Captain Kirk

Een onderzoeker heeft in een WordPress-plug-in met meer dan zeventigduizend actieve installaties twee backdoors ontdekt die al jaren aanwezig blijken te zijn. WordPress.org biedt de plug-in voorlopig niet meer aan en heeft een onderzoek ingesteld. Quick Page/Post Redirect is een plug-in waarmee WordPress-sites url's naar andere locaties kunnen laten wijzen. De eerste backdoor in de plug-in maakt het mogelijk om content op de betreffende WordPress-site te injecteren, mogelijk voor SEO spam. De tweede backdoor zorgt ervoor dat de plug-in aangeboden updates vanaf een bepaald domein installeert, waardoor remote code execution mogelijk is, aldus onderzoeker Austin Ginder in een analyse. De malafide code zou in 2021 zijn toegevoegd. WordPress.org heeft de plug-in offline gehaald en zegt onderzoek te doen. WordPress-beheerders worden opgeroepen de plug-in van hun website te verwijderen. bron: https://www.security.nl

Een kritiek beveiligingslek in cPanel en WHM waardoor ongeauthenticeerde aanvallers admin-toegang tot systemen kunnen krijgen wordt actief misbruikt bij aanvallen. Beveiligingsupdates zijn sinds 28 april beschikbaar, maar misbruik zou al sinds 23 februari plaatsvinden. Daarnaast is er inmiddels proof-of-concept exploitcode online gepubliceerd, waardoor er met grootschalig misbruik rekening wordt gehouden. Volgens zoekmachine Shodan zijn er zo'n 1,5 miljoen cPanel-installaties vanaf het internet toegankelijk. Via de oplossingen zouden tientallen miljoenen domeinnamen worden beheerd. De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Een kritieke kwetsbaarheid in de oplossingen, aangeduid als CVE-2026-41940, maakt het mogelijk voor ongeauthenticeerde aanvallers om de authenticatie te omzeilen en als beheerder in te loggen. Voordat de authenticatie plaatsvindt wordt er een sessiebestand weggeschreven. Een aanvaller kan willekeurige waardes aan dit bestand toevoegen, zoals dat hij de root-gebruiker is, het bestand opnieuw laden en vervolgens toegang krijgen. CPanel kwam op 28 april met een beveiligingsupdate, alsmede detectiescripts om misbruik te detecteren. Het probleem raakt echter ook versies die end-of-life zijn en niet meer worden ondersteund. Volgens KnownHost wordt er actief misbruik van het probleem gemaakt. Gebruikers van Reddit melden dat deze aanvallen al sinds 23 februari plaatsvinden. Securitybedrijf watchTowr heeft inmiddels een analyse van de kwetsbaarheid en proof-of-concept exploitcode gepubliceerd. Daardoor zal grootschalig misbruik op korte termijn plaatsvinden, waarschuwt securitybedrijf Rapid7. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële SAP npm packages te voorzien van malware die allerlei secrets steelt, zoals tokens, credentials en configuratiehbestanden. Daarnaast probeert de malware andere packages van getroffen ontwikkelaars te infecteren zodat het zich verder kan verspreiden. Het gaat in totaal om vier packages, melden securitybedrijven Aikido en Socket in een analyse. Wanneer ontwikkelaars de gecompromitteerde packages installeren wordt er automatisch een script op hun systeem uitgevoerd dat de malware installeert en uitvoert. De malware steelt onder andere SSH private keys, Github- en npm-tokens, omgevingsvariabelen, GitHub Actions secrets, AWS- en Azure-gegevens, Kubernetes service account tokens, data van cryptowallets, configuratiebestanden van vpn's en AI-tools, shell history bestanden en data van chatapps Signal, Slack, Telegram en Discord. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Bij geïnfecteerde ontwikkelaars kijkt de malware welke npm packages die allemaal beheren. Vervolgens wordt door middel van gestolen npm tokens de malware ook aan deze packages toegevoegd, zodat die zich verder kan verspreiden. Volgens onderzoekers van Socket is de aanval mogelijk uitgevoerd door een groep genaamd TeamPCP die eerder door middel van supplychain-aanvallen ook andere packages wist te compromitteren. Mogelijk zou de groep via een blootgesteld npm token de aanval hebben kunnen uitvoeren. bron: https://www.security.nl

