Captain Kirk

Mozilla heeft uitgehaald naar Microsoft wegens het opdringen van chatbot Copilot aan gebruikers. Volgens de Firefox-ontwikkelaar is het niet de eerste keer dat Microsoft zich schuldig maakt aan 'misleidende ontwerppatronen'. Na kritiek van gebruikers heeft Microsoft besloten om Copilot op een een aantal plekken weer te verwijderen. Mozilla merkt op dat Copilot niet aan Windowsgebruikers werd aangeboden, maar ongevraagd op hun systemen werd geïnstalleerd. Volgens Mozilla is dit gedrag niet nieuw en blijkt uit onderzoek dat het liet uitvoeren dat Microsoft door middel van ontwerp en distributie de keuze van gebruikers naast zich neerlegt. Het gaat dan bijvoorbeeld om gecompliceerde processen voor het aanpassen van de standaardbrowser of een interface die ervoor zorgt dat gebruikers Microsoft Edge weer gaan gebruiken nadat ze zelf een andere browser hadden gekozen."Bij de uitrol van Copilot werd dezelfde handleiding gevolgd die we van Microsoft kennen: automatische installaties, fysieke hardware en standaardinstellingen om gedrag te forceren. In het meest recente geval lieten ze hun AI zo snel mogelijk leren en data verzamelen voordat mensen een keuze hadden", aldus Mozilla. De Firefox-ontwikkelaar voegt toe Microsoft met dergelijk gedrag, waarbij het alleen aanpassingen doorvoert als gebruikers voldoende klagen, invloed heeft op wat mensen van technologie verwachten. "Het vertelt mensen dat de enige echte optie is om te klagen, totdat het bedrijf hopelijk toegeeft. Het maakt het ook lastiger voor alternatieven om te concurreren als een bedrijf zijn bereik en controle gebruikt om mensen terug naar de eigen producten te leiden." bron: https://www.security.nl

Het toevoegen van een nieuwe beveiligingsmaatregel aan Chrome heeft ervoor gezorgd dat er minder cookies bij gebruikers van de browser worden gestolen, zo claimt Google. De maatregel heet Device Bound Session Credentials (DBSC) en zorgt ervoor dat websites de sessie van een ingelogde gebruiker kunnen koppelen aan het specifieke systeem van de gebruiker. Dit moet het volgens Google lastiger maken om gestolen session cookies op andere systemen te gebruiken. Google stelt dat veel internetgebruikers besmet raken met infostealer-malware die session cookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door session cookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal bedacht Google Device Bound Session Credentials. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt. DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module van de computer. Het uniek gegenereerde public/private key pair kan niet van de machine worden gestolen, aldus Google. Daarnaast wordt er gewerkt met cookies die zeer snel verlopen. De Chrome-versie op het systeem van de gebruiker kan met deze kortlevende cookies werken omdat de browser aan de server kan aantonen over de bijbehorende private key te beschikken. Omdat aanvallers deze key niet kunnen stelen en gestolen cookies snel verlopen zijn ze nutteloos voor aanvallers geworden, aldus Google. Het techbedrijf stelt ook dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen. Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Google rolde vorig jaar een vroege versie van het protocol uit. Bij sessies die met DBSC waren beveiligd zegt Google dat het een aanzienlijke daling heeft gezien van het aantal gestolen session cookies. Google heeft DSBC nu breed beschikbaar gemaakt in Chrome 146 voor Windows en zal de beveiligingsmaatregel ook aan een komende release voor macOS toevoegen. Daarnaast kijkt Google ook naar de mogelijkheden voor het gebruik van software-gebaseerde keys voor systemen die niet over aparte 'secure hardware' beschikken. bron: https://www.security.nl

LinkedIn is in de Verenigde Staten aangeklaagd over het scannen van browser-extensies van gebruikers. Aanleiding is een bericht van een vereniging genaamd Fairlinked. Die beweerde een aantal dagen geleden dat LinkedIn illegaal bij gebruikers op browser-extensies scant. Volgens de vereniging houdt Microsoft zich via deze praktijk bezig met de grootste zakelijke spionage-operatie in de recente geschiedenis. Fairlinked stelde ook dat gebruikers niet om toestemming wordt gevraagd, hier ook geen weet van hebben en dit niet in het privacybeleid van LinkedIn staat vermeld. "Omdat LinkedIn de echte naam weet van gebruikers, werkgever en functietitel, is het niet anonieme bezoekers aan het doorzoeken. Het doorzoekt medewerkers van bedrijven van wie het weet wie het zijn. Elke dag, wereldwijd." In een reactie op Hacker News stelde LinkedIn dat de aantijgingen niet kloppen en de persoon achter de stichting wegens scraping en andere overtredingen van de algemene voorwaarden met accountbeperkingen te maken heeft gekregen. LinkedIn liet ook weten dat het zoekt naar browser-extensies gebruikt voor het scrapen van informatie. De personen achter Fairlinked zouden ook betrokken zijn bij een Ests softwarebedrijf dat begin dit jaar LinkedIn aanklaagde, maar verloor. Volgens LinkedIn biedt het softwarebedrijf een extensie aan die gebruikersdata scrapet. In het privacybeleid schrijft LinkedIn dat het informatie over browser en 'add-ons' verzamelt. In de Nederlandse versie wordt gesproken over invoegtoepassingen. Twee rechtszaken die in de Verenigde Staten tegen LinkedIn zijn aangespannen zeggen dat dit niet duidelijk genoeg is. Door het scannen van browser-extensies niet expliciet te vermelden stellen de klagers dat de website hiervoor geen toestemming heeft en hun privacy is geschonden. In een reactie tegenover Ars Technica laat LinkedIn weten dat de rechtszaken ongegrond zijn. bron: https://www.security.nl

