gemaakt. Sandboxie is een programma voor Windowsgebruikers dat andere software in een sandbox laat draaien. In het geval de andere software wordt aangevallen, bijvoorbeeld via een exploit die misbruik van een beveiligingslek maakt, kan een aanvaller het onderliggende besturingssysteem niet overnemen. De aanvaller bevindt zich namelijk nog in de sandbox waar de aangevallen software in draait. In dit geval zou een aanvaller ook een exploit voor de sandbox moeten hebben om daar uit te breken. Daardoor vormt het een aanvullende beschermingslaag voor Windowscomputers. In 2013 werd Sandboxie door beveiligingsbedrijf Invincea overgenomen. Invincea werd op haar beurt in 2017 voor 100 miljoen dollar door antivirusbedrijf Sophos gekocht. Eind vorig jaar meldde de virusbestrijder dat het Sandboxie gratis maakte en dat de software uiteindelijk open source zou worden. Dat moment is nu aangebroken. De broncode is via deze pagina te downloaden. Sophos hoopt dat de opensourcegemeenschap de ontwikkeling van de tool op zich neemt. Het Sophos-forum over Sandboxie wordt namelijk op 1 juni van dit jaar gesloten. De Sandboxie-website zal naar verwachting in de herfst van dit jaar worden gesloten. bron: security.nl

Internetbedrijf Cloudflare is gestopt met het gebruik van Googles reCaptcha en maakt in plaats daarvan nu gebruik van hCaptcha. Aanleiding zijn kosten, zorgen over privacy en blokkades van Googles diensten in sommige landen. Cloudflare biedt verschillende diensten, zoals ddos-bescherming en content delivery netwerken. Deze diensten bevinden zich tussen een website en diens bezoekers. Om te bepalen of verkeer naar de websites van klanten afkomstig is van mensen of bots maakt Cloudflare onder andere gebruik van captcha's. Sinds Cloudflare begon werkt het met Googles reCaptcha, dat gebruikers bijvoorbeeld gelijksoortige afbeeldingen laat aanklikken. "Google bood reCaptcha gratis aan, in ruil voor data van de dienst die Google gebruikt om de eigen visuele identificatiesystemen te trainen", stelt Matthew Prince van Cloudflare. Sommige klanten van het bedrijf hadden echter zorgen over het versturen van data naar Google. Daarnaast worden Google-diensten in sommige landen, waaronder China, geblokkeerd. Gebruikers in deze landen kregen Googles reCaptcha niet te zien en konden zo niet de websites van Cloudflareklanten bezoeken. Een andere belangrijke reden om met reCaptcha te stoppen is dat Google er nu geld voor vraagt. Volgens Prince zou dit Cloudflare jaarlijks miljoenen dollars gaan kosten. Daarom is er gekozen voor hCaptcha. Deze captchaprovider zegt geen persoonlijke data te verkopen en alleen de minimaal vereiste hoeveelheid persoonlijke data te verzamelen, werkt in regio's waar Google wordt geblokkeerd, biedt goede prestaties en ondersteunt de browserextensie Privacy Pass. Daarnaast zijn de kosten veel lager dan Cloudflare aan reCaptcha kwijt zou zijn. Ondanks de keuze voor een nieuwe captchaprovider stelt Prince dat captcha's een "onvolmaakt antwoord" op een aantal lastige problemen zijn. Uiteindelijk wil Cloudflare het aantal captcha's die internetgebruikers te zien krijgen beperken en op een later moment zelfs helemaal elimineren. bron: security.nl

Er is een nieuwe versie van Firefox verschenen die meerdere kwetsbaarheden in de browser verhelpt, waaronder een beveiligingslek dat ontstond wanneer 32-bit versies een afbeelding van 4 gigabyte groot verwerkten. Vorige week kwam Firefox nog met een update voor twee kritieke beveiligingslekken in Firefox 74 die actief werden aangevallen. Nu is Firefox 75 verschenen, die zes kwetsbaarheden in de browser oplost. Geen van de kwetsbaarheden is door Mozilla als kritiek bestempeld. In plaats daarvan is de impact als maximaal "High" beoordeeld. In dit geval kan een kwaadaardige website gevoelige data van andere geopende websites stelen of data in deze websites injecteren, waarbij alleen het openen van de kwaadaardige website volstaat. Bij kritieke kwetsbaarheden is het mogelijk om code op het systeem van de gebruiker uit te voeren. Bij drie van de nu verholpen beveiligingslekken zou dat volgens Mozilla in theorie mogelijk zijn, maar is dit niet meteen aangetoond. Daarom zijn de kwetsbaarheden lager ingeschaald. Het gaat onder andere om een lek dat zich voordeed bij 32-bit versies van Firefox die een 4 gigabyte grote afbeelding kregen te verwerken. Daarnaast was er een probleem met de wachtwoordgenerator van Firefox. Wanneer gebruikers in een Private Browsing-venster een website bezochten en Firefox een wachtwoord lieten genereren, en later via een ander Private Browsing-venster de website opnieuw bezochten en opnieuw een wachtwoord lieten genereren, werd hetzelfde wachtwoord gegenereerd. Updaten naar Firefox 75 kan via de automatische updatefunctie van de browser en Mozilla.org. bron: security.nl

