Captain Kirk

Onderzoekers hebben in kabelmodems met een Broadcom-chip een kwetsbaarheid ontdekt waardoor de apparaten op afstand over zijn te nemen als gebruikers een kwaadaardige website bezoeken of besmette advertentie te zien krijgen. De onderzoekers van het Deense securitybedrijf Lyrebirds schatten dat alleen in Europa tweehonderd miljoen kabelmodems kwetsbaar zijn of waren. Het gaat onder andere om apparaten van Netgear, Sagemcom, Technicolor en Compal. Het werkelijke aantal is volgens de onderzoekers lastig vast te stellen. Dit komt doordat de kwetsbaarheid in de referentiesoftware aanwezig is, die weer door verschillende kabelmodemfabrikanten is gekopieerd bij het ontwikkelen van hun kabelmodemfirmware. De aanval is mogelijk door een combinatie van factoren. Zo zijn de modems niet beschermd tegen dns rebinding-aanvallen, maken ze gebruik van standaard inloggegevens en is er een kwetsbaarheid in de spectrum analyzer aanwezig. Dit is software waarmee de kabelmodem verbindingsproblemen kan vaststellen. De kwetsbaarheid in de software is normaliter alleen toegankelijk vanaf het lokale netwerk. Via dns rebinding is het echter mogelijk voor een remote aanvaller om via de browser van de gebruiker bij lokale ip-adressen te komen en zo misbruik van het beveiligingslek in de software te maken. Sommige van de kwetsbare modems vereisen autorisatie voordat een aanvaller toegang kan krijgen. Alle geteste modems blijken standaard inloggegevens te accepteren. Zodoende kan een aanvaller alsnog op het kabelmodem inloggen en de instellingen aanpassen en andere aanvallen uitvoeren. Het gaat dan bijvoorbeeld om het wijzigen van de standaard dns-server, het uitvoeren van man-in-the-middle-aanvallen, het aanpassen van de firmware en wijzigen van andere instellingen. Een voorwaarde voor het uitvoeren van de aanval is wel dat de aanvaller erin slaagt om zijn kwaadaardige JavaScriptcode in de browser van het doelwit uit te voeren. Dit kan wanneer het doelwit een kwaadaardige website bezoekt of besmette advertentie te zien krijgt. Via de website Cablehaunt.com, zoals de kwetsbaarheid wordt genoemd, geven de onderzoekers meer details over het beveiligingslek. bron: security.nl

Sinds december maakt een vroege testversie van Firefox gebruik van CRLite waarmee ingetrokken tls-certificaten zijn te controleren. CRLite is een technologie die informatie over ingetrokken certificaten zo effectief weet te comprimeren dat 300 megabytes aan zogeheten "revocation data" 1 megabyte wordt. Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om de website te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd. Dit kan via Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP). Het probleem met CRLs is dat ze vrij snel heel groot werden en vooral irrelevante data bevatten, waardoor browser besloten om ze niet te downloaden. Daarnaast was het OCSP volgens Mozilla onbetrouwbaar. Wanneer het niet werkte gingen browsers ervan uit dat het certificaat nog steeds geldig was. Een aanvaller tussen de gebruiker en het internet kan bijvoorbeeld het OCSP-verzoek van Firefox blokkeren. Mozilla zoekt dan ook naar een alternatief voor OCSP en CRLite kan dat mogelijk gaan bieden. Het kan namelijk alle informatie over ingetrokken certificaten op een snelle, compacte en effectieve manier naar gebruikers sturen. Op dit moment gebruikt Firefox Nightly, een vroege testversie van de browser, CRLite alleen voor telemetriedoeleinden. Gebruikers kunnen de technologie echter instellen zodat voor bepaalde websites de certificaatcontrole via CRLite plaatsvindt. Het is op dit moment nog niet mogelijk om OCSP uit te schakelen, maar daar zal Mozilla later meer informatie over geven. bron: security.nl

Een coalitie van Duitse burgerrechtenorganisaties wil een verbod op automatisch gezichtsherkenning in Duitsland. Aanleiding is een plan van het Duitse ministerie van Binnenlandse Zaken om de technologie op 135 treinstations en 14 luchthavens uit te rollen. Volgens de organisaties is gebruik van de technologie risicovol en onnodig, mede omdat de misdaadcijfers in Duitsland juist afnemen. "Geautomatiseerde gezichtsherkenning betekent permanente geheime surveillance van mensen in openbare ruimtes zoals treinstations en luchthavens", zo stelt de Duitse hackersclub CCC. Door zonder reden ieders gezicht te filmen en vergelijken worden de rechten en vrijheden van mensen geschonden, laat de CCC verder weten. De technologie vormt door zijn vele false positives, mogelijkheid tot discriminatie en een enorme potentie voor misbruik een bedreiging voor de democratie, verklaart Viktor Schlüter van de organisatie Digitale Freiheit. "Het gebruik van deze technologie om openbare ruimtes te monitoren beperkt ook politieke deelname. Als je bang bent om te worden gefilmd zul je bij twijfel niet aan een demonstratie deelnemen", voegt Elisabeth Niekrenz van de Digitalen Gesellschaft toe. Als voorbeeld voor Duitsland zien de burgerrechtenorganisaties verschillende Amerikaanse steden, die de toepassing van automatische gezichtsherkenning hebben verboden. De CCC heeft de openbaarmaking geëist van alle resultaten van eerdere en huidige biometrische tests op treinstations, zodat er een publieke discussie over de systemen kan worden gehouden. Daarnaast proberen de organisaties via de website Gesichtserkennung-Stoppen.de het publiek te informeren en mobiliseren. bron: security.nl

