Captain Kirk

Meta volgde het browsegedrag van Facebook- en Instagram-gebruikers zonder dat die hier toestemming voor hadden gegeven, zo stellen onderzoekers van de Radboud Universiteit en KU Leuven. Ook internetgigant Yandex zou zich hier schuldig aan maken. Op de dag van de publicatie van het onderzoek stopte de Meta-pixel met het versturen van data naar localhost, zo stellen de onderzoekers in een update. De onderzoekers ontdekten dat de Android-apps van Meta en Yandex, waaronder Facebook en Instagram, stilletjes op bepaalde poorten luisteren om zo te kunnen volgen welke websites deze gebruikers in hun browser bezoeken. De volgmethode combineert de werking van de Android-apps met de Meta- en Yandex-trackingpixels die op miljoenen websites actief zijn. "Deze methode omzeilt de privacybescherming van de permissiecontrole van Android en zelfs de Incognito Mode van browsers, en raakt alle grote Android-browsers", aldus de onderzoekers. Yandex zou de methode al sinds 2017 toepassen, Meta sinds september 2024. Het techbedrijf zou kort na de publicatie van het onderzoek ermee zijn gestopt. Android laat apps met de Internet-premissie een lokale webserver in de achtergrond starten. Browsers op hetzelfde toestel hebben hier ook toegang toe. "Dit laat JavaScript op webpagina's communiceren met native Android-apps en identifiers en browsegedrag delen, en zo via standaard web API's kortstondige web identifiers aan langdurige mobiele app-identifiers koppelen", aldus de onderzoekers. De Meta-pixel die op miljoenen websites actief is gebruikte deze lokale webserver om browser-identifiers met de Facebook- en Instagram-app op de telefoon te delen. Daarbij werd de data gekoppeld aan het ingelogde account van de gebruiker en vervolgens via de app naar de servers van Meta gestuurd. "Het fundamentele probleem waardoor deze aanval mogelijk is, is het gebrek aan controle over localhost-communicatie op de meeste moderne platforms. Tot onze openbaarmaking waren Androidgebruikers volledig weerloos tegen de Yandex- en Meta-pixels. Het is mogelijk dat de meeste browserontwikkelaars en platformoperators dergelijk misbruik niet eens in hun dreigingsmodel hebben meegenomen", aldus onderzoeker Narseo Vallina-Rodríguez van de Radboud Universiteit. De onderzoekers stellen dat er geen bewijs is dat Meta of Yandex deze trackingmogelijkheden aan de websites hebben bekendgemaakt waarop hun trackers draaien of aan de eindgebruikers die deze websites bezoeken. "Niet alleen heeft Meta websitebeheerders niet over deze trackingmethode geïnformeerd, maar het negeerde ook klachten en vragen", stelt onderzoeker Gunes Acar. Verschillende browserontwikkelaars werken inmiddels aan een oplossing. Zo zou Google Chrome zeer binnenkort met een oplossing moeten komen. "Totdat Google en andere grote browsers met een antwoord komen, is de enige manier om dit misbruik te voorkomen het niet downloaden van apps zoals Facebook of Instagram, alsmede de eerder genoemde Yandex-apps", aldus de onderzoekers. Meta volgde het browsegedrag van Facebook- en Instagram-gebruikers zonder dat die hier toestemming voor hadden gegeven, zo stellen onderzoekers van de Radboud Universiteit en KU Leuven. Ook internetgigant Yandex zou zich hier schuldig aan maken. Op de dag van de publicatie van het onderzoek stopte de Meta-pixel met het versturen van data naar localhost, zo stellen de onderzoekers in een update. De onderzoekers ontdekten dat de Android-apps van Meta en Yandex, waaronder Facebook en Instagram, stilletjes op bepaalde poorten luisteren om zo te kunnen volgen welke websites deze gebruikers in hun browser bezoeken. De volgmethode combineert de werking van de Android-apps met de Meta- en Yandex-trackingpixels die op miljoenen websites actief zijn. "Deze methode omzeilt de privacybescherming van de permissiecontrole van Android en zelfs de Incognito Mode van browsers, en raakt alle grote Android-browsers", aldus de onderzoekers. Yandex zou de methode al sinds 2017 toepassen, Meta sinds september 2024. Het techbedrijf zou kort na de publicatie van het onderzoek ermee zijn gestopt. Android laat apps met de Internet-premissie een lokale webserver in de achtergrond starten. Browsers op hetzelfde toestel hebben hier ook toegang toe. "Dit laat JavaScript op webpagina's communiceren met native Android-apps en identifiers en browsegedrag delen, en zo via standaard web API's kortstondige web identifiers aan langdurige mobiele app-identifiers koppelen", aldus de onderzoekers. De Meta-pixel die op miljoenen websites actief is gebruikte deze lokale webserver om browser-identifiers met de Facebook- en Instagram-app op de telefoon te delen. Daarbij werd de data gekoppeld aan het ingelogde account van de gebruiker en vervolgens via de app naar de servers van Meta gestuurd. "Het fundamentele probleem waardoor deze aanval mogelijk is, is het gebrek aan controle over localhost-communicatie op de meeste moderne platforms. Tot onze openbaarmaking waren Androidgebruikers volledig weerloos tegen de Yandex- en Meta-pixels. Het is mogelijk dat de meeste browserontwikkelaars en platformoperators dergelijk misbruik niet eens in hun dreigingsmodel hebben meegenomen", aldus onderzoeker Narseo Vallina-Rodríguez van de Radboud Universiteit. De onderzoekers stellen dat er geen bewijs is dat Meta of Yandex deze trackingmogelijkheden aan de websites hebben bekendgemaakt waarop hun trackers draaien of aan de eindgebruikers die deze websites bezoeken. "Niet alleen heeft Meta websitebeheerders niet over deze trackingmethode geïnformeerd, maar het negeerde ook klachten en vragen", stelt onderzoeker Gunes Acar. Verschillende browserontwikkelaars werken inmiddels aan een oplossing. Zo zou Google Chrome zeer binnenkort met een oplossing moeten komen. "Totdat Google en andere grote browsers met een antwoord komen, is de enige manier om dit misbruik te voorkomen het niet downloaden van apps zoals Facebook of Instagram, alsmede de eerder genoemde Yandex-apps", aldus de onderzoekers. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in Craft CMS, een contentmanagementsysteem voor het opzetten van websites, vergelijkbaar met WordPress. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het gaat om de beveiligingslekken aangeduid als CVE-2024-56145 en CVE-2025-35939. De eerste kwetsbaarheid is als kritiek aangemerkt en maakt remote code execution mogelijk. Het tweede beveiligingslek heeft een lagere impact. "Craft CMS slaat willekeurige content van ongeauthenticeerde gebruikers op in sessiebestanden. Deze content is mogelijk via een andere kwetsbaarheid te benaderen en uit te voeren", aldus de omschrijving. Voor CVE-2024-56145 verscheen afgelopen december een oplossing, CVE-2025-35939 werd vorige maand gepatcht. Details over de waargenomen aanvallen zijn niet door het CISA gegeven. CERT Orange Cyberdefense waarschuwde in april nog voor grootschalige aanvallen op Craft CMS. Daarbij werd echter misbruik van twee andere kwetsbaarheden gemaakt, namelijk CVE-2024-58136 en CVE-2025-32432. Meer dan 150.000 websites zouden van Craft CMS gebruikmaken. bron: https://www.security.nl