Het op privacy gerichte besturingssysteem Tails heeft voor het eerst ondersteuning van Secure Boot gekregen waardoor het ook op systemen werkt waar dit staat ingeschakeld. Voorheen moesten gebruikers op een systeem met Secure Boot dit uitschakelen om met Tails te kunnen werken. Secure Boot is een beveiligingsstandaard die ervoor zorgt dat een computer bij het opstarten alleen maar software laadt die wordt vertrouwd door de fabrikant. Tal van besturingssystemen ondersteunen het, maar Tails was altijd een uitzondering. Zes jaar geleden werd het voorstel gedaan om ondersteuning van Secure Boot toe te voegen. De afgelopen maanden kwam de ontwikkeling van een oplossing in een stroomversnelling en is benodigde support eindelijk toegevoegd. Tails 4.5 introduceert niet alleen support voor Secure Boot, ook zijn er meerdere kwetsbaarheden verholpen. Gebruikers krijgen dan ook het advies om naar deze versie te upgraden. Dit kan via de automatische upgradefunctie of Tails.boum.org. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Dagelijks maken zo'n 25.000 mensen gebruik van het besturingssysteem. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden verhelpt en verschillende nieuwe features introduceert, waaronder Web NFC. Met de lancering van Chrome 81 zijn er 32 lekken in de browser verholpen, waarvan er 23 door externe onderzoekers aan Google waren gemeld. De ernst van deze lekken is door Google als "high" bestempeld. Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Tevens zijn er verschillende nieuwe features aan de browser toegevoegd, waarvan support voor Web NFC de belangrijkste is. NFC staat voor Near Field Communications en maakt het mogelijk om bijvoorbeeld data tussen een NFC-apparaatje en een NFC-lezer uit te lezen. Een bekend voorbeeld is het gebruik van NFC voor contactloos betalen. Met Web NFC kan een webapplicatie via Chrome, op een apparaat dat NFC ondersteunt, NFC-tags lezen en schrijven. Volgens Google biedt dit allerlei nieuwe webtoepassingen, zoals het geven van informatie over museumtentoonstellingen, inventarisbeheer, het verstrekken van informatie in een conferentiebadge en allerlei andere zaken. De functionaliteit is nog niet voor alle gebruikers beschikbaar en vooralsnog alleen voor testdoeleinden bedoeld. Zo kunnen applicatieontwikkelaars apps ontwikkelen die van Web NFC gebruikmaken. Op deze manier kan Google verdere aanpassingen doorvoeren voordat de feature voor alle gebruikers beschikbaar wordt. Vooralsnog zou dit met de lancering van Chrome 84 moeten gebeuren. Verder waarschuwt de Androidversie van Chrome 81 wanneer gebruikers opgeslagen wachtwoorden op onveilige websites invoeren en probeert de browser http-afbeeldingen op https-sites via https te laden. Wanneer dit niet lukt zal Chrome de afbeeldingen blokkeren. Uiteindelijk wil Google alle http-content op https-sites blokkeren. Dit wordt ook wel mixed content genoemd. Een aanvaller kan deze content aanpassen of onderscheppen, of bijvoorbeeld gebruiken om trackingcookies te injecteren. Door de maatregel wil Google gebruikers tegen dergelijke aanvallen beschermen. Google laat daarnaast weten dat het van plan was om in Chrome 81 de ondersteuning van TLS 1.0 en 1.1 te verwijderen. Vanwege de uitbraak van het coronavirus is besloten dit op z'n minst tot Chrome 83 uit te stellen. Sommige websites maken nog steeds gebruik van TLS 1.0 en 1.1 voor het aanbieden van een beveiligde verbinding. Door deze TLS-protocollen niet meer te ondersteunen zouden Chrome-gebruikers belangrijke websites met informatie over het coronavirus niet meer kunnen bezoeken, aldus Google. Updaten naar de desktopversie van Chrome 81.0.4044.92 zal op de meeste systemen automatisch gebeuren. De Androidversie van Chrome 81 (81.0.4044.96) zal volgens Google de komende weken via Google Play zijn te downloaden. bron: security.nl