Aanvallers zoeken actief naar Citrix-servers die kwetsbaar zijn voor een beveiligingslek dat vorige maand werd geopenbaard en waarvoor nog geen beveiligingsupdate beschikbaar is. Ook bedrijven in Nederland zouden risico lopen. De kwetsbaarheid bevindt zich in de Citrix Application Delivery Controller (ADC) en Citrix Gateway die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway. Via het beveiligingslek kan een aanvaller op afstand willekeurige code op het systeem uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Citrix maakte het beveiligingslek op 17 december bekend. Een week later meldde securitybedrijf Positive Technologies dat minstens 80.000 bedrijven in 158 landen mogelijk kwetsbaar zijn. Het zou onder andere om meer dan 3700 Nederlandse bedrijven gaan. "Bij misbruik van de kwetsbaarheid verkrijgt een aanvaller vanaf het internet directe toegang tot het lokale bedrijfsnetwerk. De aanval vereist geen toegang tot accounts en is daardoor door een externe aanvaller uit te voeren", aldus het securitybedrijf. Beveiligingsonderzoeker Kevin Beaumont meldt op Twitter dat aanvallers nu actief naar kwetsbare servers zoeken. Dit wordt bevestigd door Johannes Ullrich van het SANS Technology Institute. Op dit moment zijn er nog geen publieke exploits bekend, maar Ullrich laat weten dat hij van betrouwbare bronnen heeft vernomen dat zij erin zijn geslaagd om een werkende exploit te ontwikkelen. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit adviseert organisaties met de kwetsbare Citrix-oplossingen om maatregelen te nemen. Hoewel er nog geen update beschikbaar is kunnen organisaties wel de speciaal geprepareerde requests blokkeren waarmee de aanval is uit te voeren, aldus het CERT/CC. Daarnaast heeft Citrix mitigatiestappen voor de kwetsbaarheid gepubliceerd. bron: security.nl

Mozilla heeft vandaag een noodpatch uitgebracht voor een zerodaylek in Firefox dat actief werd aangevallen voordat de update beschikbaar was. Via de kwetsbaarheid kan een aanvaller in het ergste geval volledige controle over het systeem van de gebruiker krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is hierbij voldoende. Er is geen verdere interactie van de gebruiker vereist. Mozilla werd door securitybedrijf Qihoo 360 over de kwetsbaarheid geïnformeerd. Volgens de browserontwikkelaar is het lek in de IonMonkey Just In Time (JIT) compiler van Firefox bij "gerichte aanvallen" ingezet. Verdere details worden echter niet gegeven, behalve dat de kwetsbaarheid remote code execution mogelijk maakt. Gebruikers krijgen het advies om te updaten naar Firefox 72.0.1 of Firefox ESR 68.4.1. Dit kan via de automatische updatefunctie of Mozilla.org. Vorig jaar juni waren Firefoxgebruikers ook al het doelwit van een zeroday-aanval, terwijl afgelopen november Google nog een noodpatch voor een zerodaylek in Chrome uitbracht. bron: security.nl

Tijdens een door Interpol geleide operatie zijn ruim 15.000 met malware besmette MikroTik-routers in Zuidoost-Azië opgeschoond. Eigenaren van de routers hadden beschikbare beveiligingsupdates niet geïnstalleerd, waardoor criminelen de apparaten met een cryptominer konden infecteren. De cryptominer liet de routers vervolgens naar cryptovaluta delven. Tijdens een vijf maanden durende operatie ontdekten Interpol, politiediensten en Computer Emergency Response Teams (CERTs) meer dan 20.000 besmette routers in de regio. De partijen die aan de operatie deelnamen waarschuwden de slachtoffers en patchten de routers, zodat criminelen er geen toegang meer toe hadden, aldus Interpol. Na afloop van de operatie was het aantal besmette machines met 78 procent afgenomen, wat neerkomt op 15.600 routers. Wereldwijd zijn er volgens Interpol ruim 110.000 besmette MikroTik-routers actief. Eind 2018 werd bekend dat meer dan 200.000 MikroTik-routers met een cryptominer waren besmet. Dat gebeurde via een kwetsbaarheid waar op 23 april 2018 een update voor verscheen. bron: security.nl