Een beveiligingsonderzoeker waarschuwt voor een actief aangevallen kwetsbaarheid in Adobe Reader waarvoor nog geen update beschikbaar is. Via het beveiligingslek, waar al vier maanden misbruik van zou worden gemaakt, kan allerlei informatie van systemen worden verzameld. Vervolgens wordt er op bepaalde doelwitten een verdere aanval uitgevoerd, aldus onderzoeker Haifei Li. Via de kwetsbaarheid, waarvoor nog geen CVE-nummer beschikbaar is, kan een aanvaller informatie over het besturingssysteem verzamelen, gebruikte Adobe Reader-versie en lokaal path van het pdf-bestand. De informatie wordt vervolgens naar een server van de aanvaller gestuurd. Ook is het via de kwetsbaarheid mogelijk om lokale bestanden te lezen. In een blogposting over de kwetsbaarheid meldt Li dat de exploit aanvallers niet alleen in staat stelt om lokale informatie te stelen, maar ook verdere aanvallen uit te voeren waarmee remote code execution of sandbox escapes mogelijk zijn, wat kan leiden tot volledige controle over het systeem van het slachtoffer. Op basis van informatie die andere onderzoekers over de aanval vonden stelt Li op X dat bij het misbruik niet alleen lokale informatie is verzameld, maar ook echt aanvullende exploits zijn uitgevoerd. Wat deze exploits precies doen kon niet worden achterhaald. Uit informatie die naar Googles online virusscanner VirusTotal werd geupload blijkt dat misbruik al sinds 28 november vorig jaar zou plaatsvinden. Adobe is nog niet met een reactie op de kwetsbaarheid gekomen. De door Li beschreven exploit maakt gebruik van JavaScript. Het is mogelijk om in Adobe Acrobat JavaScript uit te schakelen. bron: https://www.security.nl

Google waarschuwt organisaties voor social engineering-aanvallen op helpdeskmedewerkers die via live chat plaatsvinden. De aanvallers proberen aangevallen personeel naar phishingsites te lokken of malware te laten installeren. De groep aanvallers, die door Google UNC6783 wordt genoemd, probeert gevoelige data te stelen om slachtoffers daarmee af te persen. Volgens het techbedrijf zijn verschillende 'high-value corporate entities' in verschillende sectoren aangevallen. De aanvallers richten zich op Business Process Outsourcers (BPO's) die bijvoorbeeld voor de aangevallen organisaties de helpdesk en klantenservice verzorgen. Daarnaast zijn ook de helpdesks van de organisaties zelf het doelwit. De aanvallers benaderen de helpdeskmedewerkers via live chat en proberen die op nagemaakte Okta-pagina's te laten inloggen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. De phishingkit die de aanvallers inzetten kan multifactorauthenticatie (MFA) verificatie omzeilen door de inhoud van het clipboard te stelen, waarna de aanvallers hun eigen apparaten kunnen aanmelden om toegang te blijven houden, zegt Austin Larsen van de Google Threat Intelligence Group (GTIG) op LinkedIn. De aanvallers proberen daarbij specifiek inloggegevens van de Zendesk-omgeving van de aangevallen organisatie te bemachtigen. Zendesk biedt een online omgeving waarmee organisaties vragen van klanten en gebruikers kunnen verwerken. Het kan allerlei gevoelige gegevens bevatten. De aanvallers stelen deze informatie om daarmee bijvoorbeeld getroffen organisaties af te persen. Ook proberen de aanvallers aangevallen medewerkers zover te krijgen dat ze zogenaamde updates voor hun beveiligingssoftware installeren. In werkelijkheid gaat het om malware waarmee de aanvallers toegang tot het systeem krijgen. Google doet verschillende aanbevelingen om de aanvallen te voorkomen, waaronder het gebruik van phishingbestendige MFA, zoals FIDO hardware security keys. Tevens wordt aangeraden om live chat te monitoren en medewerkers over deze specifieke aanvalscampagne te informeren. Ook moeten organisaties monitoren op verdachte live chats waarbij personeel naar externe links wordt gestuurd. Onlangs werd bekend dat aanvallers vermoedelijk uit de Zendesk-omgeving van de populaire anime-streamingdienst Crunchyroll de gegevens van miljoenen gebruikers hebben gestolen. bron: https://www.security.nl