De domeinnaam Corp.com is na 26 jaar van eigenaar veranderd. Microsoft heeft de domeinnaam voor een niet nader bekendgemaakt bedrag overgenomen om zo te voorkomen dat gevoelige gegevens van klanten lekken. Het gaat dan met name om klanten die van Microsofts Active Directory gebruikmaken. Voor het verwerken van interne url's gebruikt Active Directory een eigen domain name system (dns) in plaats van publieke dns-servers te gebruiken. Gebruikers op een intern bedrijfsnetwerk die een interne site opvragen worden door Active Directory naar de juiste locatie doorgestuurd. Wanneer de interne site niet is te vinden wordt het verzoek naar een publieke dns-server gestuurd. Voor interne sites kunnen organisaties daarnaast gebruikmaken van domeinnamen die niet bestaan of die ze niet bezitten. Op zich is dit geen probleem, totdat een gebruiker de interne site van buiten het bedrijfsnetwerk probeert te benaderen. Bijvoorbeeld op een openbaar wifi-netwerk zonder van een vpn gebruik te maken. De interne site zal dan niet worden gevonden. Vervolgens kan het gebeuren dat de gebruiker onverwachts op een andere locatie terechtkomt omdat het domein in de publieke dns naar een andere partij wijst. Dit wordt "namespace collision" genoemd en doet zich voor wanneer domeinnamen van het interne netwerk overlappen met domeinnamen die ook op het publieke internet zijn te vinden. Eerdere versies van Windows die Active Directory ondersteunden, zoals Windows 2000 Server, gebruikten "corp" en "corp.com" als het standaardpad voor interne sites. Veel bedrijven lieten deze instelling ongewijzigd in plaats van die aan te passen naar een domein dat in hun bezit was. Wanneer een computer buiten het bedrijfsnetwerk nu dit domein zoekt, bijvoorbeeld om verbinding met services of gedeelde schijven te maken, wordt er verbinding gemaakt met het internetdomein Corp.com. Een bestaand domein. De eigenaar van Corp.com zou op deze manier allerlei vertrouwelijke communicatie van bedrijven kunnen ontvangen. Uit een vorig jaar uitgevoerd onderzoek bleek dat dit geen theoretisch risico was. Tijdens het onderzoek naar intern bedrijfsverkeer bedoeld voor Corp.com in 2019 bleek dat meer dan 375.000 Windowscomputers informatie naar dit internetdomein probeerden te versturen terwijl dat niet de bedoeling was. Het ging onder andere om pogingen om op bedrijfsnetwerken in te loggen en specifieke gedeelde schijven op die netwerken te benaderen. "Het was angstaanjagend", liet onderzoeker Jeff Schmidt begin dit jaar tegenover it-journalist Brian Krebs weten. "We stopten na vijftien minuten het experiment en vernietigden de data." Voor het onderzoek konden de onderzoekers verbindingen naar Corp.com accepteren. Ze zagen tal van inloggegevens voorbijkomen. Daarnaast configureerden de onderzoekers Corp.com om ook e-mail te accepteren. Na een uur hadden de onderzoekers meer dan twaalf miljoen e-mails ontvangen. In de meeste gevallen ging het om geautomatiseerde berichten, maar er zaten ook gevoelige berichten tussen. Ook deze dataset werd vernietigd. De domeinnaam Corp.com was sinds 1994 in handen van Mike O’Connor. Die wilde er echter vanaf en vroeg er 1,7 miljoen dollar voor. "De eigenaar van Corp.com zou alle zoekopdrachten, inloggegevens en e-mailadressen van alle organisaties kunnen zien die Active Directory gebruiken", waarschuwde Fahmida Rashid van Duo Security. Er waren echter zorgen of Microsoft de domeinnaam wel voor dit bedrag wilde hebben. Het techbedrijf had volgens O'Connor een aantal jaren geleden 20.000 dollar geboden, een aanbod dat hij afsloeg. Vandaag meldt Krebs dat Microsoft de domeinnaam Corp.com heeft overgenomen. "Om systemen te beschermen adviseren we klanten om bij het kiezen van interne domeinen en netwerknamen veilige keuzes te maken. We hebben in juni 2009 hier een security advisory over gepubliceerd en een beveiligingsupdate uitgebracht om klanten te beschermen. In onze inzet voor klantveiligheid hebben we ook het domein Corp.com verkregen", aldus een verklaring van Microsoft. Een bedrag is niet bekendgemaakt. bron: security.nl

Meer dan 357.000 Exchange-servers zijn kwetsbaar voor aanvallen doordat een beveiligingsupdate voor een ernstige kwetsbaarheid niet is geïnstalleerd. Dat meldt securitybedrijf Rapid7 op basis van onderzoek onder 433.000 Exchange-servers. Het beveiligingslek wordt al ruim een maand actief aangevallen. Via de kwetsbaarheid kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren. Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Twee weken later op 25 februari publiceerde het Zero Day Initiative (ZDI) meer details over het beveiligingslek. Kort na het verschijnen van deze uitleg vinden er aanvallen plaats. Eind maart besloot Rapid7 op internet te zoeken naar publiek toegankelijke Exchange Outlook Web App (OWA) services. Dit leverde iets meer dan 433.000 Exchange-servers op. Daarvan waren er meer dan 357.000 kwetsbaar doordat de sinds februari beschikbaar zijnde update niet was geïnstalleerd. Het werkelijke aantal kwetsbare servers ligt mogelijk hoger, omdat sommige van de servers die Rapid7 als veilig beschouwt niet zijn gepatcht. Dit komt doordat de testmethode niet precies genoeg is bij het bepalen van de gebruikte versie. Bij de 357.000 servers waarvan is vastgesteld dat ze kwetsbaar zijn was het zonder twijfel duidelijk dat ze niet zijn geüpdatet. De problemen met het installeren van beveiligingsupdates voor Exchange gaan echter verder dan alleen deze ene beveiligingsupdate. Meer dan 31.000 Exchange 2010-servers hebben sinds 2012 geen patches ontvangen. Bijna achthonderd Exchange 2010-servers zijn zelfs nog nooit geüpdatet. Tevens blijkt dat er nog zo'n 9.000 Exchange 2007-servers zijn. De ondersteuning van Exchange 2007 stopte op 11 april 2017. Gevonden kwetsbaarheden in deze versie van Exchange worden niet meer door Microsoft gepatcht. Op 13 oktober 2020 eindigt de support van Exchange 2010, waarvan nog meer dan 166.000 servers op internet zijn te vinden. Al deze systemen zullen over een aantal maanden geen beveiligingsupdates meer ontvangen. Organisaties en beheerders krijgen het dringende advies om de beschikbare beveiligingsupdate voor kwetsbaarheid CVE-2020-0688 te installeren en op eventueel gecompromitteerde Exchange-omgevingen te controleren. Het gebruik van de exploit laat aanwijzingen in de logbestanden achter. Het percentage kwetsbare servers van Rapid7 komt overeen met onderzoek van securitybedrijf Kenna Security. Dat bedrijf bekeek vorige maand de gegevens van honderden klanten en zag dat bij minder dan 15 procent de Exchange-update was geïnstalleerd. bron: security.nl