Een kritieke kwetsbaarheid op GitHub.com maakte het mogelijk om toegang tot miljoenen publieke en private repositories te krijgen. Hetzelfde beveiligingslek maakte het ook mogelijk om in het geval van GitHub Enterprise Server systemen volledig te compromitteren en zo toegang te krijgen tot alle gehoste repositories en interne secrets. Dat meldt securitybedrijf Wiz. GitHub heeft het probleem inmiddels verholpen. GitHub is een populair platform voor softwareontwikkelaars. GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen een organisatie. Via het platform is het mogelijk om software te ontwikkelen en leveren. Onderzoekers van Wiz ontdekten een injection kwetsbaarheid in het interne protocol van GitHub. Geauthenticeerde gebruikers konden zo via een git push commando willekeurige commando's op de backend servers van GitHub uitvoeren. Wanneer een gebruiker code naar GitHub.com pusht zijn hier verschillende interne services van het platform bij betrokken. Als onderdeel van het push proces wordt metadata over de push, zoals het soort repository en de omgeving waarin die moet worden verwerkt, via een intern protocol tussen de verschillende services uitgewisseld. De kwetsbaarheid maakte misbruik van hoe door gebruikers opgegeven push opties binnen deze metadata werd verwerkt. Push opties maken het mogelijk voor clients om tijdens een push 'key-value strings' naar de server te sturen. Onvoldoende 'sanitization' zorgde ervoor dat de downstream service van GitHub gebruikersinvoer als vertrouwde interne data beschouwde. Een aanvaller kon door middel van verschillende geïnjecteerde waardes code op shared storage nodes van GitHub.com uitvoeren. Op deze gecompromitteerde nodes hadden de onderzoekers toegang tot miljoenen publieke en private repositories van andere gebruikers en organisaties. Wiz waarschuwde GitHub dat het probleem binnen een aantal uur op GitHub.com verhielp. Voor GitHub Enterprise Server zijn beveiligingsupdates beschikbaar gesteld. Organisaties moeten die nog wel zelf installeren. De onderzoekers stellen dat 88 procent van de servers nog kwetsbaar is. GitHub meldt op basis van eigen onderzoek dat er geen misbruik van de kwetsbaarheid (CVE-2026-3854) is gemaakt. bron: https://www.security.nl

Beveiligingsbedrijf ADT heeft de persoonlijke gegevens van 5,5 miljoen klanten gelekt. De data werd gestolen door dezelfde groep criminelen die eerder bij Odido de gegevens van zes miljoen mensen wist buit te maken. ADT levert onder ander alarmsystemen en beveiligingscamera's voor woningen en bedrijven. Vorige week meldde ADT via de eigen website dat aanvallers er in waren geslaagd om gegevens van klanten en potentiële klanten te stelen. Volgens het beveiligingsbedrijf gaat het om namen, telefoonnummers en adresgegevens. In een "klein percentage" van de gevallen zijn ook geboortedatums en laatste vier cijfers van het social-securitynummer gestolen. Hoe de aanval mogelijk was en hoeveel klanten waren getroffen liet ADT niet weten. De aanval werd opgeëist door een groep die zichzelf ShinyHunters noemt. De aanvallers claimden de Salesforce-omgeving van ADT te hebben gehackt. Het zou gaan om elf gigabyte aan gecompromitteerde data en meer dan tien miljoen records. De aanvallers dreigden de gestolen data te publiceren als ADT geen losgeld zou betalen. De informatie is inmiddels op de website van ShinyHunters verschenen. Volgens Troy Hunt van datalekzoekmachine Have I Been Pwned gaat het naast de door ADT genoemde data ook om 5,5 miljoen e-mailadressen en gedeeltelijke identiteitsbewijzen. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De bij ADT buitgemaakte e-mailadressen zijn nu aan de zoekmachine toegevoegd. Daarvan was 71 procent al via een ander datalek bekend. bron: https://www.security.nl

Google heeft opnieuw beveiligingsupdates uitgebracht om meerdere kritieke kwetsbaarheden in Chrome te verhelpen die remote code execution (RCE) mogelijk maken. Een aanvaller kan via dit soort beveiligingslekken malafide code op het systeem van gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of gecompromitteerde website of het te zien krijgen van besmette advertenties voldoende is. Er is geen verdere interactie van gebruikers vereist. Lange tijd was het aantal kritieke kwetsbaarheden in Chrome een stuk lager dan in andere browsers. Dat beeld begint enigszins te veranderen. Begin april kwam Google met een update waarmee vijf kritieke beveiligingslekken werden gepatcht. Gisterenavond verscheen een nieuwe update, die dit keer vier kritieke lekken dicht. De kwetsbaarheden zijn aanwezig in verschillende onderdelen van de browser, waaronder Canvas, Accessibility en Views. Details over de kwetsbaarheden, zoals hoe aanvallers er precies misbruik van kunnen maken, zijn nog niet door Google openbaar gemaakt. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 147.0.7727.137/138 is beschikbaar voor Windows en macOS. Voor Linux is versie 147.0.7727.137 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Op "Open VSX" zijn tientallen extensies voor Visual Studio Code aangetroffen die malware bevatten. Dat meldt securitybedrijf Socket. Open VSX is een open-source marktplaats voor extensies voor Visual Studio Code en Theia. Het biedt een alternatief voor de officiële Visual Studio Code Marketplace. De malafide extensies die Socket ontdekte lijken op legitieme populaire extensies en zijn voorzien van een loader die aanvullende malware download en uitvoert. Deze malware is ontwikkeld om inloggegevens en andere data van het systeem van de ontwikkelaars te stelen. De extensies zijn door de beheerders van Open VSX verwijderd. Hoeveel mensen de extensies hebben gedownload is onbekend. De extensies zijn sinds april op Open VSX te vinden. Volgens Socket zijn de extensies waarschijnlijk door een aanvaller ontwikkeld die de extensies eerst publiceerde zonder malware, om zo vertrouwen op te bouwen. Vervolgens werden de extensies van de malware voorzien. De malware in de extensies wordt GlassWorm genoemd. De malware is ontwikkeld om inloggegevens voor NPM, GitHub en Git te stelen. Daarnaast kan de GlassWorm malware VNC-servers op het systeem installeren om zo op afstand toegang tot het systeem te behouden. bron: https://www.security.nl