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Ninja Forms - File Uploads, zo meldt securitybedrijf Wordfence. Dat maakte op 6 april details over het probleem bekend. Niet veel later rapporteerde het securitybedrijf actief misbruik. Zo detecteerde Wordfence naar eigen zeggen de afgelopen 24 uur bijna negenhonderd aanvallen waarbij werd geprobeerd om WordPress-sites via het lek in de plug-in te compromitteren. Via Ninja Forms kunnen WordPress-beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress-sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's. De File Uploads plug-in is op meer dan 50.000 WordPress-sites actief. Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat er allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php-bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP-code mogelijk en daarmee remote code execution op de server. De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Hoeveel websites inmiddels up-to-date zijn is onbekend. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de WordPress-plug-in Ninja Forms - File Upload maakt het mogelijk voor aanvallers om kwetsbare websites volledig over te nemen. De ontwikkelaars hebben drie weken geleden een update voor het probleem uitgebracht. Hoeveel WordPress-sites die inmiddels hebben geïnstalleerd is onbekend. Ninja Forms - File Upload is een betaalde plug-in die op meer dan vijftigduizend websites wordt gebruikt. Via Ninja Forms kunnen WordPress-beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress-sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's. Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat er allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php-bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP-code mogelijk en daarmee remote code execution op de server, aldus securitybedrijf Wordfence. De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Details over het probleem zijn nu bekendgemaakt. Voor extensies die via WordPress.org worden aangeboden wordt bijgehouden hoeveel sites de update hebben geïnstalleerd. In het geval van betaalde extensies die bedrijven via hun eigen websites aanbieden is deze informatie niet bekend. Beheerders worden opgeroepen om naar de nieuwste versie te updaten mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Meerdere Node.js maintainers zijn het doelwit van social engineering-aanvallen geworden, afkomstig van dezelfde aanvallers die de maintainer van het Axios-project wisten te compromitteren. Dat meldt securitybedrijf Socket in een analyse. De aanvallen waren onder andere gericht tegen de ontwikkelaar van WebTorrent, StandardJS en buffer, maintainers van honderden ECMAScript polyfills en shims, de ontwikkelaar van Lodash, de maintainer van Fastify, Pino en Undici, leden van de Node Package Maintenance Working Group, medewerkers van Platformatic, de bedenker van Dotenv, een maintainer van mocha, neostandard, npm-run-all2 en type-fest en mensen betrokken bij de Node.js Security Working Group. Node.js is een open source, crossplatform JavaScript runtime omgeving waarmee ontwikkelaars JavaScript kunnen gebruiken voor het ontwikkelen van applicaties, tools en scripts. Onlangs werd bekend dat aanvallers het account van de primaire maintainer van het Axios-project hadden gehackt. Dit is een zeer populaire HTTP client library die applicaties onder andere gebruiken voor HTTP requests vanaf browsers en Node.js omgevingen. Applicaties gebruiken het om via HTTP met andere systemen te communiceren. De software telt meer dan honderd miljoen downloads per week. Via het gehackte account werden besmette versies gepubliceerd. Deze versies installeerden bij slachtoffers een remote access trojan (RAT), waardoor de aanvallers toegang tot hun systemen kregen. De Axios-maintainer publiceerde vorige week meer details over de aanval, waarbij zijn account door middel van social engineering was gehackt. Hij was benaderd door aanvallers, die zich daarbij voordeden als de oprichter van een bedrijf. Voor het gebruikte profiel waren zowel gegevens van de echte oprichter als het echte bedrijf gekloond. Uiteindelijk werd de Axios-maintainer gevraagd om deel te nemen aan een videogesprek via Microsoft Teams. De maintainer kreeg daarbij een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit. In werkelijkheid ging het om een remote access trojan waarmee de aanvallers toegang tot zijn systeem kregen en allerlei session cookies, tokens en andere credentials konden stelen. Nu blijkt dat de aanvallers via deze methode ook andere maintainers probeerden te hacken. Sommige van de aangevallen maintainers zijn verantwoordelijk voor packages met 114 miljoen en 137 miljoen wekelijkse downloads. De maintainers werden onder andere benaderd via LinkedIn. Eén van de aangevallen maintainers beschreef op LinkedIn de werkwijze van de aanvallers, waarbij ze probeerden hem een malafide app te laten installeren. Toen hij dit weigerde vroegen de aanvallers of hij een curl commando in zijn terminal wilde uitvoeren. Nadat de maintainer ook hier geen gehoor aan gaf verdwenen de aanvallers en verwijderden alle gesprekken. De groep aanvallers die voor de aanvallen verantwoordelijk wordt gehouden zou aan het Noord-Koreaanse regime zijn gelieerd en zich in het verleden hebben beziggehouden met aanvallen op cryptobedrijven en personen die over veel crypto bezitten. "Het npm-ecosysteem geeft aanvallers een ander soort toegang: schrijfrechten voor packages die worden gebruikt in de software supply chain van bedrijven wereldwijd", aldus Socket. In een reactie op de post mortem van de hack van de Axios-maintainer stelt een beveiligingsonderzoeker dat het belangrijk is dat slachtoffers en doelwitten hun verhalen blijven delen. "Schaam je niet. Bescherm elkaar tegen mensen die je stom noemen omdat je 'in phishing trapte'. Je bent niet stom." bron: https://www.security.nl

Thunderbird gaat de encryptiesleutels gebruikt voor versleutelde e-mail beoordelen en op basis hiervan een 'algemeen vertrouwensniveau' aan ontvangers tonen. "Er vindt een grote verschuiving plaats in de manier waarop we vertrouwen in versleutelde e-mail weergeven", zegt Toby Pilling van Thunderbird. "In plaats van encryptie als gewoon een aan/uit stand te behandelen, gaan we naar een oplopend betrouwbaarheidsmodel." Als onderdeel van dit model zal Thunderbird de sterkte van de gebruikte encryptiesleutel beoordelen, ongeacht of de encryptiesleutel handmatig is geverifieerd, ondersteund door een certificaatautoriteit of niet geverifieerd, en dan een algemeen vertrouwensniveau aan de gebruiker tonen. Volgens Pilling moet dit ervoor zorgen dat versleuteling meer vanzelf gaat, terwijl gebruikers nog steeds de informatie krijgen om te bepalen hoeveel ze een bepaald bericht kunnen vertrouwen. De gebruikersinterface die Thunderbird hiervoor zal gebruiken is bijna gereed. Verdere details zijn niet gegeven. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de Cisco Integrated Management Controller (IMC) laat aanvallers het wachtwoord van de administrator aanpassen, om vervolgens als admin te kunnen inloggen. Er zijn beveiligingsupdates uitgebracht om het probleem (CVE-2026-20093) te verhelpen. De Cisco Integrated Management Controller is een oplossing waarmee beheerders op afstand op Cisco-servers kunnen inloggen. De oplossing gaat niet goed om met verzoeken voor het aanpassen van wachtwoorden. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd HTTP request naar het systeem te sturen. Vervolgens kan de aanvaller de authenticatie omzeilen, het wachtwoord van elke willekeurige gebruiker wijzigen, waaronder de Admin-gebruiker, en vervolgens als die gebruiker op het systeem inloggen. Verdere details zijn niet gegeven. Een externe onderzoeker ontdekte en rapporteerde het probleem aan Cisco. bron: https://www.security.nl