Firefoxgebruikers die in de browser opgeslagen wachtwoorden willen zien en geen master password hebben opgegeven moeten straks het accountwachtwoord van het besturingssysteem invoeren. De maatregel moet voorkomen dat aanvallers met fysieke toegang tot het systeem eenvoudig alle wachtwoorden kunnen bekijken. Mozilla erkent dat een geavanceerde aanvaller de opgeslagen inloggegevens nog steeds kan bemachtigen. Net als andere browsers biedt Firefox de mogelijkheid om wachtwoorden voor websites op te slaan. Als extra beveiliging kunnen gebruikers een master password opgeven. Dit master password moet worden ingevoerd voordat opgeslagen wachtwoorden kunnen worden bekeken of gebruikt. Standaard zal de browser opgeslagen wachtwoorden gewoon tonen. Vijf jaar geleden werd daarom het verzoek gedaan om een extra beveiligingsmaatregel toe te voegen wanneer er geen master password is ingesteld. Wanneer gebruikers de opgeslagen wachtwoorden willen zien moeten ze dan het accountwachtwoord van het besturingssysteem opgeven. De maatregel is nu aan een vroege testversie van Firefox 76 toegevoegd, zo laat Mozilla weten. De definitieve versie van Firefox 76 staat gepland voor 5 mei. bron: security.nl

Bedrijven die van cloudgebaseerde e-maildiensten gebruikmaken zijn al jaren het doelwit van ceo-frauders, zo waarschuwt de FBI. Tussen januari 2014 en oktober 2019 klopten tal van slachtoffers bij de Amerikaanse opsporingsdienst aan die voor meer dan 2,1 miljard dollar waren opgelicht. Volgens de FBI zijn bedrijven de afgelopen jaren gestopt met het gebruik van on-site e-mailsystemen en kiezen in plaats daarvan voor cloudgebaseerde e-mail. Het gaat dan om commerciële partijen die allerlei diensten in abonnementsvorm aanbieden. Ceo-frauders voeren phishingaanvallen uit waarbij ze zich als deze e-mailproviders voordoen. Zodra slachtoffers hun gegevens op een phishingsite invoeren kunnen de criminelen op de zakelijke e-mailaccounts inloggen. Daar zoeken ze naar aanwijzingen van financiële transacties. Vaak maken de aanvallers ook regels aan zodat belangrijke e-mails automatisch worden verwijderd. Ook kunnen ze instellen dat berichten automatisch worden doorgestuurd naar een ander account, aldus de FBI. De criminelen gebruiken de informatie afkomstig uit de gecompromitteerde accounts voor het plegen van fraude. Zo krijgen derde partijen waarmee het gecompromitteerde bedrijf communiceert verzoeken om toekomstige betalingen naar andere rekeningen over te maken. Tevens zoeken de criminelen in het adresboek van het gecompromitteerde account naar potentiële nieuwe slachtoffers. Zo kan een gecompromitteerd account bij één bedrijf tot meerdere slachtoffers binnen een sector leiden, zo waarschuwt de FBI. Beveiligingstips Er zijn echter maatregelen die organisaties kunnen nemen om dergelijke aanvallen te voorkomen. Voor eindgebruikers wordt aangeraden om voor alle e-mailaccounts multifactorauthenticatie in te schakelen, moet personeel over ceo-fraude worden geïnformeerd en moeten aanpassingen aan betalingen en rekeningen in persoon of via een bekend telefoonnummer worden bevestigd. Op beheerdersniveau adviseert de FBI om het doorsturen van e-mails naar externe adressen te verbieden. Ook moet er een waarschuwing worden toegevoegd aan berichten die van externe partijen afkomstig zijn. Tevens wordt aangeraden om legacy e-mailprotocollen te verbieden waarmee multifactorauthenticatie is te omzeilen, zoals imap, pop en smtp. Organisaties moeten daarnaast waarschuwingen voor verdachte activiteit inschakelen, zoals vreemde inlogpogingen, en gebruikmaken van de beveiligingsstandaarden DKIM en DMARC die onder andere spoofing tegengaan. bron: security.nl