Microsoft en CrowdStrike gaan namen van aanvallers koppelen, waarvoor een 'Steen van Rosetta' wordt gebruikt. Op dit moment hanteren securitybedrijven vaak eigen namen voor groepen. Zo hanteert Microsoft voor een groep aanvallers de naam Midnight Blizzard, terwijl andere leveranciers voor dezelfde groep namen als Cozy Bear, APT29 of UNC2452 hanteren. CrowdStrike en Microsoft gaan nu samenwerken om de namen van verschillende groepen te koppelen. "We gaan een soort van 'Steen van Rosetta' maken", zegt Adam Meyers van CrowdStrike. Hij merkt op dat dit concept in het verleden vaker is geprobeerd, waarbij onderzoekers op basis van opensource-informatie namen aan elkaar koppelden. Volgens Meyers ging het dan vooral om "analytische beoordelingen" en is deze samenwerking anders. Door de namen te koppelen zou het eenvoudiger voor klanten moeten worden om te weten met welke groep ze te maken hebben. Zo zouden inmiddels de namen van tachtig groepen met elkaar zijn vergeleken en gekoppeld. Microsoft laat weten dat Google/Mandiant en Palo Alto Networks Unit 42 zich ook bij het initiatief zullen aansluiten. bron: https://www.security.nl

Google heeft een actief aangevallen beveiligingslek in Chrome gedicht. De kwetsbaarheid bevond zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. V8 is geregeld het doelwit van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar op het moment van de aanval geen patch voor beschikbaar is. De impact van de kwetsbaarheid, aangeduid als CVE-2025-5419, is door Google beoordeeld als high. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De kwetsbaarheid werd op 27 mei door twee onderzoekers van de Google Threat Analysis Group aan het Chrome-team gerapporteerd. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google stelt dat het probleem is verholpen door middel van een configuratieaanpassing die op 28 mei onder gebruikers is uitgerold. Verdere informatie over de kwetsbaarheid, het waargenomen misbruik en de doorgevoerde aanpassing is niet gegeven. bron: https://www.security.nl

Acht Europese consumentenorganisaties hebben Meta opgeroepen om het eigen AI-model niet met data van Europese gebruikers te trainen. Vanaf aanstaande dinsdag 27 mei gaat Meta gegevens van Facebook- en Instagram-gebruikers in de EU hiervoor gebruiken, tenzij gebruikers proactief bezwaar hebben gemaakt. "Zodra de AI-training is begonnen, kunnen de gegevens niet meer uit de AI-modellen worden verwijderd. Dit gaat over meer dan alleen privacy. Het gaat ook over vertrouwen in technologiebedrijven en ons recht op controle over onze eigen data. Wie had zich kunnen voorstellen dat persoonlijke updates, foto's uit je jeugd of van je kinderen als trainingsmateriaal voor AI zouden worden gebruikt? Niemand hoort stiekem informatie uit jouw digitale dagboek te gebruiken", zegt Sandra Molenaar, directeur Consumentenbond. Volgens Molenaar is de opt-out die Meta hanteert waarbij gebruikers niet om toestemming wordt gevraagd maar zelf bezwaar moeten maken de omgekeerde wereld. "Meta moet zich gewoon aan de wet houden. Dat betekent dat het bedrijf onder andere consumenten expliciet om toestemming moet vragen voordat het hun gegevens gebruikt. En het intrekken van die toestemming moet ook altijd weer kunnen." "We verwachten dat Meta privacywetgeving respecteert en fundamentele consumentenrechten niet ondermijnt", zegt Finn Myrstad van de Noorse consumentenbond Forbrukerradet. Hij roept Noorse Facebook- en Instagram-gebruikers op om actief bezwaar te maken. bron: https://www.security.nl