Een datalek bij AI-trainingsbedrijf Mercor heeft 40.000 mensen geraakt, waarbij hun stemopnamen en identiteitsdocumenten zijn gestolen. Het gaat om een dataset van ongeveer 4 terabyte. De gestolen data bestaat uit stemopnamen en scans van identiteitsdocumenten van mensen die voor het bedrijf als 'AI contractor' werkten. De stemopnamen zijn gemaakt door mensen die voor het trainen van AI-modellen teksten voorlazen. De gestolen dataset bevat ook scans van identiteitsdocumenten, zoals paspoorten en rijbewijzen, en selfies van de betreffende personen. Volgens securitybedrijf ORAVYS is de dataset eenvoudig te gebruiken voor het maken van deepfake stemmen. "De Mercor opnamen zijn gemiddeld twee tot vijf minuten lang. Combineer dit met het gelekte identiteitsdocument en de aanvaller heeft alle benodigde gegevens om een deepfake in te zetten", aldus het securitybedrijf. ORAVYS stelt dat aanvallers met de gestolen stemgegevens allerlei aanvallen kunnen uitvoeren, zoals het omzeilen van stemverificatie bij banken, het oplichten van de werkgever van het slachtoffer, het plegen van fraude met verzekeringsclaims, het oplichten van familieleden en het plegen van romance scams. Het securitybedrijf biedt een dienst waarmee mensen kunnen controleren of hun stemgegevens zijn gestolen, hiervoor moet een korte "voice sample" worden geüpload. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om een malafide versie van de populaire Python-package "elementary-data" op PyPI te plaatsen, de officiële repository voor Python-packages. De malafide versie steelt gevoelige data en informatie uit cryptowallets. De malafide versie is inmiddels van PyPI verwijderd. Elementary-data is een populaire tool in het dbt (Data Build Tool) ecosysteem, met meer dan 1,1 miljoen downloads op PyPI. Op 24 april werd een malafide versie van de package op PyPI geplaatst, de malware was opgenomen in het elementary.pth bestand. De malware werd toegevoegd via een kwetsbaarheid in de GitHub Actions workflow van het package. De aanvallers plaatsten een specifieke comment op een pull request die misbruik maakt van een injection kwetsbaarheid in een van de workflows. Met behulp van de kwetsbaarheid konden de aanvallers een GITHUB_TOKEN bemachtigen (uit de workflow), een nieuwe malafide release van het package maken en deze, via de legitieme release pipeline, publiceren naar PyPI. StepSecurity stelt dat systemen die geen gepinde versies gebruiken automatisch de malafide versie hebben gedownload. bron: https://www.security.nl

Aanvallers maken gebruik van social engineering, phishing via Microsoft Teams en malafide browser-extensies om toegang tot systemen te krijgen, zo waarschuwt Google. De aanval begint volgens Google met een e-mailcampagne om het doelwit met berichten te overladen. Hierna wordt via Microsoft Teams een phishinglink verstuurd, waarbij de aanvaller zich voordoet als helpdeskmedewerker. De website laat het slachtoffer geloven dat er een probleem met zijn mailbox is dat met een "Mailbox Repair and Sync Utility" kan worden verholpen. De website vraagt de gebruiker om zijn e-mailadres en wachtwoord. De ingevulde gegevens worden vervolgens naar een Amazon S3-bucket gestuurd. Tevens worden er verschillende bestanden gedownload, waaronder een malafide browser-extensie genaamd SNOWBELT. Deze extensie fungeert als backdoor en kan in combinatie met andere malware de aanvallers controle over het systeem geven. Zo kunnen screenshots worden gemaakt, bestanden worden gedownload en verwijderd en commando's op het systeem worden uitgevoerd. De extensie kan ook worden gebruikt om toegang tot het systeem te behouden, ook als de browser wordt herstart. Microsoft waarschuwde onlangs dat aanvallers steeds vaker gebruikmaken van Microsoft Teams voor het uitvoeren van helpdesk-imitatieaanvallen. De aanvallers doen zich voor als IT-personeel of helpdeskmedewerker en proberen op deze manier om toegang tot een systeem te verkrijgen. bron: https://www.security.nl