Zowel Google als Mozilla hebben beveiligingsupdates voor hun browser uitgebracht die meerdere kwetsbaarheden verhelpen. In Chrome werden drie kwetsbaarheden opgelost, waarvan er één door een externe onderzoeker werd gerapporteerd. Dit beveiligingslek is door Google als "high" bestempeld. Via dergelijke kwetsbaarheden had een aanvaller code binnen de context van de browser kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Voor zijn melding ontving onderzoeker Zhe Jin van Qihoo 360 een beloning van 7500 dollar. Updaten naar Chrome 79.0.3945.117 zal op de meeste systemen automatisch gebeuren. Mozilla lanceerde gisteren Firefox 72, die naast het blokkeren van fingerprinters ook elf kwetsbaarheden verhelpt. Net als bij Chrome ging het om kwetsbaarheden met een maximale impact van "high". Via deze beveiligingslekken was het volgens Mozilla mogelijk geweest voor kwaadaardige websites om gevoelige data van andere geopende websites te stelen of data of code in die websites te injecteren, waarbij alleen het bezoeken van de kwaadaardige website voldoende was geweest. Updaten naar Firefox 72 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Google zal alle kwetsbaarheden die het in de eigen software en die van andere partijen vindt voortaan na 90 dagen openbaar maken, ongeacht wanneer er een beveiligingsupdate voor het probleem verschijnt. Dit moet eindgebruikers meer tijd geven om de beschikbare patches te installeren. Dat heeft het techbedrijf via een blogposting aangekondigd. Google laat de eigen onderzoekers al jaren in de software van andere bedrijven zoeken. In het geval een kwetsbaarheid wordt gevonden zal Google de betreffende ontwikkelaar informeren. Die krijgt vervolgens 90 dagen de tijd om met een update te komen, anders zal Google de details openbaren. Volgens het techbedrijf wordt inmiddels 97,7 procent van alle bugmeldingen binnen deze deadline verholpen. Zodra er in het verleden een beveiligingsupdate verscheen maakte Google details over de kwetsbaarheid openbaar. Dit zal vanaf 1 januari niet meer gebeuren. Alle kwetsbaarheden worden nu na 90 dagen openbaar gemaakt, ongeacht of er eerder al een beveiligingsupdate is verschenen. Dit moet eindgebruikers meer tijd geven om beschikbare updates te installeren voordat details openbaar worden waar cybercriminelen gebruik van zouden kunnen maken. Daarnaast moet het bedrijven en ontwikkelaars meer tijd geven om goede beveiligingsupdates te ontwikkelen. "Te vaak zien we dat ontwikkelaars gemelde kwetsbaarheden via een lapmiddel verhelpen en niet naar varianten kijken of de hoofdoorzaak verhelpen", zegt Tim Willis van Google. Het techbedrijf zal het nieuwe beleid over een jaar evalueren en kijken of de aanpassingen permanent worden. bron: security.nl

Onderzoekers van het Franse onderzoeksinstituut INRIA en de Singaporese Nanyang Technological University hebben een praktische chosen-prefix collision-aanval op het sha-1-algoritme aangetoond, waarmee het mogelijk zou zijn om pgp-keys te vervalsen. De aanval en het bijbehorende onderzoek hebben de naam "SHA-1 is a Shambles" gekregen (pdf). In het verleden zijn vaker collision-aanvallen tegen sha-1 aangetoond. Die waren kostbaar of niet praktisch. Daarnaast claimen de onderzoekers dat dit de eerste praktische chosen-prefix collision-aanval op sha-1 is. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het sha-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Al sinds 2011 wordt daarom aangeraden sha-1 uit te faseren, maar het algoritme is nog altijd in gebruik. Door een collision-aanval is het mogelijk om digitale handtekeningen te vervalsen. Zo kan een sha-1-handtekening voor het ene bestand ook voor een andere bestand worden gebruikt. Bij een normale collision-aanval moet een aanvaller twee berichten of stukken data vinden die dezelfde hash-waarde hebben. Een aanvaller heeft hierdoor minder controle. Bij een chosen-prefix collision-aanval kan een aanvaller de prefix van de twee botsende berichten kiezen. Dit maakt de aanval lastiger en duurder om uit te voeren. De onderzoekers hebben nu met twee verschillende prefixes twee PGP public keys gemaakt die botsende sha-1 certificaathandtekeningen hebben. Daarnaast is de aanval veel goedkoper dan andere aanvallen uit te voeren. De aanval zou nu 45.000 dollar kosten, terwijl eerdere aanvallen boven de 100.000 dollar lagen. In 2025 is de aanval onder de 10.000 dollar uit te voeren, aldus de onderzoekers. Partijen zijn al geruime tijd bezig om sha-1 uit te faseren. Toch zijn er nog plekken waar het algoritme in gebruik is, aldus cryptograaf en hoogleraar Matthew Green. Organisaties die nog met sha-1 werken krijgen het advies om zo snel als mogelijk op sha-256 of sha-3 over te stappen. bron: security.nl