Mozilla gaat stoppen met de diensten Pocket en Fakespot en wil meer focus op Firefox gaan leggen, zo heeft de browserontwikkelaar aangekondigd. Pocket is een app en browserextensie voor het verzamelen van webcontent, zoals artikelen en video's, om die later te kunnen lezen of bekijken. Volgens Mozilla is de manier waarop mensen content op het web bewaren en consumeren veranderd en past Pocket daar niet meer bij. Gebruikers met een betaald account krijgen hun geld terug. De dienst stopt op 8 juli en gebruikers hebben tot 8 oktober de tijd om hun opgeslagen content te exporteren. Daarna worden alle gegevens verwijderd. Vanaf 22 mei zal het daarnaast niet meer mogelijk zijn om de Pocket-app te installeren. Ook zal het vanaf die datum niet meer mogelijk zijn om een nieuw Pocket-account aan te maken. Fakespot is een app en browserextensie om "onbetrouwbare productrecensies" te herkennen. Mozilla nam Fakespot in 2023 over en had allerlei plannen voor de applicatie. Nu is besloten om op 1 juli de stekker eruit te trekken. Een exacte reden wordt niet gegeven. "Nu de behoeftes van gebruikers zich evolueren naast het web zelf, is het belangrijk dat we onze inspanning op Firefox focussen en nieuwe oplossingen maken die je echte keuze, controle en gemoedsrust geven", aldus Mozilla. De Firefox-ontwikkelaar zegt door te stoppen met Fakespot en Pocket zich op het 'volgende tijdperk van het internet' te kunnen richten en nieuwe Firefox-features te zullen ontwikkelen die mensen echt nodig hebben. bron: https://www.security.nl

Het bedrijf Luka, ontwikkelaar van AI-chatbot Replika, heeft wegens het overtreden van de AVG een boete van 5 miljoen euro gekregen. Dat is twee procent van de wereldwijde omzet. Replika is een op generatieve AI-gebaseerde chatbot die emotionele ondersteuning en vriendschap moet bieden, aldus de ontwikkelaar. Mozilla deed eerder onderzoek naar de app en stelde dat die tekort schiet op het gebied van security en privacy. Replika kwam negatief in het nieuws omdat het schadelijk voor minderjarigen zou zijn. Daarop besloot de Italiaanse privacytoezichthouder GPDP een onderzoek in te stellen. Begin 2023 mocht Replika uit voorzorg van de GPDP geen gegevens meer van gebruikers in Italië verwerken. Een aantal maanden later werd het verbod opgeheven, op voorwaarde dat Replika maatregelen zou treffen om de gegevensverwerking aan de AVG te laten voldoen. Zo moest er effectieve leeftijdsverificatie worden toegepast om te voorkomen dat minderjarigen de chatbot zouden gebruiken. De GPDP heeft nu het onderzoek afgerond en stelt dat Replika verschillende bepalingen van de AVG heeft overtreden. Zo werd er geen geldige grondslag voor het verwerken van persoonlijke gegevens gemeld, werd niet duidelijk gemaakt dat met de gegevens van gebruikers AI-modellen werden getraind, was het privacybeleid alleen beschikbaar in het Engels, werd niet duidelijk gemaakt dat de chatbot alleen voor volwassenen was bedoeld en zorgde het ontbreken van een goede leeftijdscontrole ervoor dat ook data van minderjarige werd verwerkt. bron: https://www.security.nl

Een Zwitsers wetsvoorstel verplicht mail- en vpn-providers om ip-adressen van gebruikers te loggen, data zes maanden te bewaren en registratie door middel van een identiteitsbewijs. Verder moet opgevraagde data plaintext aan de autoriteiten worden aangeleverd. Dat laat mailprovider Tuta over het wetsvoorstel weten. Onlangs maakte de Zwitserse vpn- en mailprovider Proton bekend dat het Zwitserland zal verlaten als het voorstel wordt aangenomen. Tuta merkt op dat het voorstel niet door of via het Zwitserse Parlement is geïntroduceerd, maar door het ministerie van Justitie en Politie en de Zwitserse ministerraad, om zo online surveillance op grote schaal uit te breiden, zonder dat het parlement hier iets over kan zeggen. Het voorstel verplicht providers om de encryptie die ze aan gebruikers bieden ongedaan te maken, hoewel dit niet geldt voor end-to-end versleutelde berichten. Mocht het voorstel in de huidige vorm worden aangenomen dan moeten mail- en vpn-providers met meer dan vijfduizend gebruikers ip-adressen loggen en data van gebruikers bewaren, voor een periode van zes maanden. Registratie met een identificatiebewijs, en mogelijk ook telefoonnummer, wordt verplicht. Dat maakt volgens Tuta anoniem gebruik onmogelijk. Verder moet opgevraagde data in plaintext worden aangeleverd. Daarnaast geldt de wetgeving alleen voor partijen die vanuit Zwitserland opereren. Bedrijven als Meta of Google zouden dan ook zijn uitgezonderd. bron: https://www.security.nl

Onderzoekers hebben in de Chrome Web Store meer dan honderd malafide extensies ontdekt die zich voordoen als legitieme extensie voor bijvoorbeeld vpn-applicaties, AI-agents of cryptowallets, maar in werkelijkheid allerlei data stelen. Volgens DomainTools is er sprake van een campagne die al sinds februari 2024 gaande is. Om mensen naar de malafide extensies te lokken hebben de aanvallers meer dan honderd fake websites gemaakt, aldus de onderzoekers. Voor elke malafide extensie is een aparte fake website online gezet. Deze website bevat allerlei informatie over de extensie, alsmede een link naar de Chrome Web Store waar die te downloaden is. Deze extensies beschikken over een dubbele functionaliteit. Zo bieden ze de beloofde functionaliteit, maar vragen ook allerlei permissies waardoor er data kan worden gestolen. De onderzoekers stellen dat de extensies willekeurige code op elke bezochte website kunnen uitvoeren, waardoor het mogelijk is om inloggegevens en sessies te stelen. Daarnaast kunnen de extensies ook advertenties op websites injecteren, gebruikers naar malafide websites doorsturen, het browserverkeer manipuleren en phishingaanvallen uitvoeren. Sommige van de onderzochte extensies bleken alle browsercookies te stelen. Google heeft meerdere van de malafide extensies uit de Chrome Web Store verwijderd, maar de aanvaller blijft steeds nieuwe extensies uploaden, zo stellen de onderzoekers. DomainTools adviseert Chrome-gebruikers om voorzichtig te zijn bij het installeren van extensies, alleen voor geverifieerde ontwikkelaars te kiezen, goed op gevraagde permissies te letten, alert te zijn op lookalike extensies en niet meer gebruikte of verdachte extensies te verwijderen. "Waakzaamheid is de sleutel om dit soort dreigingen te vermijden." bron: https://www.security.nl