Ruim veertienduizend F5 BIG-IP APM-servers zijn toegankelijk vanaf internet, zo meldt The Shadowserver Foundation. Aanvallers maken actief misbruik van een kwetsbaarheid in het platform. Het is nog onbekend hoeveel kwetsbare F5 BIG-IP APM-servers online zijn. Via BIG-IP Access Policy Manager (APM) kunnen organisaties hun medewerkers toegang tot applicaties geven, ongeacht waar die worden gehost. Vorig jaar oktober kwam F5 met een beveiligingsupdate voor een kwetsbaarheid in het platform, aangeduid als CVE-2025-53521. In eerste instantie werd het probleem als een denial of service omschreven. Vorige maand besloot F5 dit op basis van nieuwe informatie te veranderen in een remote code execution kwetsbaarheid. Vervolgens waarschuwden verschillende overheidsdiensten, waaronder het Nationaal Cyber Security Centrum (NCSC) voor actief misbruik van de kwetsbaarheid. The Shadowserver Foundation is een stichting die vaak onderzoek doet naar kwetsbare systemen op internet. Bij de laatste scan besloot het te kijken hoeveel F5 BIG-IP APM-servers toegankelijk vanaf het internet zijn. Dit leverde meer dan 14.000 servers op, waarvan 362 in Nederland. Bij de scan werd niet gekeken hoeveel servers de update voor CVE-2025-53521 missen. bron: https://www.security.nl

Google heeft een update voor een actief aangevallen beveiligingslek in Chrome uitgerold. De kwetsbaarheid (CVE-2026-5281) bevindt zich in Dawn, een open source en crossplatform implementatie van de WebGPU-standaard. De impact van de kwetsbaarheid is door Google beoordeeld als 'high'. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hier ook onder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de waargenomen aanvallen. Het probleem was op 10 maart door een externe onderzoeker aan Google gerapporteerd. Het beveiligingslek is verholpen in Google Chrome 146.0.7680.177/178 voor Windows en macOS en Chrome 146.0.7680.177 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van kwetsbaarheden met het stempel 'high' echter tot zestig dagen duren. Gebruikers die de update direct willen ontvangen zullen dan ook een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Onderzoekers hebben in de Google Play Store tientallen malafide Android-apps met miljoenen downloads ontdekt die, door gebruik te maken van bekende kwetsbaarheden, een rootkit installeren en vervolgens de WhatsApp-sessie van het slachtoffer klonen. De rootkit is niet met een fabrieksreset te verwijderen, zo laat antivirusbedrijf McAfee in een analyse weten. De meer dan vijftig apps, die bij elkaar minstens 2,3 miljoen downloads hebben, doen zich voor als eenvoudige tools of games. Eenmaal geïnstalleerd kijkt de malafide app of het Androidtoestel een bekende kwetsbaarheid bevat. Is dat het geval, dan wordt er een exploit gedownload waarmee vervolgens de rootkit wordt geïnstalleerd. Volgens de onderzoekers maken de exploits misbruik van kwetsbaarheden waar Google vanaf 2016 tot en met 2021 beveiligingsupdates voor uitbracht. Androidtoestellen met een patchniveau van 2021-05-01 zijn niet kwetsbaar voor de in totaal 22 exploits die de aanvallers toepassen. In het geval de exploit succesvol is wordt de rootkit geïnstalleerd. Die overschrijft een belangrijke system library, waardoor elke app op de telefoon code van de aanvaller uitvoert. De rootkit-installer vervangt ook het onderdeel van Android dat zich met afhandelen van crashes bezighoudt. Daarnaast worden er recovery scripts geïnstalleerd en kopieert de rootkit zichzelf ook naar de systeempartitie. Als één onderdeel wordt verwijderd kan de rootkit zichzelf weer installeren. Zodra de telefoon wordt herstart laadt de process launcher van Android de vervangen library, waardoor elke app meteen de code van de aanvaller uitvoert. De malware op de besmette telefoon maakt ook verbinding met de server van de aanvallers en wacht op nieuwe instructies. De aanvallers kunnen vervolgens allerlei payloads op het toestel uitvoeren. De onderzoekers van McAfee wisten één payload te identificeren. Deze payload kopieert de WhatsApp-encryptiedatabase, leest verschillende encryptiesleutels uit en steelt sessiegegevens. Met de gestolen keys en sessiedata kan de aanvallers de WhatsApp-sessie van het slachtoffer op een ander toestel klonen. De onderzoekers merken op dat de rootkit lastig is te verwijderen. Omdat die zichzelf naar de systeempartitie kopieert zal die namelijk niet bij een fabrieksreset worden verwijderd. Een fabrieksreset wist gebruikersgegevens, maar laat de systeembestanden intact. De onderzoekers stellen dat de firmware van de telefoon opnieuw moet worden geïnstalleerd om de malware weg te krijgen. Na te zijn ingelicht heeft Google de malafide apps uit de Play Store verwijderd. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt softwareontwikkelaars voor gehackte npm- en Python-packages en roept op tot actie. De afgelopen dagen wisten aanvallers meerdere npm-packages te compromitteren en te voorzien van malware. Het ging onder andere om vulnerability scanner Trivy en HTTP library Axios. De malware in deze gehackte packages zorgt ervoor dat aanvallers inloggegevens en andere secrets van getroffen ontwikkelaars en hun systemen in handen krijgen. "Als jouw organisatie software ontwikkelt waarin een gecompromitteerd npm- of Python-package wordt gebruikt, hebben de kwaadwillenden toegang tot authenticatiegegevens gekregen. Via deze gegevens krijgen de kwaadwillenden toegang tot andere (ontwikkel)omgevingen of systemen op je netwerk. Ook eindgebruikers van je software lopen een reëel risico, bijvoorbeeld doordat backdoors van de kwaadwillenden in je software terecht zijn gekomen", zo waarschuwt het NCSC. De overheidsdienst zegt dat het aanwijzingen heeft gekregen dat de aanvallers verkregen toegang tot gehackte systemen gebruiken voor het stelen van data en afpersen van getroffen organisaties. "Waarbij ze bijvoorbeeld dreigen om de buitgemaakte data op het internet te publiceren wanneer niet aan een losgeldeis wordt voldaan. Ook is het mogelijk dat buitgemaakte data aan andere cybercriminelen wordt doorverkocht, die de daarin aanwezige credentials vervolgens voor hun eigen vervolgaanvallen misbruiken." Volgens het NCSC is het belangrijk dat softwareontwikkelaars en organisaties die npm of Python-packages van derden gebruiken actie ondernemen. Zo wordt aangeraden om te controleren of de ontwikkelomgeving is gecompromitteerd en een incidentresponsproces te starten als dit het geval is. Daarnaast worden maatregelen geadviseerd om dit soort incidenten te voorkomen, zoals het gebruik van versiepinning wanneer software van externe libraries gebruikmaakt, het toepassen van een dependancy cooldown-periode, uitschakelen van postinstall-scripts en implementeren van npm Trusted Publishing via OpenID Connect (OIDC), in plaats van een vast 'NPM_TOKEN'. Dit voorkomt dat een 'langlevend' publish-token kan worden gestolen of misbruikt. bron: https://www.security.nl