Later vandaag verschijnt Firefox 72 die een nieuwe feature bevat om de privacy van gebruikers te beschermen. De browser zal namelijk bedrijven blokkeren die internetgebruikers aan de hand van hun browser proberen te fingerprinten. Via fingerprinting is het mogelijk voor advertentiebedrijven en webtrackers om internetgebruikers zonder het gebruik van cookies op het web te volgen. Hiervoor wordt er een "digitale vingerafdruk" van het systeem van de internetgebruiker gemaakt, gebaseerd op geïnstalleerde software, instellingen en andere zaken. Het gaat dan bijvoorbeeld om zaken als geïnstalleerde fonts, plug-ins, browser, tijdzone en schermresolutie. Deze informatie kan per gebruiker verschillen, waardoor het mogelijk is om een uniek profiel te maken waarmee gebruikers op het web zijn te volgen. Om dit tegen te gaan zal Firefox 72 alle third-party requests naar bedrijven blokkeren waarvan bekend is dat ze zich met fingerprinting bezighouden. "Dit voorkomt dat deze partijen via JavaScript het systeem van een gebruiker kunnen inspecteren. Het voorkomt ook dat ze informatie ontvangen die zichtbaar is via netwerkverzoeken, zoals het ip-adres en de user agent header van de gebruiker", zegt Mozillas Steven Englehardt. Voor het blokkeren van de fingerprinters maakt Firefox gebruik van een lijst die door Disconnect is opgesteld. Disconnect is een partij die zich met het blokkeren van webtrackers bezighoudt. Volgens Englehardt is dit pas de eerste stap die Firefox neemt in de strijd tegen fingerprinters. In de toekomst zal de browser waarschijnlijk ook het blokkeren van scripts en bescherming op API-niveau gaan toevoegen. bron: security.nl

Meer dan negentig procent van de ontwikkelaars die JavaScript-programma's ontwikkelt en via het npm registry aanbiedt maakt geen gebruik van tweefactorauthenticatie (2FA) om het eigen account te beveiligen, zo blijkt uit cijfers die npm in een blogposting openbaar heeft gemaakt. Npm is de package manager voor de JavaScript-programmeertaal en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare en besloten, commerciële packages. De ontwikkelaars van deze packages blijken verschillende maatregelen om hun account te beschermen niet altijd te nemen. Zo heeft slechts 9,27 procent van de ontwikkelaars 2FA ingesteld. Dat houdt in dat een geraden of gestolen wachtwoord voldoende is om toegang tot een account te krijgen en bijvoorbeeld kwaadaardige code aan het JavaScript-package toe te voegen. En dat is geen theoretisch risico. In het verleden konden aanvallers via een hergebruikt wachtwoord toegang tot de ESLint-software krijgen en besmette versies via npm verspreiden. Om het risico van gekaapte accounts tegen te gaan besloot Mozilla onlangs om 2FA voor ontwikkelaars van Firefox-extensies te verplichten. Ook Adam Baldwin, vicepresident security bij npm, vindt dat ontwikkelaars op het platform 2FA zouden moeten instellen. "Percentage van ontwikkelaars die 2FA gebruiken: 9,27. Percentage dat dit zou moeten doen: 100", zo laat hij weten. Daarnaast verbiedt npm het hergebruik van gelekte wachtwoorden die via datalekken openbaar zijn geworden. Hiervoor maakt het platform gebruik van 555 miljoen wachtwoorden die door datalekzoekmachine Have I Been Pwned beschikbaar zijn gesteld. Bij 13,37 procent van de accounts die vorig jaar werd aangemaakt koos de betreffende ontwikkelaar een wachtwoord dat op deze lijst voorkomt en kreeg vervolgens een melding te zien om een ander wachtwoord te kiezen. bron: security.nl

Criminelen maken gebruik van een bekend beveiligingslek in de Pulse Secure vpn-software om bedrijven en organisaties met ransomware te infecteren, zo heeft Pulse Secure zelf bekendgemaakt. Geldwisselaar Travelex, die onlangs door ransomware werd getroffen, had verschillende Pulse Secure-servers niet gepatcht, aldus beveiligingsonderzoeker Kevin Beaumont. De kwetsbaarheid in Pulse Secure werd vorig jaar april gepatcht. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Ook werd het lek tijdens de afgelopen Black Hat-conferentie uitgeroepen tot het "beste server-side beveiligingslek" van het afgelopen jaar. De Pulse Secure vpn-oplossing laat werknemers op afstand verbinding met een bedrijfsnetwerk maken. Via de kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende om de kwetsbaarheid uit te buiten. Pulse Secure patchte het lek op 24 april. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats, aldus Beaumont. Sinds 22 augustus wordt er ook op grote schaal naar kwetsbare endpoints gezocht, zo liet onderzoeker Troy Mursch vorig jaar weten. De onderzoeker vond ruim 14.000 kwetsbare vpn-servers, waaronder 420 in Nederland. "Het beveiligingslek is echt zeer ernstig. Het laat mensen zonder geldige gebruikersnaam en wachtwoord op afstand verbinding met het bedrijfsnetwerk maken, wat het apparaat juist zou moeten voorkomen, multifactorauthenticatie uitschakelen, op afstand logs en gecachte wachtwoorden in plain text bekijken, waaronder Active Directory-wachtwoorden", merkt Beaumont op. De onderzoeker ontdekte vorige week twee incidenten waarbij criminelen het lek in Pulse Secure hadden gebruikt om organisaties met ransomware te infecteren. Beide organisaties hadden ongepatchte vpn-servers. De kwetsbaarheid gaf de aanvallers toegang tot het bedrijfsnetwerk. Vervolgens wisten die domeinbeheerderrechten te verkrijgen en schakelden aanwezige beveiligingssoftware uit. Hierna werd de Sodinokibi-ransomware op alle systemen geïnstalleerd. Geldwisselaar Travelex, die op 31 december door dezelfde ransomware werd geïnfecteerd, had zeven ongepatchte Pulse Secure vpn-servers, claimt Beaumont. Organisaties die de update nog niet hebben geïnstalleerd krijgen het advies om dit alsnog te doen. Naar aanleiding van het lek liet minister Grapperhaus van Justitie en Veiligheid nog weten dat organisaties die het installeren van beveiligingsupdates uitstellen ongelofelijke oliebollen zijn. bron: security.nl