Chatapplicatie Signal heeft een maatregel genomen om Microsoft Recall standaard op Windows 11 te blokkeren. De nieuwe "Screen security" instelling voorkomt dat het systeem screenshots kan maken van gesprekken die via Signal Desktop worden gevoerd. "Als je je afvraagt waarom we dit nu alleen op Windows implementeren, is het omdat deze instelling je Signal-berichten tegen Microsoft Recall moet beschermen", zegt Signal-ontwikkelaar Joshua Lund in een blogposting. Recall is een nieuwe en omstreden 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Oorspronkelijk zou Recall standaard zijn ingeschakeld, maar vanwege de felle kritiek besloot Microsoft voor een opt-in te kiezen en aanvullende beveiligings- en privacymaatregelen toe te voegen. Zo is er een filter waarmee websites en apps van Recall kunnen worden uitgezonderd. Onlangs liet beveiligingsexpert Kevin Beaumont weten dat dit filter niet betrouwbaar werkt. Recall blijkt bijvoorbeeld alles op te slaan wat gebruikers in Signal doen, zoals verstuurde berichten. "Verdwijnende Signal- en WhatsApp-berichten worden nog steeds opgeslagen, net als verwijderde Teams-berichten." Ondanks de door Microsoft genomen maatregelen lopen Signal-gesprekken van gebruikers door Recall nog steeds risico. "Als gevolg schakelen we standaard een extra beveiligingslaag in op Windows 11 om de security van Signal Desktop op dat platform te behouden, ook al heeft dit impact op de bruikbaarheid. Microsoft heeft ons gewoon geen andere optie gegeven", gaat Lund verder. Het gaat dan bijvoorbeeld om het gebruik van screen readers en andere toegankelijkheidssoftware. Afsluitend stelt Lund dat Signal hoopt dat AI-teams die software zoals Recall ontwikkelen beter nadenken over de gevolgen. Apps zoals Signal zouden geen "vreemd trucs" moeten uithalen om de privacy en integriteit van hun dienst te beschermen. "Mensen die om privacy geven zouden daarnaast ook niet gedwongen moeten worden om toegankelijkheid op te offeren op het altaar van AI-aspiraties." Gebruikers kunnen de Screen Security-optie indien gewenst zelf uitschakelen. "Omdat Signal open source is, hebben app-ontwikkelaars nu een template om hun gebruikers tegen Windows te beschermen", reageert Beaumont op de nieuwe feature. bron: https://www.security.nl

Microsoft heeft de afgelopen maand op 394.000 Windowscomputers de Lumma-malware ontdekt, die speciaal is ontwikkeld voor het stelen van wachtwoorden. Het techbedrijf heeft met een gerechtelijk bevel 2300 domeinnamen waar de malware gebruik van maakt laten blokkeren of in beslag genomen. Bij de operatie tegen de malware waren ook Europol en bedrijven betrokken, waaronder CleanDNS, Cloudflare, ESET en Lumen. Lumma, ook bekend als Lumma Stealer, is zogenoemde infostealer-malware en wordt tegen betaling aangeboden. Volgens Microsoft maken honderden aanvallers er gebruik van. Die kunnen uit verschillende abonnementen kiezen, variërend van bedragen tussen de 250 en 1000 dollar. De broncode wordt voor een bedrag van 20.000 dollar aangeboden. Voor de verspreiding van de Lumma-malware worden allerlei methodes toegeppast, zoals malafide advertenties, het aanbieden van zogenaamde browser-updates op gecompromitteerde websites, phishing, getrojaniseerde applicaties, installatie door andere malware en slachtoffers malafide captcha's laten oplossen. Eenmaal actief kan de Lumma-malware allerlei data stelen, waaronder wachtwoorden en andere inloggegevens van verschillende applicaties, autofill-data uit de browser, creditcardgegevens, cryptowallets en allerlei documenten. Tevens kan de malware screenshots maken, andere malware installeren en zichzelf weer van het systeem verwijderen, zo laten het Amerikaanse cyberagentschap CISA en de FBI in een analyse weten. De malware communiceert hiervoor met een command & control-server die weer aan een domeinnaam is gekoppeld. Microsoft stapte onlangs naar een Amerikaanse rechter en kreeg toestemming om 2300 domeinnamen waarvan de Lumma-malware gebruikmaakt te laten blokkeren of in beslag te nemen. Volgens Europol zijn 1300 domeinnamen zo in handen van Microsoft gekomen. Die domein wijzen nu naar een sinkhole van Microsoft. Daardoor maken besmette machines verbinding met servers van Microsoft. Het techbedrijf kan daardoor zien waar besmette systemen zich bevinden en bijvoorbeeld de internetproviders van deze gebruikers waarschuwen. Aanbevelingen De FBI en het CISA doen verschillende aanbevelingen om infectie door dergelijke malware te voorkomen. De Amerikaanse overheidsdiensten adviseren onder andere het scheiden van gebruikers- en geprivilegieerde accounts, het monitoren op verdacht gedrag, het allowlisten van remote access software, het verzamelen en analyseren van logs, het intrekken van inloggegevens van vertrekkend personeel en toepassen van netwerksegmentatie. bron: https://www.security.nl