Computers van fabrikant HP zijn door beveiligingslekken in de Support Assistant, die standaard op systemen wordt meegeleverd, kwetsbaar voor aanvallen. HP heeft een beveiligingsupdate uitgebracht die een aantal van de kwetsbaarheden verhelpt, maar niet allemaal. De HP Support Assistant staat standaard geïnstalleerd op desktops en laptops van de fabrikant. Via de software kunnen gebruikers problemen met hun computer verhelpen en allerlei updates downloaden. Beveiligingsonderzoeker Bill Demirkapi ontdekte tien kwetsbaarheden in het programma waardoor een aanvaller in het ergste geval computers op afstand zou kunnen overnemen. De onderzoeker vond eerder ook al verschillende beveiligingslekken in Dell Support Assist, het supportprogramma van Dell. In het geval van de HP Support Assistant ging het om vijf kwetsbaarheden waardoor een aanvaller die al toegang tot een systeem had zijn rechten zou kunnen verhogen. Twee andere beveiligingslekken maakten het mogelijk om bestanden te verwijderen zodat Windows zou stoppen met werken. Als laatste waren er drie remote code execution kwetsbaarheden waardoor een aanvaller kwaadaardige code op de computer zou kunnen uitvoeren. Hierbij zou de gebruiker nog wel eerst met zijn muis op een melding moeten klikken. Op 5 oktober vorig jaar waarschuwde Demirkapi HP over de problemen. Twee maanden later op 19 december kwam HP met een update en stelde dat de kwetsbaarheden waren verholpen. De onderzoeker liet HP op 1 januari van dit jaar weten dat niet alle beveiligingslekken zijn opgelost en gebruikers nog steeds risico lopen. HP bevestigde dit en was van plan om begin maart een nieuwe update uit te rollen, maar die verscheen wegens de coronauitbraak op 21 maart. Nu heeft de onderzoeker de details van de kwetsbaarheden openbaar gemaakt. Volgens Demirkapi doen gebruikers er verstandig aan om de software van hun computer te verwijderen, om zo tegen de huidige en mogelijk nieuwe kwetsbaarheden beschermd te zijn. Wanneer dat niet mogelijk is wordt aangeraden de nieuwste versie te installeren en automatisch updaten in te schakelen. "Standaard biedt de HP Support Assistant geen automatische updates, tenzij je expliciet voor de opt-in kiest. HP beweert dat het anders is", merkt de onderzoeker op. bron: security.nl

Tal van organisaties maken op het moment gebruik van videoconferentiesoftware Zoom, maar dat is niet zonder problemen. Aanleiding voor de Amerikaanse burgerrechtenbeweging EFF om verschillende tips te geven waarmee organisaties hun Zoom-meetings kunnen beveiligen. Zoom zag naar eigen zeggen in maart vanwege de coronauitbraak het aantal gebruikers stijgen van 10 miljoen naar 200 miljoen. Deze toeloop zorgde onder andere voor extra aandacht van beveiligingsonderzoekers, die allerlei veiligheids- en privacyproblemen aantroffen. Daarnaast kreeg het platform te maken met Zoom-bombing, waarbij personen inbreken op Zoom-meetings om die te verstoren. Zoom kondigde een plan aan om alle problemen te verhelpen. Zo stopt het bedrijf negentig dagen met de ontwikkeling van nieuwe features en zal alle focus naar security en privacy gaan. "Woorden zijn goedkoop. Zoom moet nu de gedane security- en privacybeloftes opvolgen als het het vertrouwen van gebruikers wil terugwinnen", zegt Gennie Gebhart van de EFF. De Amerikaanse burgerrechtenbeweging geeft verschillende beveiligingstips die gebruikers in de tussentijd kunnen nemen om hun Zoom-privacyinstellingen te verbeteren en Zoom-bombing te voorkomen. Zo wordt aangeraden om Chat Auto-Saving, waarmee automatisch alle chatgesprekken worden opgeslagen, uit te schakelen. Dat geldt ook voor "Attention Tracking", dat de host laat zien of deelnemers het Zoom-venster tijdens screen sharing in focus hebben. Tevens wordt aangeraden om het meeting-ID van de Zoom-meeting privé te houden en een wachtwoord in te stellen. Verder moet alleen de host zijn scherm kunnen delen. Wanneer alle deelnemers aanwezig zijn adviseert de EFF om de meeting te locken, zodat er geen andere personen meer kunnen deelnemen. bron: security.nl

Aanvaller zoeken actief naar verkeerd geconfigureerde Docker-servers om die vervolgens met malware te infecteren. Daarvoor waarschuwt securitybedrijf Aqua Security. Om toegang tot de servers te krijgen maken de aanvallers gebruik van een onbeveiligde open Docker API-poort. Zodra er via deze poort verbinding is gemaakt starten de aanvallers een Ubuntu-container waarin de Kinsing-malware draait. Deze malware heeft als primair doel het draaien van een cryptominer, maar probeert ook andere containers en servers te infecteren. Om zich lateraal door het containernetwerk te bewegen laadt de malware een script dat SSH-inloggegevens opslaat. Met deze gegevens probeert de malware vervolgens op andere servers in te loggen en zich verder te verspreiden. Organisaties krijgen het advies om al hun cloudsystemen in kaart te brengen, het principe van zo min mogelijk rechten toe te passen, gebruikte images te controleren en logbestanden op afwijkingen te onderzoeken. bron: security.nl