E-maildienst ProtonMail is een publieke betatest gestart van de versleutelde kalender ProtonCalendar. De kalender maakt gebruik van end-to-endecryptie voor het opslaan van gegevens. Zodoende is de inhoud van de kalender alleen toegankelijk voor gebruikers. "Geen enkele derde partij, waaronder ProtonMail, kan de details van je evenementen zien. Alleen jij zal je eigen plannen kennen", aldus de mailprovider. "Onze kalender voorkomt dat bedrijven je planning kunnen bespioneren. Voor gebruikers met verhoogde beveiligingswensen voorkomt ProtonCalendar dat autoritaire regimes zien met wie je afspreekt en wat je aan het doen bent." Volgens ProtonMail was een kalender-app één van de meest gevraagde producten. "Het koppelen van een beveiligde kalender met een privé inbox vergroot de bruikbaarheid van beide. En binnenkort kun je in de cloud met ProtonDrive ook privé documenten opslaan en delen", aldus het bedrijf. De betatest van ProtonCalendar is op dit moment alleen toegankelijk voor betalende gebruikers van ProtonMail. Zodra de kalender uit de betatest komt zal die ook voor gratis gebruikers toegankelijk zijn. bron: security.nl

Het datalek bij verzekeringsmaatschappij Allianz Global Assistance heeft ook 160.000 Belgische klanten geraakt, zo heeft het bedrijf bekendgemaakt. Een back-up van de verzekeraar werd afgelopen zomer uit een kluis gestolen, zo werd op 19 september bekend. De back-up bevatte de gegevens van minimaal 260.000 Nederlandse klanten die op 24 oktober door het bedrijf werden geïnformeerd. Nu maanden later laat Allianz weten dat ook gegevens van 160.000 Belgische klanten zijn buitgemaakt, waaronder bankgegevens, kentekennummers en andere persoonlijke informatie. Het gaat om data van Belgische klanten die recent een schadegeval hebben aangegeven bij de reis- en autoverzekeraar, zo meldt De Tijd. Een woordvoerder laat weten dat er nog geen signalen zijn ontvangen dat de gestolen gegevens ook daadwerkelijk zijn misbruikt. bron: security.nl

Microsoft heeft middels een gerechtelijk bevel van een Amerikaanse rechter meer dan 50 domeinen van een groep aanvallers offline laten halen. Volgens Microsoft gaat het om een groep aanvallers die vermoedelijk uit Noord-Korea opereert en spearphishingmails naar slachtoffers verstuurde. In de berichten werden slachtoffers verleid om een link te openen en hun inloggegevens op een phishingsite in te voeren. De groep maakte daarbij gebruik van domeinen die van Microsoft afkomstig leken. In werkelijkheid ging het om domeinen die niet met een m begonnen, maar met een r en n. De combinatie 'rn' lijkt op een m. Zodra de aanvallers toegang tot een e-mailaccount hadden gekregen stelden ze een regel in waardoor alle berichten naar een e-mailadres van de aanvallers werd doorgestuurd. Op deze manier bleven de aanvallers berichten ontvangen ook al had het slachtoffer zijn wachtwoord aangepast. Naast het stelen van inloggegevens verspreidde de groep ook malware. De groep had het voorzien op ambtenaren, denktanks, universiteitsmedewerkers, mensenrechtenorganisaties en personen die zich met nucleaire proliferatie bezighouden. De meeste doelen bevonden zich in de Verenigde Staten, gevolgd door Japan en Zuid-Korea. In de aankondiging over de actie tegen de groep meldt Microsoft verder dat het eerder domeinen van groepen uit China, Iran en Rusland uit de lucht heeft gehaald. bron: security.nl

Hackers van de Duitse hackersclub CCC hebben een kwetsbaarheid ontdekt in het netwerk dat straks zal worden gebruikt voor de verplichte uitwisseling van patiëntgegevens en elektronische medicijnrecepten in Duitsland, waardoor het voor onbevoegden mogelijk is om gevoelige gezondheidsgegevens te bekijken. Op dit moment zijn al meer dan 115.000 Duitse medische en tandartspraktijken op het "Telematik-Netzwerk" aangesloten. Om toegang tot het netwerk te krijgen wordt er gewerkt met cryptografische identiteiten, die op een chipkaart worden opgeslagen. Tijdens het inloggen wordt de chipkaart van de zorgprofessional via een kaartlezer gecontroleerd. Onderzoekers van de CCC wisten op eenvoudige wijze alle benodigde chipkaarten te verkrijgen waarmee er toegang tot het netwerk kon worden verkregen. De onderzoekers konden in naam van elke willekeurige praktijk een toegangspas aanvragen. De aanvrager wordt namelijk nooit gecontroleerd, zo laat de CCC weten. Met de invoering van het elektronisch patiëntendossier zou een aanvaller toegang tot alle patiëntendossiers van de betreffende praktijk hebben. Ook bij twee andere toegangspassen, zoals de Gesundheidskarte (eGK) die nu al in gebruik is, schieten de procedures te kort en is het mogelijk om een pas aan te vragen. Met deze pas kan een aanvaller nu al toegang tot de medicatiegegevens en noodcontactgegevens van patiënten krijgen. In de toekomst moet deze pas ook toegang tot volledige patiëntendossiers gaan bieden. Volgens de CCC is er sprake van nalatigheid en een gebrek aan testen door Gematik, het bedrijf dat het netwerk verzorgt. De onderzoekers pleiten dan ook voor een strengere identiteitscontrole. Het onderzoek naar het netwerk werd tijdens de jaarlijkse CCC-conferentie in Leipzig gepresenteerd. bron: security.nl