De Belgische politie waarschuwt vandaag voor openbare wifi-netwerken en adviseert die niet te gebruiken voor het doen van vertrouwelijke zaken. Er is namelijk een risico dat het om een 'evil twin' gaat, waarbij een aanvaller een malafide wifi-netwerk opzet met dezelfde naam als een onschuldig wifi-netwerk. "Deze vorm van phishing bestaat al eventjes maar steekt de laatste tijd steeds meer de kop op. Een cybercrimineel zet een fake netwerk op en neemt zo een open wifi-netwerk over. De cyberdief bevindt zich dan wel dicht in de buurt van het originele netwerk want vanop afstand lukt het niet", aldus de federale politie. "We raden aan om niet via dergelijke open netwerken te surfen naar websites waar je vertrouwelijke informatie zoals login en paswoorden moet delen. Als je via een dergelijk Evil Twin-netwerk surft, kan de hacker die gegevens vrij gemakkelijk kopiëren. Doe dus zeker geen bankverrichtingen of deel geen persoonlijke gegevens terwijl je op een open netwerk ingelogd bent”, zegt commissaris Christophe Van Bortel van de Federale Gerechtelijke Politie Antwerpen. De commissaris voegt toe dat het heel eenvoudig is om voor dit soort wifi-netwerken te vallen, omdat ze beide dezelfde naam hebben. "Als je toch beide zou zien in de beschikbare netwerken, dan zal de Evil Twin hoger in de lijst staan omdat deze een sterker signaal uitstuurt net omdat deze zich dichter in de buurt bevindt dan de originele verbinding." Verder adviseert Van Bortel om het automatisch verbinden met openbare wifi-netwerken uit te schakelen en eerder gebruikte openbare wifi-netwerken uit de lijst van gebruikte wifi-netwerken te verwijderen. bron: https://www.security.nl

De website van RVTools is offline na berichtgeving over een mogelijke supplychain-aanval. RVTools is een tool voor het beheren van VMware-omgevingen. ZeroDay Labs meldde vorige week dat aanvallers erin waren geslaagd om via de officiële website van RVTools een getrojaniseerde versie te verspreiden. Gisteren liet securitybedrijf Arctic Wolf weten dat een besmette versie via een typosquat domein wordt verspreid. De officiële website eindigt op .com, terwijl aanvallers een domein eindigend op .org hebben geregistreerd. De officiële website laat op het moment van schrijven een melding zien dat de site offline is en RVTools alleen via deze website moet worden gedownload. "Zoek niet naar of download vermeende RVTools software van andere websites of bronnen", aldus de melding. Het is op dit moment onduidelijk wat er precies aan de hand is. MalwareHunterTeam laat via X weten dat het gewoon lijkt te gaan op nepsites die via Google worden verspreid en de besmette versie aanbieden. Onlangs kwamen ook andere securitybedrijven met berichtgeving dat malafide advertenties werden gebruikt om een besmette RVTools-versie te verspreiden. bron: https://www.security.nl

Onderzoekers van het Amerikaanse National Institute of Standards and Technology (NIST) en het Amerikaanse cyberagentschap CISA hebben een methode gepresenteerd die de kans berekent dat een kwetsbaarheid is misbruikt. Dit moet organisaties helpen bij het prioriteren van beveiligingsupdates. Volgens de onderzoekers wordt slechts een klein deel van de tienduizenden kwetsbaarheden die jaarlijks worden gevonden misbruikt bij aanvallen. Het voorspellen bij welke kwetsbaarheden dit het geval is kan het patchproces van organisaties kosteneffectiever en efficiënter maken. De onderzoekers wijzen naar onderzoek waaruit blijkt dat vijf procent van de beveiligingslekken daadwerkelijk wordt misbruikt. Bedrijven zouden maandelijks zestien procent van de kwetsbaarheden in hun systemen patchen. De onderzoekers stellen dat dit percentage zo laag is omdat het kostbaar is voor bedrijven om beveiligingslekken te verhelpen. Het gaat dan onder andere om het testen en uitrollen van mitigaties. Het Exploit Prediction Scoring System (EPSS) is een eerder ontwikkelde methode die de kans berekent dat een kwetsbaarheid binnen dertig dagen na bekendmaking wordt misbruikt. Van deze methode is echter bekend dat die onnauwkeurigheden bevat. Daarnaast zijn er overzichten van bekend misbruikte kwetsbaarheden waarvan is vastgesteld dat ze bij aanvallen zijn toegepast. Deze overzichten zijn echter niet alomvattend. De onderzoekers van het NIST en CISA hebben nu de 'Likely Exploited Vulnerabilities' methode bedacht. Die dient als aanvulling op het EPSS en zogenoemde Known Exploited Vulnerability (KEV) lijsten. De Likely Exploited Vulnerabilities is gebaseerd op historische EPSS-scores. Dit resulteert vervolgens in een kans dat een beveiligingslek is misbruikt. De uitkomst kan bedrijven helpen met het bepalen van de belangrijkste beveiligingslekken en het verminderen van cybersecurityrisico's, aldus de onderzoekers. Die voegen toe dat samenwerking met de industrie nog is om vast te stellen hoe nauwkeurig het nieuwe model in de praktijk is. bron: https://www.security.nl