Microsoft waarschuwt gebruikers voor malware die via WhatsApp-berichten wordt verspreid en waarmee aanvallers toegang tot de systemen van slachtoffers krijgen. De aanvallen werden eind februari waargenomen en maken gebruik van social engineering. Hoe deze berichten er precies uit zien laat Microsoft niet weten, maar de aanval werkt alleen als het doelwit gebruikmaakt van WhatsApp Web op Windows. Vorig jaar meldde antivirusbedrijf Trend Micro een aanval gericht op WhatsApp-gebruikers, waarbij die werden gevraagd om het meegestuurde bestand via WhatsApp Web op hun computer op te slaan en daar te openen. Mogelijk dat deze methode ook bij de aanvallen wordt toegepast waarvoor Microsoft waarschuwt. Bij deze aanvallen versturen de aanvallers malafide VBS-scripts. De scripts, zodat geopend op een computer, installeren vervolgens het programma AnyDesk, waarmee aanvallers toegang tot het systeem kunnen krijgen. De aanvallers kunnen dan gegevens stelen, aanvullende malware installeren of het systeem onderdeel van een botnet maken, aldus Microsoft. He techbedrijf adviseert organisaties om personeel te trainen zodat ze verdachte WhatsApp-bijlagen en onverwachte berichten kunnen herkennen. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de npm-package van de populaire HTTP client library Axios te voorzien van malware. De aanval was mogelijk doordat het account van de primaire maintainer van het Axios-project werd gehackt, zo meldt securitybedrijf StepSecurity in een analyse. Axios is één van de meestgebruikte HTTP clients in het JavaScript-ecosysteem met meer dan honderd miljoen wekelijkse downloads op npmjs.com. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Hoe de aanvallers het account van de maintainer konden compromitteren is onbekend. Nadat er toegang tot het account was verkregen werd het e-mailadres gewijzigd. Vervolgens werden er door de aanvallers verschillende malafide builds uitgebracht. Geen van deze malafide versies bevat kwaadaardige code. In plaats daarvan werd er een zogenaamde dependency geïnjecteerd, die als enig doel heeft het installeren van een cross-platform remote access trojan (RAT). De malware werkt op Linux, macOS en Windows en geeft aanvallers toegang tot het gehackte systeem. De dropper die voor de installatie van de uiteindelijk malware verantwoordelijk is verwijdert zichzelf en vervangt de eigen package met een schone versie als afleidingsmanoeuvre, aldus de onderzoekers. Ontwikkelaars die na de infectie de node_modules folder inspecteren zullen dan ook niets verdachts zien. Volgens StepSecurity was de aanval niet opportunistisch maar goed voorbereid, en hebben de aanvallers veel moeite genomen om hun sporen te verbergen. Ze stellen dat het om één van de meest geraffineerde supplychain-aanvallen tegen een Top 10 npm-package gaat die ooit is gedocumenteerd. Zowel StepSecurity als securitybedrijf Socket hebben informatie gepubliceerd waarmee ontwikkelaars en organisaties kunnen controleren of hun systemen zijn gecompromitteerd en welke verdere stappen genomen moeten worden. bron: https://www.security.nl