Het verlopen van zelf gesigneerde certificaten die op Cisco-apparatuur zijn gegenereerd kan op 1 januari 2020 voor allerlei problemen zorgen, zo waarschuwt de netwerkgigant. Alle X.509 PKI-certificaten die op een groot aantal Cisco-apparaten door gebruikers zijn gegenereerd zullen namelijk op deze datum verlopen. Zodra de certificaten zijn verlopen zal het vervolgens niet meer mogelijk zijn om nieuwe zelf gesigneerde certificaten te genereren. Diensten die van deze certificaten gebruikmaken voor het opzetten van een beveiligde verbinding zullen dan niet meer werken. Het gaat dan bijvoorbeeld om het inloggen op ssh-servers, het gebruik van HTTP Server over TLS en RESTCONF waar problemen kunnen ontstaan. Ook de communicatie- telefoniediensten van Cisco kunnen stoppen met werken. Gebruikers kunnen vervolgens foutmeldingen in hun browsers te zien krijgen, geen ipsec-verbinding kunnen opzetten, niet meer kunnen bellen en API-calls zullen mislukken. Volgens securitybedrijf Rapid7 zijn er meer dan 80.000 Cisco-apparaten op internet te vinden die met het probleem te maken zullen krijgen. Dit is volgens het bedrijf het topje van de ijsberg, omdat bij veel organisaties de remote interfaces van hun Cisco-routers en -switches niet toegankelijk vanaf het internet zijn. "De interne blootstelling aan dit probleem zal waarschijnlijk vele malen groter zijn", zegt Bob Rudis van Rapid7. Om het probleem te verhelpen moeten organisaties de IOS-software van hun Cisco-apparatuur updaten en daarna opnieuw een zelf gesigneerd certificaat genereren en dat uitrollen onder alle gebruikers en apparaten die hiervan gebruikmaken. Een andere oplossing is het installeren van een certificaat dat door een certificaatautoriteit is uitgegeven. bron: security.nl

De FBI heeft een waarschuwing afgegeven voor de LockerGoga- en MegaCortex-ransomware. Sinds januari van dit jaar zouden grote bedrijven en organisaties, waaronder in Nederland, met LockerGoga zijn aangevallen, aldus de waarschuwing van de opsporingsdienst waarover Bleeping Computer bericht. Om toegang tot netwerken te krijgen maken de aanvallers gebruik van exploits voor softwarelekken, phishingaanvallen, SQL-injection en gestolen inloggegevens. Nadat het netwerk is gecompromitteerd wachten de aanvallers maanden met het uitrollen van de ransomware, zo stelt de FBI. Om infecties te voorkomen krijgen organisaties het advies om beveiligingsupdates te installeren, tweefactorauthenticatie in te stellen en het monitoren op het aanmaken van nieuwe accounts, remote verbindingen en ongeautoriseerde gebruikers in de Active Directory en beheerdersgroep. Tevens wordt aangeraden om oude versies van PowerShell te verwijderen en PowerShell-logging in te schakelen. De Noorse aluminiumproducent Hydro raakte met de LockerGoga-ransomware besmet. De infectie kostte het bedrijf al 57 miljoen euro. Eind november werd bekend dat ook Nederlandse bedrijven door de Lockergoga-, Ryuk- en MegaCortex--ransomware waren besmet en miljoenen euro's hebben betaald voor het ontsleutelen van hun bestanden. bron: security.nl

Cisco waarschuwt organisaties en systeembeheerders voor aanvallen op ASA-firewalls en Firepower Appliances. Door het versturen van een speciaal geprepareerde url kan een aanvaller de beveiligingsapparatuur laten rebooten of gevoelige informatie achterhalen. De kwetsbaarheid wordt al sinds juni vorig jaar aangevallen, maar de afgelopen dagen en weken is er volgens Cisco een toename van het aantal aanvallen zichtbaar. Organisaties krijgen dan ook het advies om de beschikbare beveiligingsupdate te installeren of andere mitigatiemaatregelen door te voeren. "Dit is geen nieuwe kwetsbaarheid, maar nu misbruik toeneemt moeten klanten zich bewust zijn van het risico van zowel een denial of service of het lekken van ongeauthenticeerde informatie. Nu we richting de feestdagen gaan nemen mensen vrij, maar aanvallers niet", zegt Nick Biasini van Cisco, die klanten oproept om zo snel als mogelijk maatregelen te nemen om het risico en de impact voor organisaties te verkleinen. bron: security.nl