CrowdStrike en Tenable hebben kritieke kwetsbaarheden in hun producten gedicht. In het geval van CrowdStrike gaat het om een path traversal-kwetsbaarheid (CVE-2026-40050) in LogScale. LogScale is een platform voor het verzamelen, indexeren en doorzoeken van logbestanden. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller willekeurige bestanden van het systeem lezen. CrowdStrike stelt dat de kwetsbaarheid alleen een probleem is voor klanten die specifieke versies van LogScale hosten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid werd door CrowdStrike zelf gevonden. Het securitybedrijf zegt geen aanwijzingen te hebben dat het probleem actief wordt misbruikt. Klanten die van LogScale gebruikmaken worden opgeroepen om zo snel mogelijk te updaten. Tenable kwam met een beveiligingsbulletin voor een kwetsbaarheid in Nessus Agent op Windows (CVE-2026-33694). Via het beveiligingslek kan een aanvaller willekeurige bestanden met SYSTEM-rechten verwijderen. Dit kan vervolgens leiden tot het uitvoeren van willekeurige code met dezelfde (SYSTEM) rechten. Tenable heeft een update uitgebracht om het probleem te verhelpen. bron: https://www.security.nl

De Amerikaanse en Britse overheid waarschuwen voor een backdoor genaamd FIRESTARTER die aanvallers in Cisco ASA-firewalls installeren. De backdoor wordt volgens de Amerikaanse en Britse autoriteiten ingezet door een advanced persistent threat (APT). De Amerikaanse en Britse autoriteiten stellen dat de backdoor is geïnstalleerd door aanvallers die misbruik maakten van CVE-2025-20333 (buffer overflow) en CVE-2025-20362 (missing authorization). Via deze kwetsbaarheden konden de aanvallers toegang verkrijgen tot de firewall. FIRESTARTER kan volgens de autoriteiten op de firewall actief blijven, ook nadat de originele kwetsbaarheden zijn verholpen. De Amerikaanse en Britse autoriteiten hebbenYARA-rules ontwikkeld waarmee organisaties de backdoor kunnen detecteren. Daarnaast is er ook een nieuwe versie van een eerder uitgegeven 'Emergency Directive' verschenen waarin federale Amerikaanse overheidsinstanties worden opgeroepen om hun Cisco ASA-firewalls op de aanwezigheid van de backdoor te controleren. bron: https://www.security.nl

Een kwetsbaarheid in Windows maakt het mogelijk voor een lokale aanvaller met "impersonation privileges" om systeemrechten ("SYSTEM") te krijgen, zo stelt Kaspersky op basis van eigen onderzoek. Volgens Kaspersky is de kwetsbaarheid vermoedelijk aanwezig in alle Windows versies. Kaspersky waarschuwde Microsoft op 19 september vorig jaar over de kwetsbaarheid. Op 10 oktober kwam het techbedrijf met een reactie dat het probleem niet als "high-severity" was aangemerkt en er geen CVE-nummer zou worden toegekend. Microsoft stelde tevens dat de kwetsbaarheid niet meteen gepatcht wordt, met als reden dat een aanvaller reeds over impersonation privileges ("SeImpersonatePrivilege") moet beschikken. Kaspersky heeft nu de details openbaar gemaakt, alsmede proof-of-concept code. Kaspersky zegt dat het geen instructies gaat publiceren die het eenvoudiger maken om de kwetsbaarheid op grote schaal te misbruiken. bron: https://www.security.nl

De CLI-versie van wachtwoordmanager Bitwarden is getroffen door een supplychain-aanval waarbij aanvallers gebruikmaakten van een gecompromitteerde GitHub Action, zo meldt securitybedrijf Socket. De opensource wachtwoordmanager telt meer dan tien miljoen gebruikers en wordt door meer dan 50.000 bedrijven gebruikt. Voor zover bekend is alleen de via npm aangeboden commandlineversie ("CLI") van de wachtwoordmanager door de aanval getroffen. De aanval op Bitwarden CLI lijkt gebruik te hebben gemaakt van een gecompromitteerde GitHub Action in de CI/CD-pipeline van de wachtwoordmanager. Hierna is een gebackdoorde package (2026.4.0) van Bitwarden CLI gepubliceerd. Deze package bevat malafide code opgenomen in bw1.js. Dit bestand heeft veel overeenkomsten met het mcpAddon.js bestand, dat wordt gebruikt in de Checkmarx Supply Chain aanval. De malafide code in bw1.js verzamelt allerlei inloggegevens, waaronder GitHub-tokens, AWS-credentials, Azure-tokens, GCP-credentials, npm-configuratiebestanden, SSH-keys, environment variabelen en configuratiebestanden van onder andere Claude. De gestolen data wordt vervolgens naar een externe server van de aanvallers gestuurd. Socket adviseert getroffen organisaties om zo snel mogelijk het gebackdoorde package te verwijderen van developer, productie en build-systemen. Tevens wordt aangeraden om alle credentials en secrets die mogelijk aanwezig waren op deze systemen, zo snel mogelijk te roteren. bron: https://www.security.nl