De Europese Unie is bezig met wetgeving die AVG-procedures onwerkbaar maakt, zo waarschuwt privacyorganisatie noyb. Dat dreigt naar het Europees Hof van Justitie te stappen als de voorgestelde wetgeving wordt aangenomen. De wetgeving zou handhaving van de AVG moeten harmoniseren en versnellen. Volgens noyb zorgt het voorstel ervoor dat gebruikers structureel tegenover bedrijven worden gediscrimineerd en zal het tot veel langere doorlooptijden van AVG-procedures eiden. Het Europees Parlement had om een doorlooptijd van drie maanden gevraagd, maar nu lijkt een beslissing twee tot drie jaar te kunnen duren. Noyb stelt dat het voorstel het eenvoudiger maakt voor bedrijven om hun belangen te verdedigen, dan gebruikers hun recht op databescherming. "De gehele regelgeving is tegen gebruikers gericht. In bijna elk artikel worden bedrijven bevoordeeld en gebruikers gediscrimineerd. Er is absoluut geen gelijk speelveld in deze procedure", zegt privacyactivist en noyb-oprichter Max Schrems. Het voorstel van de Europese Commissie werd door allerlei partijen bekritiseerd. Het Europees Parlement kwam vervolgens met een aangepast voorstel om de grootste problemen weg te nemen. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Noyb stelt dat het Europees Parlement bijna alle posities heeft opgegeven. Alle bepalingen met betrekking tot de rechten van gebruikers, korte deadlines of transparantieprocedures zijn verwijderd. Elke mogelijkheid om de nieuwe regels te handhaven tegen privacytoezichthouders die hier niet aan voldoen zijn verdwenen. "Het Europees Parlement heeft zijn kernposities verkwanseld", aldus Schrems. De privacyactivist stelt dat tijdens de onderhandelingen niemand iets om dit dossier leek te geven en de uitkomsten dat bevestigen. Mocht het voorstel worden aangenomen dreigt noyb naar het Europees Hof van Justitie te stappen om de wet ongeldig te laten verklaren. bron: https://www.security.nl

Vandaag is er een nieuwe versie van datalekzoekmachine Have I Been Pwned (HIBP) gelanceerd. Via de website kunnen mensen zoeken of hun e-mailadres in een bekend datalek voorkomt. De zoekmachine bevat e-mailadressen van bijna vijftien miljard gecompromitteerde accounts, afkomstig van bijna negenhonderd gecompromitteerde websites, verzamellijsten, infostealer-malware en door autoriteiten verstrekte informatie. Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. De vandaag gelanceerde versie 2.0 is onder andere voorzien van een nieuwe vormgeving. Met deze nieuwe versie is het niet meer mogelijk om op telefoonnummers en gebruikersnamen te zoeken. Deze optie was toegevoegd naar aanleiding van incidenten bij Snapchat en Facebook. Een andere grote aanpassing is dat er nu per datalek een aparte pagina is met informatie over gelekte gegevens. Verder wordt gebruikers nu ook duidelijker uitgelegd wat ze na een datalek moeten doen. bron: https://www.security.nl

10 jaar!!!! Super. Volhouden. Het lukt mij nu al 22 jaar

Zo'n zevenhonderd ScreenConnect-servers die vanaf internet toegankelijk zijn, waaronder zeventien in Nederland, missen een belangrijke beveiligingsupdate en lopen daardoor het risico te worden aangevallen. ConnectWise, het bedrijf achter ScreenConnect, had klanten opgeroepen om de patch die op 24 april uitkwam zo snel mogelijk te installeren. Daarbij werd 'binnen een aantal dagen' als voorbeeld gegeven. Kwetsbaarheden in ScreenConnect zijn in het verleden bij grootschalige aanvallen gebruikt, onder andere voor de verspreiding van ransomware. ScreenConnect is software om systemen op afstand mee te beheren en monitoren. Managed serviceproviders (MSP's) maken er gebruik van om de systemen van hun klanten te beheren. Door een ScreenConnect-server te compromitteren wordt het zo mogelijk om bij allerlei organisaties ransomware uit te rollen. Een 'ViewState code injection-aanval' maakt het mogelijk voor een aanvaller om code op de server uit te voeren. Voorwaarde is wel dat een aanvaller toegang tot de machine keys moet zien te krijgen, wat systeemtoegang met de benodigde rechten vereist. De impact van de kwetsbaarheid (CVE-2025-3935) is op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Het gaat dan ook niet om een kritiek beveiligingslek. ConnectWise heeft de update toch de hoogste prioriteit gegeven, wat wordt gedaan voor kwetsbaarheden waarvan misbruik plaatsvindt of het risico lopen om te worden misbruikt, en roept klanten op de patch zo snel mogelijk te installeren. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld onderzoek doet naar kwetsbare online systemen, detecteerde zo'n zevenhonderd ScreenConnect-servers die de update missen. Daarvan staan er zeventien in Nederland. bron: https://www.security.nl

Een kritieke kwetsbaarheid in SAP NetWeaver waar eind april een noodpatch voor verscheen is sinds januari al gebruikt bij aanvallen. Daarnaast maakt het beveiligingslek niet alleen het uploaden van willekeurige bestanden mogelijk, maar 'full remote command execution', zo laat securitybedrijf Onapsis weten. Dat stelt dat het honderden gecompromitteerde SAP-installaties heeft geïdentificeerd. SAP Netweaver is een platform voor het draaien van SAP-applicaties die in veel zakelijke omgevingen worden gebruikt. Onlangs werden Nederlandse organisaties nog door het Digital Trust Center (DTC) van het ministerie van Economische Zaken gewaarschuwd voor misbruik van de kwetsbaarheid. De impact van het beveiligingslek, aangeduid als CVE-2025-31324, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Onapsis heeft nu meer details over de aanvallen gegeven. Volgens het bedrijf hebben de aanvallers de kwetsbaarheid van 20 januari tot en met 10 februari gebruikt voor verkenningsdoeleinden en het testen van verschillende 'payloads'. Na 10 februari was er een toename van exploitpogingen zichtbaar. Bij gecompromitteerde SAP-servers werden webshells aangetroffen. Via een webshell kan een aanvaller toegang tot de server behouden en verdere aanvallen uitvoeren. In eerste instantie werd gedacht dat de kwetsbaarheid alleen het uploaden van bestanden mogelijk maakte en dat aanvallers zo de webshells hadden geüpload. Onapsis zegt op basis van echt gebruikte exploits dat het beveiligingslek 'full remote command execution' (RCE) mogelijk maakt. De aanvallers hebben deze mogelijkheid gebruikt voor het plaatsen van de webshells. Volgens Onapsis hebben de aanvallers uitgebreide kennis van SAP. Het bedrijf laat tegenover SecurityWeek weten dat het honderden gecompromitteerde SAP-servers heeft geïdentificeerd, in een groot aantal sectoren. Onapsis en securitybedrijf Mandiant hebben een opensourcetool uitgebracht waarmee organisaties hun SAP-servers op mogelijk misbruik van CVE-2025-31324 kunnen controleren. bron: https://www.security.nl