Nieuwe wetgeving zorgt ervoor dat de politie van Hong Kong de wachtwoorden van telefoons, laptops en andere apparaten van reizigers kan eisen. Reizigers die de inloggegevens weigeren te geven maken zich schuldig aan een misdrijf en kunnen worden veroordeeld tot een gevangenisstraf van een jaar en een boete van omgerekend 11.000 euro, meldt de BBC. De Amerikaanse ambassade in Hong Kong heeft wegens de wetswijziging een waarschuwing afgegeven. De politie van Hong Kong heeft geen gerechtelijk bevel nodig om wachtwoorden, decryptiesleutels en andere "redelijke en noodzakelijke informatie of hulp" van een verdachte te eisen. Douanebeambten mogen nu ook apparaten in beslag nemen die tot "opruiing" kunnen leiden. Wanneer reizigers valse of misleidende informatie aan de autoriteiten verstrekken kunnen ze een gevangenisstraf van drie jaar en een boete van 55.000 euro krijgen. Naar aanleiding van de waarschuwing van de Amerikaanse ambassade werd de Amerikaanse ambassadeur door de autoriteiten in Hong Kong ontboden. bron: https://www.security.nl

Een kritiek SQL Injection-beveiligingslek in Fortinet FortiClientEMS wordt al sinds een aantal dagen actief misbruikt bij aanvallen, zo waarschuwt securitybedrijf Defused. Fortinet kwam op 6 februari van dit jaar met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-21643. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op kwetsbare systemen code of commando's uitvoeren. FortiClient EMS is een oplossing waarmee beheerders op afstand systemen kunnen beheren waarop de FortiClient-software draait. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. CVE-2026-21643 betreft een kwetsbaarheid in de admin-interface van FortiClientEMS waardoor SQL Injection mogelijk is. Door het versturen van speciaal geprepareerde HTTP requests kan een aanvaller ongeautoriseerde code of commando's uitvoeren, aldus het beveiligingsbulletin van Fortinet, dat geen verdere informatie bevat. Defused waarschuwde afgelopen zaterdag via X dat het misbruik van CVE-2026-21643 had waargenomen. De aanvallen zouden al zeker sinds 24 maart plaatsvinden. Verdere details zijn echter niet gegeven. Fortinet heeft het misbruik nog niet bevestigd. Twee jaar geleden liet Fortinet wel weten dat misbruik van een andere SQL Injection kwetsbaarheid in FortiClientEMS (CVE-2023-48788) plaatsvond. De Australische overheid riep organisaties destijds op om direct in actie te komen, de patches te installeren en te controleren of systemen al niet zijn gecompromitteerd. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix Netscaler ADC en Citrix Netscaler Gateway waardoor aanvallers kwetsbare systemen in het ergste geval kunnen overnemen, zo meldt securitybedrijf watchTowr op basis van eigen onderzoek. Beveiligingsupdates voor het probleem, aangeduid als CVE-2026-3055, zijn sinds 23 maart beschikbaar. Citrix liet weten dat eigen onderzoekers het probleem hadden gevonden. Volgens watchTowr vinden aanvallen waarbij de kwetsbaarheid wordt misbruikt al zeker sinds 27 maart plaats. Door onvoldoende invoervalidatie kan een 'Out-of-bounds Read' ontstaan, waardoor aanvallers allerlei gevoelige informatie uit het geheugen van de Citrix-apparaten kunnen lezen, om daarmee verdere aanvallen uit te voeren. Het gaat onder andere om 'authenticated administrative session ID's', waarmee een aanvaller admintoegang tot de Citrix-apparaten kan krijgen, aldus de onderzoekers van watchTowr. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. Het Britse National Cyber Security Centre (NCSC) deed op 25 maart een oproep aan Britse organisaties om de update voor CVE-2026-3055 meteen te installeren. WatchTowr stelt op basis van eigen informatie dat de kwetsbaarheid tenminste sinds 27 maart bij aanvallen is ingezet. Nog geen vier dagen na het uitkomen van de update. "Dit is een indrukwekkende doorlooptijd voor een beveiligingslek dat Citrix intern had gevonden...", zo laten de onderzoekers van het securitybedrijf weten. Die voegen toe dat het memory management van Citrix-apparaten "niet best" is, mede omdat CVE-2026-3055 veel lijkt op twee andere geheugenlekken in de apparatuur, die bekendstaan als CitrixBleed en CitrixBleed2. bron: https://www.security.nl