Microsoft heeft besloten de beveiligingsupdates voor Exchange Server 2016/2019 en Skype for Business Server 2015/2019 met zes maanden te verlengen. Deze software wordt sinds oktober vorig jaar niet meer ondersteund, maar via het Extended Security Updates programma (ESU) bleef Microsoft nog wel beveiligingsupdates uitbrengen. Oorspronkelijk zou het ESU programma op 14 april van dit jaar aflopen. Nu laat het techbedrijf weten dat het een tweede periode van het ESU-programma aanbiedt. Deze periode loopt van 1 mei tot en met 31 oktober 2026. Klanten die aan het ESU-programma willen deelnemen, moeten hiervoor opnieuw betalen, ook als ze al aan het eerste ESU-programma deelnamen. Microsoft zegt dat het niet van plan is om de updates na deze periode nogmaals te verlengen. De beveiligingsupdates die Microsoft via het ESU-programma aanbiedt zijn alleen bedoeld voor kritieke en belangrijke kwetsbaarheden, zoals door het Microsoft Security Response Center (MSRC) wordt gedefinieerd. Het techbedrijf zegt dat het niet garandeert dat er tijdens de tweede periode van het ESU-programma beveiligingsupdates zullen verschijnen. Wanneer er wel updates beschikbaar komen, zullen die alleen onder deelnemers aan het ESU-programma worden verspreid. bron: https://www.security.nl

AI-agents op GitHub kunnen via GitHub-comments worden overgenomen, zo melden onderzoekers in een blog post. De onderzoekers waarschuwen dat de aanval, die ze 'Comment and Control' noemen, kan worden gebruikt om API-keys en access tokens van de host repository te stelen. De aanval is getest tegen drie AI-agents: Anthropic Claude Code, Google Gemini en GitHub Copilot. De onderzoekers stellen dat de AI-agents kunnen worden overgenomen via speciaal geprepareerde GitHub-comments, waaronder PR ("Pull Request") titels, comments en issue bodies. Zo kan een aanvaller via een malafide PR-titel de AI-agent overtuigen om willekeurige commando's uit te voeren of credentials te stelen en die vervolgens als een security finding of een entry in de GitHub Actions log te publiceren/exfiltreren De Comment and Control-aanval is een serieus risico, omdat het "malafide prompt" van de aanvaller automatisch kan worden verwerkt door een AI-Agent via (bijvoorbeeld) een GitHub Actions workflow, zonder enige interactie van het slachtoffer, aldus de onderzoekers. De onderzoekers waarschuwen tevens dat de aanval waarschijnlijk werkt tegen elke AI-agent die onbetrouwbare GitHub-data verwerkt en toegang heeft tot tools in een runtime omgeving waarin zich ook productie secrets bevinden. De onderzoekers rapporteerden de bevindingen aan Anthropic, Google en GitHub. bron: https://www.security.nl

Google, Microsoft en Meta negeren massaal het opt-out signaal van Californiërs, zo stelt privacybedrijf webXray op basis van eigen onderzoek. De drie techbedrijven plaatsten trackingcookies bij Californiërs die hadden aangegeven niet gevolgd te willen worden. De onderzoekers keken naar het netwerkverkeer van meer dan zevenduizend populaire websites in de Amerikaanse staat. Deze websites bleken duizenden advertentiecookies te plaatsen, ook al hadden gebruikers aangegeven dat ze niet gevolgd wilden worden. De onderzoekers stellen dat de techbedrijven het Global Privacy Control (GPC) signaal negeren. Dit is een mechanisme dat gebruikers kunnen instellen om aan te geven dat ze niet gevolgd willen worden. Google negeert het GPC-signaal in 86 procent van de gevallen. Microsoft doet dit in 50 procent van de gevallen en Meta in 69 procent van de gevallen. De onderzoekers vermelden dat de techbedrijven in het verleden al herhaaldelijk wegens het overtreden van de privacywetgeving zijn beboet. "Gegeven het feit dat dit schattingen zijn en de wisselkoers tussen de dollar en de euro is de afgelopen jaren fluctueerde, gaan we ervan uit dat er een 1:1 wisselkoers is en berekenen we de totale bedragen op basis daarvan". Er wordt gesteld dat Google, Microsoft en Meta bij elkaar een bedrag van 12,1 miljard dollar aan boetes hebben betaald. De onderzoekers zijn van mening dat de techbedrijven eenvoudig aan de wet kunnen voldoen. "Wanneer de adverteerserver van Microsoft verkeer met Sec-GPC: 1 ontvangt, hoeft het alleen een 451 Unavailable For Legal Reasons statuscode terug te geven om aan te geven dat de content niet kan worden geleverd vanwege de juridisch gedefinieerde opt-out van de gebruiker. In deze conditie wordt geen cookie geplaatst." Google, Microsoft en Meta ontkennen de bevindingen van de onderzoekers. "Dit rapport is gebaseerd op een fundamenteel misverstand van hoe onze producten werken. We respecteren opt-outs die door adverteerders en uitgevers worden aangeboden, zoals de wet vereist", aldus een woordvoerder van Google tegen The Record. Microsoft zegt dat het de privacy van gebruikers een topprioriteit vindt en dat het gebruikers die via GPC hun voorkeur hebben aangegeven uitschakelt van het delen van persoonlijke data met derde partijen voor gepersonaliseerde advertenties. "Sommige Microsoft-cookies zijn echter noodzakelijk voor operationele doeleinden en kunnen dan ook worden geplaatst en gelezen, ook al is er een GPC-signaal gedetecteerd." Meta stelt dat het onderzoek een "blatante marketingstunt" is die de werking van GPC en de rol van Meta verkeerd weergeeft. "De controle beperkt hoe data wordt gedeeld, niet verzameld, en Meta vereist dat wanneer er gebruik wordt gemaakt van de Meta-pixel, adverteerders alleen met ons informatie delen waarvoor ze het recht hebben om te delen." bron: https://www.security.nl