Ontwikkelaars van Firefox-extensies kunnen een nieuwe 'toestemmingservaring' testen om zo data van gebruikers te kunnen verzamelen. Op dit moment moeten extensies die gebruikersgegevens verzamelen of versturen een 'datatoestemmingsvenster' laten zien. Dit toestemmingsvenster moet duidelijk laten weten welke data er wordt verzameld en de gebruiker informeren over de gevolgen van het accepteren of weigeren hiervan. Vorige maand stelde Mozilla dat deze vereiste voor de nodige overhead voor ontwikkelaars kan zorgen en ook zorgt voor een "verwarrende ervaring" voor eindgebruikers, die vaak voor elke extensie een ander datatoestemmingsvenster te zien krijgen. Deze verschillende toestemmingsvensters zorgen er ook voor dat het verwerken van nieuwe extensies meer tijd kost voor de reviewers, aangezien die moeten controleren of de betreffende code compliant is aan het Firefoxbeleid. Als oplossing kondigde Mozilla een nieuwe "datatoestemmingservaring" voor extensies aan. Dit moet het eenvoudiger voor ontwikkelaars maken om hun extensies aan het Firefoxbeleid te laten voldoen. Verder krijgen gebruikers met een consistentere ervaring te maken over welke data wordt verzameld of verstuurd. Daarnaast wordt het makkelijker voor reviewers om Firefox-extensies te controleren. De nieuwe 'Data Consent Experience' is nu door extensie-ontwikkelaars te testen in Firefox Nightly 139, een vroege testversie van de browser. Mozilla benadrukt dat het beleid voor het verzamelen van data niet wordt aangepast of de manier waarop extensies data kunnen verzamelen. Het moet het alleen eenvoudiger voor ontwikkelaars maken om toestemming te vragen en verwarring bij gebruikers verminderen. Extensie-ontwikkelaars kunnen in het manifest.json-bestand van hun extensie opgeven welke gegevens ze willen verzamelen of versturen. Deze informatie wordt dan aan de browser doorgegeven en getoond aan de gebruiker als die de extensie voor de eerste keer installeert. Een gebruiker kan vervolgens het verzamelen van data toestaan of weigeren. Ontwikkelaars kunnen ook aangeven dat hun extensie geen data verzamelt. Om de informatie voor zowel ontwikkelaars als eindgebruikers te standaardiseren heeft Mozilla categorieën in twee datatypes bedacht, namelijk persoonlijke data en technische en interactiedata. Zaken als locatiegegevens, zoekopdrachten, authenticatiegegevens en gezondheidsinformatie vallen onder de persoonlijke data. Technische data is bijvoorbeeld crashrapportages, extensiegebruik en instellingendata. Mozilla roept extensie-ontwikkelaars nu op om de nieuwe '"datatoestemmingservaring" te testen. Wanneer die in de definitieve versie van Firefox komt is nog onbekend. bron: https://www.security.nl

Forensisch experts moeten er rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten, ook in het consumentensegment, voortaan volledig versleuteld zijn. Dat komt omdat de schijfversleuteling door BitLocker in Windows 11 versie 24H2 standaard staat ingeschakeld, zo waarschuwt forensisch softwarebedrijf Elcomsoft. Dat levert onder andere forensische tools voor opsporingsdiensten. "De Windows 11 24H2-update introduceert een verandering in Microsofts benadering van schijfversleuteling, een verandering die grote gevolgen voor digitaal forensisch onderzoek zal hebben", aldus Oleg Afonin van Elcomsoft. "Met deze release wordt BitLocker-encryptie automatisch ingeschakeld op de meeste moderne hardware wanneer Windows met een Microsoft Account wordt geïnstalleerd." De versleuteling vindt plaats in de achtergrond en wordt ook toegepast bij de Home-edities en consumentenapparatuur, waar volledige schijfversleuteling meestal niet standaard plaatsvond, gaat de forensisch expert verder. Hij merkt op dat de schijfversleuteling alleen plaatsvindt bij nieuwe installaties van Windows 11 24H2, niet bij een update naar deze versie. Microsoft heeft ook een workaround verwijderd waardoor gebruikers eenvoudig het gebruik van een Microsoft Account tijdens de installatie konden omzeilen, wat ook het omzeilen van de standaard schijfversleuteling lastiger maakt, stelt Afonin. De recovery keys om toegang tot een versleuteld systeem te krijgen worden voor persoonlijke apparatuur automatisch naar het Microsoft Account van de gebruiker geüpload. Opsporingsdiensten kunnen via juridische kanalen deze recovery keys opvragen, maar dit introduceert wel vertragingen en procedurele complicaties, gaat Afonin verder. De forensisch expert waarschuwt dat de aanpassing van Microsoft langetermijngevolgen voor forensisch onderzoek zal hebben. Zo zullen in beslag genomen harde schijven onbruikbaar zijn, tenzij de recovery keys worden bemachtigd. Volgens Afonin moeten forensisch experts er dan ook rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten voortaan versleuteld zullen zijn, ook in het consumentensegment. bron: https://www.security.nl