Besmette advertenties die gebruikers van Internet Explorer via bekende kwetsbaarheden met malware proberen te infecteren gebruiken social engineering om ook gebruikers van Chrome en Firefox te besmetten. Dat laat antimalwarebedrijf Malwarebytes weten. Voor zover bekend maken besmette advertenties op dit moment alleen gebruik van bekende kwetsbaarheden in Adobe Flash Player en Internet Explorer om gebruikers van deze software zonder enige interactie met malware te besmetten. Alleen het te zien krijgen van een besmette advertentie is voldoende. Door de opkomst van Google Chrome en het uitblijven van exploits voor nieuwe kwetsbaarheden is de effectiviteit van besmette advertenties afgenomen, zegt onderzoeker Jerome Segura. De makers van de Spelevo-exploitkit hebben hiervoor een oplossing bedacht. Wanneer een automatische infectie via de exploitkit niet lukt wordt er social engineering toegepast, in de hoop dat het slachtoffer zichzelf met malware besmet. De advertenties die de Spelevo-exploitkit laden zijn op "tier 2" pornosites verschenen, aldus Segura. Wanneer de automatische infectie mislukt laadt de besmette advertentie een nep-pornosite. Deze nep-pornosite vraagt de gebruiker om een videocodec te installeren. Het gaat hier echter om malware. Op deze manier hebben aanvallers twee kansen om slachtoffers te besmetten, besluit de onderzoeker. Besmette advertenties die gebruikers van Internet Explorer via bekende kwetsbaarheden met malware proberen te infecteren gebruiken social engineering om ook gebruikers van Chrome en Firefox te besmetten. Dat laat antimalwarebedrijf Malwarebytes weten. Voor zover bekend maken besmette advertenties op dit moment alleen gebruik van bekende kwetsbaarheden in Adobe Flash Player en Internet Explorer om gebruikers van deze software zonder enige interactie met malware te besmetten. Alleen het te zien krijgen van een besmette advertentie is voldoende. Door de opkomst van Google Chrome en het uitblijven van exploits voor nieuwe kwetsbaarheden is de effectiviteit van besmette advertenties afgenomen, zegt onderzoeker Jerome Segura. De makers van de Spelevo-exploitkit hebben hiervoor een oplossing bedacht. Wanneer een automatische infectie via de exploitkit niet lukt wordt er social engineering toegepast, in de hoop dat het slachtoffer zichzelf met malware besmet. De advertenties die de Spelevo-exploitkit laden zijn op "tier 2" pornosites verschenen, aldus Segura. Wanneer de automatische infectie mislukt laadt de besmette advertentie een nep-pornosite. Deze nep-pornosite vraagt de gebruiker om een videocodec te installeren. Het gaat hier echter om malware. Op deze manier hebben aanvallers twee kansen om slachtoffers te besmetten, besluit de onderzoeker. bron: security.nl

Gegevens van 267 miljoen Facebookgebruikers zijn via een onbeveiligde database gelekt. Het gaat om namen, telefoonnummers en gebruiker-ID's die in een database stonden die voor iedereen op internet zonder wachtwoord toegankelijk was, zo meldt beveiligingsonderzoeker Bob Diachenko die het datalek ontdekte. Volgens Diachenko zijn de gegevens waarschijnlijk verzameld via een illegale scrapingoperatie of misbruik van de Facebook API. Het is echter onduidelijk hoe de gegevens zijn verkregen. Facebook biedt ontwikkelaars een programmeerinterface waarmee er toegang tot gegevens van gebruikers kan worden verkregen, zoals profielen, vriendenlijsten, groepen en foto's. In 2018 besloot de sociale netwerksite de toegang tot telefoonnummers te beperken. Een andere mogelijkheid is dat de gegevens zijn verzameld door die vanaf publiek toegankelijke profielpagina's te scrapen. De database werd op 4 december door een zoekmachine geïndexeerd. Op 12 december werd de database op een "hacker forum" aangeboden, aldus Diachenko, die hierover geen verdere informatie geeft. Twee dagen later ontdekte hij de database en waarschuwde de provider die het ip-adres van de server beheert. Sinds 19 december is de database niet meer toegankelijk. De verzamelde en gelekte data zou voornamelijk van Amerikaanse Facebookgebruikers zijn geweest. bron: security.nl