Update: Het Europees Parlement heeft in een spannende stemming opnieuw tegen 'chatcontrole 1.0' gestemd, waardoor techbedrijven zoals Meta, Google en Microsoft binnenkort moeten stoppen met het op grote schaal en willekeurig scannen van berichten van Europese burgers. Met slechts één stem verschil werd het geautomatiseerd beoordelen van onbekende privéfoto's en chatberichten als "verdacht" of "niet-verdacht" verworpen. Bij de daaropvolgende eindstemming behaalde het gewijzigde voorstel ook geen meerderheid. Daarop zal de verlenging van 'chatcontrole 1.0' op 3 april aflopen. Een tijdelijke uitzondering op de ePrivacy Verordening, ook wel 'chatcontrole 1.0' genoemd', staat aanbieders van interpersoonlijke communicatiediensten toe om het verkeer van gebruikers vrijwillig op misbruikmateriaal te controleren. Het gaat dan bijvoorbeeld om chatapps. Dit verschilt van het plan van de Europese Commissie voor 'chatcontrole 2.0', waarbij chatapps en andere partijen verplicht zouden worden om alle berichten van hun gebruikers te controleren. De tijdelijke uitzondering verloopt op 3 april van dit jaar. Afgelopen december kwam de Europese Commissie met een voorstel om de uitzondering met twee jaar te verlengen, tot 3 april 2028. De EU-lidstaten willen de verlenging zelfs permanent maken. Het Europees Parlement stemde begin maart voor een aangepast voorstel, waarbij de maatregel onder voorwaarden voor een periode van een jaar kon worden verlengd. Het ongericht en op grote schaal controleren van berichten zou niet meer worden toegestaan. De onderhandelingen tussen het Europees Parlement en de EU-lidstaten over een verlenging liepen onlangs stuk. Na de stukgelopen onderhandelingen besloot de EVP-fractie van het Europees Parlement chatcontrole 1.0 opnieuw op de agenda te krijgen, waarbij werd geprobeerd om het voorstel van de Europese Commissie over te nemen. Hoewel de EVP-fractie de grootste van Europees Parlement is, trokken voorstanders van chatcontrole vandaag opnieuw aan het kortste eind. Volgens voormalig Europarlementariër en digitale rechtenexpert Patrick Breyer is er tijdens het wetgevingsproces flink gelobbyd. Breyer stelt dat allerlei door het buitenland gefinancierde lobbygroepen en techbedrijven chatcontrole proberen in te voeren. Zo ontwikkelt de Amerikaanse organisatie Thorn de scansoftware die voor de controle gebruikt kan worden en spendeerde het grote bedragen om in Brussel te lobbyen. "De tech-industrie lobbyde samen met bepaalde organisaties voor een wet die kinderen niet beschermt, maar hun eigen winsten en datatoegang veiligstelt", aldus Breyer. De voormalige Europarlementariër waarschuwt om ondanks de stemming van vandaag niet te vroeg te juichen. "Ze zullen het opnieuw proberen. De onderhandelingen voor een permanente chatcontrole gaan onder hoge druk verder, en binnenkort zal de geplande leeftijdsverificatie voor chatapps de anonieme communicatie op internet bedreigen. De strijd voor digitale vrijheid gaat door!"

Reddit gaat menselijke verificatie verplichten voor accounts die 'verdacht gedrag' vertonen, zo heeft ceo Steve Huffman in een bericht op het platform aangekondigd. Om welk gedrag het dan precies gaat wordt niet gemeld. Onlangs kwam Huffman al in het nieuws omdat hij Face ID of Touch ID een laagdrempelige oplossing voor het verifiëren van gebruikers noemde. In het bericht op Reddit stelt Huffman dat het nodig is om bots van mensen te kunnen onderscheiden en het platform daarom een aantal aanpassingen doorvoert. Zo zal duidelijk worden vermeld wanneer een account 'niet-menselijk' is. Daarnaast wordt menselijke verificatie verplicht voor geautomatiseerd of 'anderzijds verdacht gedrag'. Reddit stelt dat deze accounts een verzoek zullen krijgen om te bevestigen 'dat er een mens achter zit' en de meeste gebruikers hier niet mee te maken krijgen. "Verifiëren of iemand mens is, is niet hetzelfde als weten wie het is", aldus Huffman. "We hebben je echte identiteit niet en willen die ook niet." De Reddit-ceo benadrukt dat de website geen algemene menselijke verificatie invoert, laat staan identiteitsverificatie. Huffman stelt ook dat de verificatie plaatsvindt op een manier waarbij de privacy van gebruikers niet wordt geschonden. "De beste langetermijnoplossingen zijn gedecentraliseerd, geïndividualiseerd, privé en vereisen idealiter geen identiteitsbewijs." Volgens de Reddit-ceo gaat de voorkeur uit naar third-party tools, om zo afstand te houden tussen de verificatie en het platform. Daarbij noemt Huffman verschillende opties, zoals passkeys, third-party biometrische controle zoals World ID, en third-party overheids-ID-diensten. "Het systeem dat we gebruiken zal niet je echte identiteit aan Reddit bekendmaken noch je Reddit-gebruikersnaam aan een derde partij." bron: https://www.security.nl

De ontwikkelaars van het op privacy gerichte besturingssysteem Tails hebben een nieuwe versie uitgebracht waarin wachtwoordmanager KeePassXC door Secrets is vervangen. Gebruikers die van KeePassXC gebruik willen blijven maken kunnen de wachtwoordmanager zelf installeren. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Tails maakte standaard gebruik van KeePassXC als wachtwoordmanager voor het opslaan van wachtwoorden van gebruikers. Met de lancering van Tails 7.6 heeft deze wachtwoordmanager plaats gemaakt voor Secrets. "Secrets heeft een eenvoudigere interface en is beter geïntegreerd in de GNOME desktop", aldus de ontwikkelaars. Zo werken met Secrets weer bepaalde toegankelijkheidsfeatures, zoals het schermtoetsenbord en cursorgrootte. Secrets zal automatisch de eerdere KeePassXC-database van gebruikers ontgrendelen, omdat zowel Secrets als KeePassXC hetzelfde bestandsformaat gebruiken om wachtwoorden op te slaan. Gebruikers die de meer geavanceerde features van KeePassXC missen kunnen de wachtwoordmanager als aanvullende software installeren. bron: https://www.security.nl