Google Chrome gaat websites die gebruikers bezoeken inspecteren op helpdeskfraude en in het geval de browser denkt dat dit zo is een waarschuwing laten zien. Dat heeft Google aangekondigd. Chrome maakt al gebruik van Google Safe Browsing, dat voor bekende malafide websites waarschuwt. Volgens Google bestaat de gemiddelde malafide website minder dan tien minuten, waardoor deze websites nog niet altijd bekend zijn. Om deze websites ook te kunnen identificeren gaat Chrome gebruikmaken van het on-device Gemini Nano large language model (LLM). Dit model zal de inhoud van mogelijk gevaarlijke websites inspecteren. Daarbij richt Google zich specifiek op helpdeskfraude. Bij dergelijke fraude krijgen slachtoffers pop-ups en meldingen van websites te zien dat er een probleem is met hun computer en ze een opgegeven telefoonnummer moeten bellen of bepaalde software installeren. Vervolgens nemen oplichters de computer over en stelen geld van bankrekeningen of laten slachtoffers voor het oplossen van de zogenaamde problemen betalen. Wanneer de browser op bezochte websites kenmerken van helpdeskfraude herkent zal het Gemini Nano-model de inhoud van de pagina verder inspecteren. Google claimt dat hierbij de privacy van gebruikers wordt beschermd. "De on-device aanpak laat ons dreigingen zien zoals gebruikers ze zien", aldus het techbedrijf. De feature staat niet standaard ingeschakeld. Gebruikers moeten hiervoor de Enhanced Protection mode van Safe Browsing in Chrome inschakelen. Deze mode zorgt er wel voor dat er meer informatie naar Google wordt gestuurd. De scamdetectie is beschikbaar in Chrome 137 en komt later dit jaar beschikbaar voor de Androidversie van de browser. bron: https://www.security.nl

Een kwetsbaarheid in SonicWall SMA 100-gateways die voor een fabrieksreset kan zorgen is mogelijk misbruikt bij aanvallen, zo laat securitybedrijf Rapid7 weten. SonicWall heeft gisteren updates uitgebracht om het probleem te verhelpen. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Het biedt verschillende functies, zoals een vpn. SonicWall kwam gisteren met een beveiligingsbulletin, waarin het drie kwetsbaarheden meldt: CVE-2025-32819, CVE-2025-32820 en CVE-2025-3282. De eerstgenoemde kwetsbaarheid maakt het mogelijk voor een ingelogde vpn-gebruiker om willekeurige bestanden te verwijderen, wat tot een fabrieksreset leidt. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Deze score hangt mede samen met het feit dat een aanvaller over inloggegevens van een gebruiker moet beschikken. Toch lijkt dat geen belemmering voor aanvallers. Rapid7 stelt op basis van bekende Indicators of Compromise en eigen incidentrespons-onderzoeken dat beveiligingslek CVE-2025-32819 mogelijk actief is misbruikt. Verdere details worden echter niet gegeven. Het combineren van de drie kwetsbaarheden kan tot het uitvoeren van code met rootrechten leiden. Het was Rapid7 dat de drie kwetsbaarheden aan SonicWall rapporteerde. SonicWall roept systeembeheerders op om de beschikbaar gestelde update te installeren en op ongeautoriseerde inlogpogingen te controleren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kwetsbaarheid in Samsung MagicINFO 9 en een beveiligingsupdate is niet beschikbaar. Organisaties die van de oplossing gebruikmaken wordt aangeraden hun systeem offline te halen totdat een patch beschikbaar is. Samsung MagicINFO 9 is een contentmanagementsysteem voor het beheer van digitale reclameborden die bijvoorbeeld op gebouwen of in winkels zijn te zien. Vorig jaar augustus kwam Samsung met een update voor een kwetsbaarheid in de oplossing aangeduid als CVE-2024-7399. Begin januari rapporteerde securitybedrijf SSD Secure Disclosure een kwetsbaarheid aan Samsung. Volgens de elektronicagigant was dit hetzelfde probleem dat het eerder als CVE-2024-7399 had verholpen. Op 30 april maakte SSD Secure Disclosure de details van het beveiligingslek openbaar. Vervolgens liet securitybedrijf Arctic Wolf op 5 mei weten dat aanvallers actief misbruik van CVE-2024-7399 maakten. De nieuwste versie van Samsung MagicINFO 9 zou echter veilig moeten zijn. Dat is niet het geval, aldus securitybedrijf Huntress. Samsung MagicINFO 9-servers zijn onder andere het doelwit van een Mirai-gebaseerd botnet. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller JSP-bestanden naar de server uploaden en willekeurige code uitvoeren. Volgens Huntress wordt de kwetsbaarheid gebruikt voor het uploaden van webshells, waarmee aanvallers toegang tot de server behouden en verdere aanvallen kunnen uitvoeren, ook als het beveiligingslek wel wordt gepatcht. Het securitybedrijf adviseert organisaties die van de oplossing gebruikmaken om ervoor te zorgen dat hun MagicINFO 9-servers niet vanaf het internet toegankelijk zijn, totdat er een werkende update is geïnstalleerd. Wanneer Samsung een nieuwe patch uitbrengt is onbekend. bron: https://www.security.nl

Nog drie weken en dan stopt Gmail de ondersteuning van de Triple Data Encryption Standard (3DES) voor inkomende SMTP-verbindingen zo heeft Google aangekondigd. Na 30 mei zullen mailservers die 3DES voor SMTP-verbindingen maken geen e-mail meer bij Gmail-accounts kunnen afleveren. Volgens Google is de maatregel noodzakelijk om de veiligheid te verbeteren en gebruikers te beschermen tegen mogelijke kwetsbaarheden die met de verouderde encryptiestandaard samenhangen. Bij het opzetten van een beveiligde TLS-verbinding zijn er verschillende encryptiealgoritmes waaruit gekozen kan worden. De triple Data Encryption Standard is er daar één van. Eerder stelde het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, dat 3DES vanaf 2017 niet meer in nieuwe applicaties moet worden gebruikt en vanaf 2023 overal moet zijn verdwenen. Google adviseert systeembeheerders om te controleren dat hun mailservers geconfigureerd zijn om modernere encryptiealgoritmes te gebruiken. In het geval domeinen berichten naar Gmail-accounts versturen waarbij gebruik wordt gemaakt van 3DES, zegt Google beheerders een e-mail met aanvullende informatie te zullen sturen. bron: https://www.security.nl