Tijdens de patchdinsdag van april heeft Microsoft een actief aangevallen spoofinglek in SharePoint Server gedicht. De kwetsbaarheid (CVE-2026-32201) maakt het mogelijk voor een ongeauthenticeerde aanvaller om een spoofing-aanval over een netwerk uit te voeren. Verdere details over de kwetsbaarheid en de waargenomen aanvallen zijn niet door Microsoft verstrekt. In totaal verhelpt Microsoft deze maand 165 kwetsbaarheden. Het gaat onder andere om een beveiligingslek in Microsoft Defender waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Deze kwetsbaarheid (CVE-2026-33825) werd eerder deze maand door een onderzoeker openbaar gemaakt, omdat hij ontevreden was over de manier waarop Microsoft met bugmeldingen omgaat. De onderzoeker, die zichzelf Chaotic Eclipse noemt, publiceerde op GitHub exploitcode voor het beveiligingslek. Microsoft heeft het probleem nu verholpen en stelt dat de kwetsbaarheid alleen misbruikt kan worden door een aanvaller die al toegang tot het systeem heeft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. bron: https://www.security.nl

AI kan aanvallen versnellen en het is dan ook belangrijk dat organisaties hun reactietijden verkorten en patchprocessen versnellen, zo stelt het Nationaal Cyber Security Centrum (NCSC). Het Amerikaanse AI-bedrijf Anthropic kondigde onlangs het AI model Mythos aan, een model voor kwetsbaarheidsopsporing en chaining. Volgens het NCSC kan Mythos kwetsbaarheden sneller opsporen en koppelen tot volledige exploits en aanvalsketens. "Dit kan de verdediging versterken, maar kan ook digitale aanvallen versnellen. De boodschap van het NCSC is simpel: Wacht niet af. Verkort je reactietijden, versnel patchprocessen, en zorg dat basisbeveiliging op orde is", aldus de overheidsinstantie. De huidige, beperkte toegang tot een selecte groep grote techbedrijven onderstreept de gevoeligheid en het potentieel van deze technologie. Het NCSC merkt op dat Mythos niet alleen losse kwetsbaarheden kan vinden, maar ze in samenhang benutten om complete aanvalsketens te construeren. "Dat vergroot het risico dat kleine, op zichzelf onschuldige bugs in combinatie een serieuze aanval mogelijk maken. Tegelijk ontbreken publieke technische details om de volledige impact te verifiëren; het is aannemelijk dat echte kwetsbaarheden worden geraakt, maar minder duidelijk hoe eenvoudig ze in de praktijk misbruikt kunnen worden", laat de overheidsinstantie verder weten. Volgens het NCSC is het aannemelijk dat vergelijkbare capaciteiten bij andere AI-modellen snel breder beschikbaar komen. "De versnelling die we hier zien, blijft niet beperkt tot een paar partijen." Het NCSC adviseert organisaties om AI-ontwikkelingen expliciet op te nemen in hun beveiligingsmaatregelen, met name patchmanagement. "Zero-days kun je niet voorkomen, maar de "time-to-patch" moet omlaag; uitstel van dagen of weken past niet meer bij het huidige dreigingslandschap." bron: https://www.security.nl

SAP heeft een kritieke kwetsbaarheid in Business Planning en Business Warehouse gedicht waardoor een ongeautoriseerde aanvaller op afstand willekeurige SQL-commando's op de database kan uitvoeren. De impact van het beveiligingslek (CVE-2026-27681) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De kwetsbaarheid werd door securitybedrijf Onapsis aan SAP gerapporteerd. SAP Business Planning and Consolidation (BPC) is een oplossing voor het plannen en consolideren van bedrijfsfinanciën. SAP Business Warehouse (BW) is een oplossing voor het opslaan en analyseren van grote hoeveelheden bedrijfsgegevens. De kwetsbaarheid bevindt zich in een ABAP-programma dat een gebruiker met lage rechten een bestand laat uploaden met willekeurige SQL-commando's die vervolgens worden uitgevoerd. SAP heeft het probleem verholpen door alle uitvoerbare code in het kwetsbare programma uit te schakelen. Als tijdelijke oplossing adviseert SAP het verwijderen van de autorisatie van gebruikersaccounts om bestanden te uploaden. Dit kan echter gevolgen hebben voor gebruikers in andere applicaties. "Aangezien deze workaround kan leiden tot bijwerkingen voor de getroffen gebruikers in andere applicaties en vanwege de impact van de kwetsbaarheid, raden we sterk aan om de patch zo snel mogelijk te installeren", aldus Onapsis. Naast het kritieke SQL Injection-lek verhelpt SAP ook een kwetsbaarheid in ERP en S/4HANA waardoor een geauthenticeerde aanvaller een ABAP-programma kan uitvoeren om bestaande achtkarakters uitvoerbare programma's te overschrijven. De impact van dit beveiligingslek (CVE-2026-34256) is beoordeeld met een 7.1. bron: https://www.security.nl