Twitter heeft Firefoxgebruikers gewaarschuwd dat uitgewisselde en gedownloade privébestanden onbedoeld door de browser zijn opgeslagen, wat een probleem kan zijn in het geval er gebruik is gemaakt van openbare computers. "Onlangs hebben we ontdekt dat de manier waarop Firefox gecachte data opslaat ervoor kan hebben gezorgd dat niet-openbare informatie onbedoeld in de browsercache is opgeslagen", aldus de waarschuwing. Het gaat dan bijvoorbeeld om mediabestanden die via privéberichten zijn uitgewisseld of wanneer gebruikers hun data-archief van Twitter hebben gedownload. Deze bestanden bleven in de browsercache van Firefox aanwezig, ook wanneer er bij Twitter werd uitgelogd. In het geval van een openbare computer waren deze bestanden vervolgens toegankelijk voor andere gebruikers van de machine. Het data-archief van Twitter bevat profielgegevens, tweets, privéberichten, verstuurde mediabestanden, een overzicht van volgers, een overzicht van accounts die de gebruiker volgt, adresboek, gemaakte en gevolgde lijsten, interesses en demografische informatie die Twitter over de gebruiker heeft verzameld, bekeken advertenties "en meer", aldus een uitleg van het bedrijf. Bestanden in de browsercache van Firefox worden automatisch na zeven dagen verwijderd. Twitter merkt op dat het probleem niet speelde bij gebruikers van Chrome en Safari. De microbloggingdienst heeft een aanpassing doorgevoerd zodat Firefox de persoonlijke informatie van gebruikers niet langer opslaat. Wanneer er gebruik is of wordt gemaakt van een openbare computer adviseert Twitter om voor het uitloggen de browsercache te verwijderen en voorzichtig te zijn met het downloaden van persoonlijke informatie op dergelijke computers. bron: security.nl

Honderden interne servicedesks van bedrijven en organisaties zijn door configuratiefouten openbaar, waardoor aanvallers allerlei aanvallen kunnen uitvoeren en toegang tot vertrouwelijke gegevens kunnen krijgen. Daarvoor waarschuwt de Belgische beveiligingsonderzoeker Inti De Ceukelaire. Veel bedrijven maken gebruik van ticketsystemen zoals Jira en Asana voor het verwerken van verzoeken van medewerkers. Volgens De Ceukelaire is een toenemend aantal Jira-servicedesks door configuratiefouten openbaar. Hierdoor kunnen aanvallers accounts aanmaken, zich voordoen als medewerkers en allerlei verzoeken indienen. Doordat mensen vanwege de coronauitbraak thuiswerken is het lastiger om deze verzoeken te controleren, zo stelt De Ceukelaire. De Belgische onderzoeker was benieuwd bij hoeveel bedrijven hun interne servicedesks openbaar waren. Voor zijn onderzoek maakte De Ceukelaire gebruik van een lijst met tienduizend populaire domeinnamen. Hij vond 1972 Jira-servicedesks, waarvan er 288 (15 procent) voor iedereen op internet toegankelijk waren. "Dit was een toename van twaalf procent ten opzichte van de tests die voor de coronacrisis werden uitgevoerd", merkt de onderzoeker op. Bij sommige van deze servicedesks maakte De Ceukelaire een account aan en kon zo toegang tot allerlei ticketportals krijgen over onderwerpen als HR, informatiebeveiliging, marketing en andere zaken. Een aanvaller zou via deze portals informatie over medewerkers en klanten kunnen opvragen, multifactorauthenticatie kunnen laten resetten, declaraties indienen, database queries laten uitvoeren, code op de webserver laten uitvoeren, vpn's laten whitelisten en toegang tot interne tools en socialmediakanalen kunnen aanvragen. Ook was het mogelijk om tickets aan andere medewerkers toe te kennen, waarbij hun e-mailadres en naam werd getoond. De Ceukelaire waarschuwde verschillende bedrijven, maar meer dan 85 procent had geen manier om op "verantwoorde wijze" kwetsbaarheden te rapporteren. Verschillende bedrijven beloonden de onderzoeker voor zijn melding, variërend van 50 dollar tot 10.000 dollar. In dit laatste geval was het mogelijk geweest om via een verzoek aan de helpdesk kwaadaardige code uit te laten voeren. Eén van de bedrijven erkende dat er naast het account van De Ceukelaire een ander ongeautoriseerd account was aangemaakt. bron: security.nl