De meeste bruteforce-aanvallen op computers die via het Remote Desktopprotocol (RDP) toegankelijk zijn, zijn niet succesvol, zo stelt Microsoft op basis van eigen onderzoek. Bij de aanvallen proberen aanvallers via veelgebruikte, gestolen of zwakke wachtwoorden op een machine in te loggen. Voor het onderzoek werd er gedurende meerdere maanden naar 45.000 machines gekeken. Het ging om machines waarvan RDP voor heel internet toegankelijk was. Een paar honderd machines werden dagelijks het doelwit van bruteforce-aanvallen. Een gemiddelde aanval duurt twee tot drie dagen. In vijf procent van de aanvallen duurde de aanval langer dan twee weken. Van de honderden machines die werden aangevallen bleek uiteindelijk .08 procent te zijn gecompromitteerd, aldus Microsoft. Wordt er gekeken naar de bedrijven waarvan de machines werden aangevallen, dan blijkt dat gemiddeld elke drie of vier dagen er een machine wordt gecompromitteerd. Verder laat het onderzoek zien dat met name Nederlandse ip-adressen het doelwit van aanvallen zijn. Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om multifactorauthenticatie toe te passen. Aryeh Goretsky van antivirusbedrijf ESET adviseert om RDP niet voor onbevoegden toegankelijk te maken. "Er is een oud gezegde in de informatiebeveiliging dat als een aanvaller fysieke toegang tot je computer heeft, het niet meer jouw computer is", stelt Goretsky, die vervolgens wijst naar RDP waardoor aanvallers ook toegang tot een machine kunnen krijgen. De meeste bruteforce-aanvallen op computers die via het Remote Desktopprotocol (RDP) toegankelijk zijn, zijn niet succesvol, zo stelt Microsoft op basis van eigen onderzoek. Bij de aanvallen proberen aanvallers via veelgebruikte, gestolen of zwakke wachtwoorden op een machine in te loggen. Voor het onderzoek werd er gedurende meerdere maanden naar 45.000 machines gekeken. Het ging om machines waarvan RDP voor heel internet toegankelijk was. Een paar honderd machines werden dagelijks het doelwit van bruteforce-aanvallen. Een gemiddelde aanval duurt twee tot drie dagen. In vijf procent van de aanvallen duurde de aanval langer dan twee weken. Van de honderden machines die werden aangevallen bleek uiteindelijk .08 procent te zijn gecompromitteerd, aldus Microsoft. Wordt er gekeken naar de bedrijven waarvan de machines werden aangevallen, dan blijkt dat gemiddeld elke drie of vier dagen er een machine wordt gecompromitteerd. Verder laat het onderzoek zien dat met name Nederlandse ip-adressen het doelwit van aanvallen zijn. Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om multifactorauthenticatie toe te passen. Aryeh Goretsky van antivirusbedrijf ESET adviseert om RDP niet voor onbevoegden toegankelijk te maken. "Er is een oud gezegde in de informatiebeveiliging dat als een aanvaller fysieke toegang tot je computer heeft, het niet meer jouw computer is", stelt Goretsky, die vervolgens wijst naar RDP waardoor aanvallers ook toegang tot een machine kunnen krijgen. bron: security.nl

De gratis virusscanner Microsoft Security Essentials zal na 14 januari volgend jaar, als de ondersteuning van Windows 7 wordt stopgezet, signature-updates blijven ontvangen om nieuwe malware te kunnen detecteren. Dat laat Microsoft weten. Onlangs gingen nog berichten rond dat Microsoft ook de ondersteuning van de antivirussoftware zou stopzetten. De verwarring werd veroorzaakt door een artikel van Microsoft over het einde van de Windows 7-ondersteuning op 14 januari 2020. Daarin werd in eerste instantie gesteld dat Windows 7-computers na 14 januari niet meer door Microsoft Security Essentials zouden worden beschermd. Microsoft heeft het artikel nu aangepast en stelt dat Security Essentials gewoon na 14 januari signature-updates blijft ontvangen voor het detecteren van nieuwe malware. Het Security Essentials-platform zal echter niet meer worden geüpdatet. Microsoft waarschuwt gebruikers van Windows 7 om naar een nieuwer platform over te stappen. "Het zal vanwege het niet meer verschijnen van beveiligingsupdates kwetsbaarder voor beveiligingsrisico's en virussen zijn", aldus de softwaregigant. De perikelen rondom Security Essentials hebben geen gevolgen voor Windows 10, dat van de ingebouwde Windows Defender gebruikmaakt. Volgens cijfers van StatCounter werkt 16,5 procent van de Nederlandse Windowsgebruikers nog met Windows 7. bron: security.nl

Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel. Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell. Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd. Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen. Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules. Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel. Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell. Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd. Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen. Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules. Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel. Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell. Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd. Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen. Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules. bron: security.nl

De Facebook-trackingpixel die bedrijven op hun websites kunnen plaatsen verzamelt sinds begin deze maand meer informatie over gebruikers, zo waarschuwt Adblock Plus. De trackingpixel verzamelt informatie voor het tonen van gerichte advertenties op Facebook. Bedrijven kunnen hiervoor de gegevens van hun gebruikers naar Facebook sturen. Vervolgens kijkt Facebook of het de gebruiker kent en past hierop de advertenties aan. De sociale netwerksite heeft hiervoor een functie ontwikkeld genaamd "Advanced Matching". Voorheen werkte Advanced Matching alleen op pagina's met invoervelden. Sinds 5 december wordt ook geprobeerd om gebruikersdata op andere delen van een website te verzamelen en naar Facebook te sturen. Een onderzoeker meldt op Twitter hoe hij op zijn desktop naar een AirBnB-appartement zocht. Vervolgens kreeg hij op zijn telefoon een Facebookadvertentie voor hetzelfde dorp, waarbij zelfs de vakantiedatum was onthouden. Volgens Adblock Plus is Advanced Matching een trackingtechnologie 'on steroids' die de privacy van gebruikers schendt met als enig doel om meer geld voor Facebook op te leveren. Adblockers zouden de pixel echter moeten blokkeren. bron: security.nl