Rockstar Games heeft de gegevens van miljoenen spelers gelekt, zo stelt een groep criminelen die de data in handen zou hebben. Het gaat om meer dan 78,6 miljoen records, aldus de criminelen, die zichzelf ShinyHunters noemen. De groep claimt dat het de gegevens heeft gestolen bij een aanval op Snowflake-omgevingen van Rockstar Games. Snowflake is een cloudplatform dat wordt gebruikt voor de opslag van grote hoeveelheden data. De criminelen claimen dat ze inloggegevens van Anodot hebben gestolen en die vervolgens hebben gebruikt om toegang tot de Snowflake-omgevingen van klanten te krijgen. De groep heeft nu een deel van de gestolen data openbaar gemaakt. Het gaat om analyticsdata, waaronder in-game aankopen, inkomsten, supporttickets en fraudedetectie. Bleeping Computer meldt dat de criminelen de gestolen data hebben gebruikt om Rockstar Games af te persen. Rockstar Games heeft de aanval bevestigd, maar stelt dat er geen gevoelige gegevens zijn buitgemaakt. "We kunnen bevestigen dat een beperkte hoeveelheid niet-materiële bedrijfsinformatie is buitgemaakt in verband met een datalek van een derde partij. Dit incident heeft geen impact op onze organisatie of onze spelers", aldus een verklaring tegenover Kotaku. Eerder werd al bekend dat Anodot was getroffen door een datalek. Daarbij werden inloggegevens van klanten gestolen. Het ging onder andere om Salesforce-klanten. Salesforce is een veelgebruikt platform voor customer relationship management (CRM). De criminelen achter de aanval op Anodot claimden dat ze ook gegevens van Rockstar Games hadden buitgemaakt. bron: https://www.security.nl

AI-modellen kunnen nu zelf kritieke kwetsbaarheden in complexe software vinden, zo stelt AI-bedrijf Anthropic. Het bedrijf claimt dat het een nieuw AI-model heeft ontwikkeld genaamd Claude Mythos Preview dat in staat is om zelf kwetsbaarheden te vinden en misbruiken. Het model is echter niet beschikbaar voor het publiek. Anthropic heeft het model wel met verschillende partijen gedeeld, waaronder Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. Deze partijen kunnen het model gebruiken om hun eigen software te controleren. Anthropic zegt dat het model duizenden kwetsbaarheden heeft gevonden, waaronder in alle grote besturingssystemen en browsers. Het gaat onder andere om een kwetsbaarheid in OpenBSD die al 27 jaar aanwezig is. Het model is ook in staat om exploits te ontwikkelen. Zo is het model in staat om een kwetsbaarheid in de Linux-kernel te vinden en misbruiken, waardoor een aanvaller zijn rechten kan verhogen en root kan worden. Anthropic zegt dat het model niet specifiek is getraind om kwetsbaarheden te vinden en misbruiken. "Dit is het gevolg van algemene verbeteringen in code, redeneren en autonomie. De zelfde verbeteringen die het model veel effectiever maken in het patchen van kwetsbaarheden, maken het ook veel effectiever in het misbruiken ervan." Het AI-bedrijf stelt dat het model niet voor het publiek beschikbaar zal worden gemaakt. Wel is het van plan om in de toekomst AI-modellen zoals Mythos Preview aan gebruikers aan te bieden. "Om dit te doen moeten we ook vooruitgang boeken in het ontwikkelen van cybersecurity (en andere) beveiligingsmaatregelen die gevaarlijke outputs van het model detecteren en blokkeren." bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) verwacht op korte termijn grootschalig misbruik van een kritieke kwetsbaarheid in Adobe Acrobat, nu proof-of-concept exploitcode op internet is verschenen. De overheidsinstantie adviseert gebruikers van de pdf-software om de noodpatch die Adobe wegens het probleem uitbracht zo snel mogelijk te installeren. Misbruik van de kwetsbaarheid zou mogelijk al maanden plaatsvinden. Het beveiligingslek zorgt ervoor dat een aanvaller willekeurige code op het systeem kan uitvoeren als een gebruiker met een kwetsbare Acrobat-versie een speciaal geprepareerd pdf-document opent. Beveiligingsonderzoeker Haifei Li maakte vorige week het bestaan van de kwetsbaarheid bekend en stelde dat er actief misbruik van werd gemaakt. Een systeem dat hij ontwikkelde voor het detecteren van exploits ontdekte het beveiligingslek (CVE-2026-34621). Verder onderzoek wees uit dat aanvallen mogelijk al sinds eind november vorig jaar plaatsvinden. Adobe kwam vervolgens op zaterdag 11 april, buiten de vaste patchcyclus om, met een noodpatch. Het softwarebedrijf omschrijft het probleem als een 'Improperly Controlled Modification of Object Prototype Attributes' kwetsbaarheid, maar geeft geen verdere details. Kort na het uitkomen van de updates verscheen er proof-of-concept exploitcode online. Dat kan andere aanvallers helpen bij het uitvoeren van aanvallen. "Er is publieke exploit code beschikbaar, hiermee is het zeer waarschijnlijk dat er grootschalig misbruik zal plaatsvinden op korte termijn", aldus het NCSC in een advisory. Dat kwam vanwege de ernst van de kwetsbaarheid ook met een aparte waarschuwing. bron: https://www.security.nl