Videoconferentiesoftware Zoom erkent dat de software met privacy- en veiligheidsproblemen te maken heeft. Tevens zijn voor verschillende kwetsbaarheden gisteren updates uitgerold en is er excuses gemaakt voor het onterecht beweren dat de communicatie end-to-end versleuteld was. Zoom is naar eigen zeggen overweldigd door de toestroom van het aantal gebruikers. Door de uitbraak van het coronavirus maken opeens tal van organisaties, scholen en bedrijven gebruik van Zoom voor meetings en lessen. Door de groei van het aantal gebruikers kreeg de videoconferentiesoftware ook de aandacht van allerlei onderzoekers. Zo kwam het privacybeleid van Zoom onder vuur te liggen. Het bedrijf bleek ook data van gebruikers naar Facebook te sturen. Iets waarvoor het in de VS inmiddels is aangeklaagd. Tevens bleek dat Zoom claimde van end-to-end encryptie gebruik te maken, terwijl dit niet het geval was. Daarnaast klaagden gebruikers dat Zoom e-mailadressen, namen en profielfoto's aan onbekenden lekt. Beveiligingsonderzoeker Mitch Hines ontdekte dat het via de Zoom-chatfunctie mogelijk was om NTLM-hashes van gebruikers te stelen als die op een kwaadaardige link in de chat klikten. En de gifbeker was nog niet leeg voor Zoom, beveiligingsonderzoeker Patrick Wardle toonde namelijk twee kwetsbaarheden in de macOS-app aan waardoor een aanvaller met toegang tot een systeem zijn rechten zou kunnen verhogen en toegang tot de microfoon en camera zou kunnen krijgen. In twee blogpostings gaat Zoom op de problemen in. Ten eerste wordt er excuses gemaakt voor het onterecht gebruik van de term end-to-end encryptie. Daarbij kunnen alleen de ontvanger en afzender de inhoud van berichten zien. Zoom past een dergelijke vorm van encryptie niet toe, maar claimde van wel. Zoom versleutelt wel de video, audio en chats van gebruikers, maar kan die nog steeds inzien. Zoom stelt dat het nog nooit voor opsporingsdiensten een mechanisme heeft ontwikkeld om de inhoud van live meetings te ontsleutelen, of dat medewerkers met meetings hebben meegekeken zonder dat ze in de deelnemerslijst te zien waren. Kwetsbaarheden Daarnaast erkent Zoom de gevonden privacy- en veiligheidsproblemen. Zo is de attentietracker van deelnemers, waarbij hosts werden gewaarschuwd als een deelnemer het Zoom-venster niet actief had, verwijderd. Tevens zijn de door Hines en Wardle gevonden kwetsbaarheden verholpen. Verder is de LinkedIn Sales Navigator verwijderd omdat daardoor onnodig data werd blootgesteld. Zoom kondigt ook een plan voor de komende negentig dagen aan. Zo worden er geen nieuwe features meer ontwikkeld en zullen alle ontwikkelaars op het verhelpen van veiligheids- en privacyproblemen worden gezet. Er zullen externe partijen worden ingeschakeld om de veiligheid van de software te controleren en Zoom zal een transparantierapport publiceren met dataverzoeken van overheidsinstanties. Daarnaast wordt het beloningsprogramma voor onderzoekers en hackers onderhanden genomen. Als laatste zal ceo Eric Yuan wekelijks een webinar met informatie over security- en privacyupdates houden. bron: security.nl

Een initiatief van 130 Europese onderzoekers werkt aan een privacyvriendelijke bluetooth traceer-app om de verspreiding van het coronavirus tegen te gaan. Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), zoals het initiatief zichzelf noemt, hoopt deze week een technisch platform gereed te hebben dat als basis voor smartphone-apps kan dienen. De eerste apps die van het platform gebruikmaken zouden halverwege april kunnen verschijnen, zo meldt persbureau Reuters. De PEPP-PT-app zorgt ervoor dat de telefoon een anonieme identifier uitzendt die niet naar een gebruiker is te herleiden. Zodra gebruikers van de app bij elkaar komen wordt de identifier opgeslagen. "Geen geolocatiegegevens, geen persoonlijke informatie of andere data worden opgeslagen waarmee de gebruiker zou zijn te identificeren. Deze anonieme nabijheidsgeschiedenis is door niemand te bekijken, zelfs niet door gebruiker van de telefoon. Oudere gebeurtenissen in de nabijheidsgeschiedenis worden verwijderd zodra ze epidemiologisch niet meer belangrijk zijn", aldus de uitleg van PEPP-PT. Wanneer een gebruiker met corona besmet blijkt te zijn zullen de gezondheidsautoriteiten hem of haar benaderen en een code verstrekken. De gebruiker kan met deze code vrijwillig informatie aan een vertrouwde partij verstrekken die gebruikers kan waarschuwen die in aanraking met de besmette persoon zijn gekomen. Aangezien de geschiedenis van de besmette gebruiker anonieme identifiers bevat kent niemand elkaars identiteit. Volgens de onderzoekers voldoet PEPP-PT aan de AVG. Om effectief te zijn zou de app door 60 procent van de bevolking moeten worden gebruikt. Personen zonder smartphone zouden bluetooth-armbanden kunnen gebruiken. bron: security.nl

Internetbedrijf Cloudflare heeft vandaag vpn-dienst Warp, die vorig jaar voor Android en iOS verscheen, nu ook voor macOS en Windows aangekondigd. Warp maakt gebruik van het op UDP-gebaseerde WireGuard vpn-protocol. UDP is een eenvoudiger protocol dan het TCP-protocol dat normaliter voor het laden van websites wordt gebruikt. TCP is echter betrouwbaarder en zal een niet afgeleverd pakket opnieuw versturen. Bij UPD is dit niet het geval. Toch is dit geen probleem, aldus Cloudflare. Warp verstuurt namelijk UDP-pakketten waar de volledige TCP-pakketten in zitten. In de door WireGuard versleutelde payload bevindt zich een complete TCP-header met alle informatie om de data betrouwbaar af te leveren. De manier waarop Warp is ontwikkeld zou ervoor moeten zorgen dat gebruikers sneller kunnen browsen. Net als bij de mobiele versie zal ook de standaardversie van Warp voor macOs en Windows gratis zijn. Naast de gratis versie is er ook Warp Plus dat een hogere snelheid biedt. Binnenkort zal Cloudflare uitnodigingen versturen om aan de betatest van Warp voor macOS en Windows deel te nemen. Zodra de macOS- en Windows-clients zijn uitgebracht is Cloudflare van plan om een Linux-versie te ontwikkelen. bron: security.nl