OpenAI is één van de organisaties die getroffen is door de aanval op Axios en heeft uit voorzorg besloten om het code signing certificaat gebruikt voor het signeren van macOS-apps te vervangen. Applicaties gebruiken de Axios library om via HTTP met andere systemen te communiceren. De library heeft meer dan honderd miljoen wekelijkse downloads op npmjs.com. Bij een recente aanval wisten de aanvallers het account van de primaire maintainer van het Axios-project te compromitteren, om vervolgens malafide versies uit te brengen. Deze versies installeerden bij gebruikers een remote access trojan (RAT). De GitHub Actions workflow die OpenAI gebruikt voor het signeren van de macOS-app downloadde de besmette versie en voerde die ook uit. De workflow in kwestie heeft toegang tot het certificaat en notarization materiaal dat OpenAI gebruikt voor het signeren van macOS-applicaties, waaronder ChatGPT Desktop, Codex, Codex-cli en Atlas. Door de code te signeren kunnen gebruikers controleren dat de software afkomstig is van OpenAI. Met een gestolen certificaat zou een aanvaller malware kunnen signeren, waarbij het lijkt om legitieme OpenAI software te gaan. OpenAI deed onderzoek naar de aanval en stelt dat het code signing certificaat waarschijnlijk niet door de aanvallers is gestolen. Uit voorzorg is echter besloten om het certificaat als gecompromitteerd te beschouwen en het te vervangen. Vanaf 8 mei zullen oudere versies van ChatGPT Desktop, Codex App, Codex CLI en Atlas voor macOS geen updates meer ontvangen en mogelijk niet meer werken. Gebruikers krijgen zo een maand de tijd om hun applicaties te vervangen. Volgens OpenAI is het getroffen notarization materiaal niet meer te gebruiken. Mocht het getroffen certificaat worden gebruikt voor het signeren van een macOS-app, dan zal macOS deze app vanwege het ontbreken van notarization standaard blokkeren. Notarization is een geautomatiseerd proces waarbij Apple door ontwikkelaars aangeboden apps op malware controleert. Mocht er misbruik van het certificaat worden gedetecteerd, dan zegt OpenAI de genoemde datum naar voren te halen. bron: https://www.security.nl

Naast individuen zijn ook bedrijven getroffen door de besmette versies van CPU-Z en HWMonitor die via de gehackte website van CPUID werden verspreid, zo stelt antivirusbedrijf Kaspersky op basis van eigen informatie. CPUID biedt verschillende populaire tools waarmee gebruikers informatie over hun systeem kunnen opvragen of de werking van de hardware kunnen monitoren. Vorige week wezen de downloadlinks op de officiële CPUID-site zes uur lang naar besmette, getrojaniseerde versies van CPU-Z, HWMonitor Pro, HWMonitor en PerfMonitor. Volgens de ontwikkelaar van de tools was een gecompromitteerde 'side API' de oorzaak, maar verdere details over hoe de aanval mogelijk was zijn nog niet gegeven. Kaspersky heeft een analyse van de malware gepubliceerd. Het gaat om een remote access trojan waarmee aanvallers toegang tot de systemen van slachtoffers krijgen. Het antivirusbedrijf detecteerde meer dan honderdvijftig slachtoffers. Het grootste deel daarvan zijn individuen, maar onder de slachtoffers werden ook verschillende bedrijven waargenomen. De niet nader genoemde ondernemingen zijn volgens Kaspersky actief in verschillende sectoren, waaronder retail, productie, consultancy, telecom en landbouw, waarbij de meeste infecties in Brazilië, China en Rusland werden waargenomen. Het werkelijke aantal slachtoffers ligt vermoedelijk veel hoger, omdat het hier alleen om infecties gaat die door Kaspersky zijn waargenomen. bron: https://www.security.nl