Google heeft een update voor Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt. Het is de eerste Chrome-update nadat het techbedrijf wegens de corona-uitbraak een pauze van nieuwe versies aankondigde. Dit vanwege aangepaste werkschema's van de Chrome-ontwikkelaars. Chrome 80.0.3987.162 voor Linux, Mac en Windows verhelpt acht kwetsbaarheden, waarvan er drie door externe onderzoekers aan Google waren gerapporteerd. Het gaat om beveiligingslekken in de onderdelen van Chrome die verantwoordelijk zijn voor het verwerken van media en webaudio. De ernst van deze lekken is door Google als "high" bestempeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar Chrome 80.0.3987.162 zal op de meeste systemen automatisch gebeuren. Volgens StatCounter heeft Google Chrome op de desktop een wereldwijd marktaandeel van 70 procent. In Nederland zouden zes op de tien desktopgebruikers via Chrome browsen. bron: security.nl

Microsoft heeft besloten om het uitschakelen van TLS-versies 1.0 en 1.1 in Internet Explorer, Edge en Chromium Edge vanwege de uitbraak van het coronavirus uit te stellen. Dat heeft het techbedrijf bekendgemaakt. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. TLS 1.0 en 1.1 zijn kwetsbaar voor verschillende aanvallen zoals BEAST, CRIME en POODLE. Microsoft was dan ook van plan om de ondersteuning van deze oude TLS-versies in de eerste helft van dit jaar uit te schakelen. Vanwege de corona-uitbraak is dit plan nu gewijzigd. Voor Chromium Edge zal de TLS-support op zijn vroegst met de lancering van Chromium Edge 84 in juli worden uitgeschakeld. Bij Internet Explorer en de oude versie van Edge zal dit op 8 september plaatsvinden. Toch raadt Microsoft alle organisaties aan om te stoppen met het gebruik van TLS 1.0 en 1.1 en naar een nieuwere versie over te stappen. Begin maart besloot Mozilla om met de lancering van Firefox 74 de ondersteuning van de oude TLS-versies uit te schakelen, maar kwam hier later op terug. Verschillende overheidssites met informatie over het coronavirus bleken namelijk nog van TLS 1.0 of 1.1 gebruik te maken. Daarop werd de ondersteuning van deze TLS-versies weer in Firefox ingeschakeld. bron: security.nl

Videoconferentiesoftware Zoom heeft van duizenden gebruikers hun naam, e-mailadres en profielfoto aan andere gebruikers van het platform gelekt die elkaar niet kennen. Het probleem wordt veroorzaakt door de "Company Directory" instelling van Zoom, die automatisch mensen aan de contactenlijst van de gebruiker toevoegt die zich met een e-mailadres met hetzelfde domein hebben aangemeld. Onlangs maakte een XS4ALL-klant op Twitter nog melding dat Zoom alle XS4ALL-gebruikers als haar bedrijfscontacten beschouwde. Zoom dacht dat alle mensen die zich met een @xs4all.nl-mailadres hadden aangemeld onderdeel van hetzelfde bedrijf zijn. Vervolgens krijgen deze gebruikers van elkaar de profielfoto, naam en e-mailadres te zien. Alleen voor publiek gebruikte domeinen, zoals bijvoorbeeld gmail.com, yahoo.com en hotmail.com, maakt Zoom standaard een uitzondering. In het geval van de Nederlandse domeinen xs4all.nl, dds.nl en quicknet.nl is dat niet het geval en worden gebruikers, zodra ze zich met een e-mailadres van deze domeinen aanmelden, als medewerkers van hetzelfde "bedrijf" gezien. Zoom laat in een verklaring tegenover Vice Magazine weten dat gebruikers een verzoek kunnen indienen om domeinen uit de Company Directory te laten verwijderen. bron: security.nl

Nederland is voorstander van een verplichte "hacktest" van Europese banken door ethische hackers. Dat heeft minister Hoekstra van Financiën in een brief aan de Tweede Kamer laten weten. De Europese Commissie had EU-landen naar ideeën gevraagd om de cyberweerbaarheid van banken te versterken. De Nederlandse inbreng benoemt verschillende maatregelen die kunnen worden genomen. Zo is het normaliseren en delen van rapportages over cyberincidenten volgens Hoekstra van belang. "Ook dragen eisen omtrent toetsen van cyberweerbaarheid door instellingen, waaronder verplichte deelname aan hacktesten door ethische hackers, bij aan versterking van de weerbaarheid", merkt de minister op. Als basis voor de penetratietests zou van het "TIBER-EU framework" gebruik moeten worden gemaakt. TIBER, ontwikkeld door de Europese Centrale Bank (ECB), staat voor Threat Intelligence-based Ethical Red Teaming en moet de Europese aanpak voor het simuleren van aanvallen "harmoniseren". Via de test kunnen banken en financiële instellingen kijken hoe goed ze zijn voorbereid om aanvallen te detecteren, te voorkomen en op te reageren. Daarbij worden niet alleen de systemen getest, maar ook zaken als mensen en processen. Verder vindt Hoekstra dat er aandacht moet worden besteed aan maatregelen om de risico's te beperken die kunnen ontstaan in geval van uitbesteding door financiële instellingen, zeker waar sprake is van grote leveranciers met een concentratierisico. bron: security.nl