Webwinkels die zijn gebaseerd op Magento en Adobe Commerce worden op grote schaal via een nieuw beveiligingslek aangevallen, zo meldt securitybedrijf Sansec. Via de kwetsbaarheid is remote code execution mogelijk of kunnen aanvallers accounts kapen. Een beveiligingsupdate voor het probleem is alleen beschikbaar voor de "pre-release branch" van de webwinkelsofware. Productieversies van Magento en Adobe Commerce moeten het vooralsnog zonder update doen. De kwetsbaarheid bevindt zich in de REST API van de webwinkelsoftware en laat een ongeauthenticeerde aanvaller uitvoerbare bestanden naar kwetsbare webshops uploaden. Alle versies van Magento en Adobe Commerce tot en met versie 2.4.9-alpha2 bevatten deze "unrestricted file upload" kwetsbaarheid. Daarnaast zijn alle webshops die gebruikmaken van Apache-webserver voor versie 2.3.5 of een aangepaste webserverconfiguratie kwetsbaar voor stored cross-site scripting, waardoor een aanvaller accounts kan overnemen. In het geval van een overgenomen admin-account zou een aanvaller zo toegang tot de webshop kunnen krijgen. Securitybedrijf Sansec kwam op 17 maart met een waarschuwing voor het probleem, dat het 'PolyShell' noemt. Volgens onderzoekers van het bedrijf vindt sinds 19 maart grootschalig misbruik en zijn PolyShell-aanvallen op 56,7 procent van alle kwetsbare webshops aangetroffen. Bij een autofabrikant trof Sansec een "skimmer" aan, malware die op de betaalpagina allerlei informatie steelt en doorstuurt naar criminelen. Vermoedelijk is de websop via de PolyShell-aanval gecompromitteerd. bron: https://www.security.nl

Het Europees Parlement stemt vandaag opnieuw over het verlengen van 'chatcontrole 1.0', nadat het voorstel eerder deze maand nog door een meerderheid werd verworpen. Daardoor bestaat het risico dat techbedrijven door mogen blijven gaan met de grootschalige controle van chatberichten en e-mails van hun gebruikers. Daarnaast stellen critici dat op deze manier het democratische fundament van de Europese Unie wordt aangetast. Een tijdelijke uitzondering op de ePrivacy Verordening, ook wel 'chatcontrole 1.0 genoemd', staat aanbieders van interpersoonlijke communicatiediensten toe om het verkeer van gebruikers vrijwillig op misbruikmateriaal te controleren. Het gaat dan bijvoorbeeld om chatapps. Dit verschilt van het plan van de Europese Commissie voor 'chatcontrole 2.0', waarbij chatapps en andere partijen verplicht zouden worden om alle berichten van hun gebruikers te controleren. De tijdelijke uitzondering verloopt op 3 april en de onderhandelingen tussen het Europees Parlement en de EU-lidstaten over een verlenging zijn onlangs stukgelopen. Afgelopen december kwam de Europese Commissie met een voorstel om de uitzondering met twee jaar te verlengen tot 3 april 2028. Eerder ging de Europese Raad al akkoord met een voorstel om de uitzondering zelfs permanent te maken. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen en elk een eigen positie innemen. Onlangs kwam het Europees Parlement met een eigen voorstel, waarin werd gesteld dat de uitzondering onder voorwaarden met een jaar kan worden verlengd. Zo moet het scannen proportioneel en gericht zijn en niet worden toegepast op end-to-end versleutelde communicatie. Het scannen van verkeersdata naast contentdata wordt niet toegestaan. Daarnaast mag het scannen alleen bij personen die door een gerechtelijke instantie als verdachte zijn aangewezen. Dit voorstel werd op 11 maart aangenomen. De lidstaten en het parlement konden het niet eens worden over de voorwaarden voor de verlenging, waardoor er geen akkoord is bereikt. De EVP-fractie van het Europees Parlement heeft het voorstel opnieuw op de agenda gezet, wat inhoudt dat het voorstel alsnog kan worden aangenomen. De EVP-fractie is de grootste fractie in het Europees Parlement. "In een ongekende actie probeert de EVP een gedwongen herstemming te laten plaatsvinden, om zo het principiële besluit van 11 maart terug te draaien en in plaats daarvan voor massale, willekeurige surveillance te kiezen", zegt de maker van de website Fight Chat Control op Hacker News. De Groenen in het Europees Parlement probeerden de herstemming gisteren tegen te houden, maar dat voorstel werd weggestemd. Daardoor zal het Parlement vandaag opnieuw over het voorstel stemmen om chatcontrole 1.0 onaangepast te verlengen zoals de Europese Commissie wil. Daarbij zouden meerdere partijen verdeeld zijn, terwijl de EVP volledig achter chatcontrole staat. Democratisch fundament ondermijnd Voormalig Europarlementariër en digitale rechtenexpert Patrick Breyer stelt dat er de afgelopen dagen een grootschalige "desinformatie" campagne van politici, opsporingsdiensten en techbedrijven heeft plaatsgevonden om de publieke opinie te beïnvloeden. Daarnaast waarschuwt hij voor de werkwijze van de EVP. "Wanneer een democratisch besluit herhaaldelijk in stemming wordt gebracht totdat het gewenste resultaat is bereikt, wordt het Parlement zelf gedevalueerd", aldus Breyer. "Deze aanpak schept een gevaarlijk precedent. Het ondermijnt de betrouwbaarheid van democratische processen en geeft het signaal af dat meerderheden alleen tellen wanneer ze politiek gezien opportuun zijn. De verantwoordelijke partijen schaden niet alleen het vertrouwen in de Europese instellingen, maar ook de fundamenten van de democratie zelf.” bron: https://www.security.nl

Extra: Mozilla heeft gisteren een nieuwe versie van Firefox gelanceerd die is voorzien van een ingebouwde gratis vpn-functie. Volgens de Firefox-ontwikkelaar hoeven gebruikers niet bang te zijn dat hun gegevens bij het gebruik van de feature zullen worden verkocht. Daarnaast zal de vpn-functie binnenkort voor gebruikers in meer landen beschikbaar komen. Op dit moment is de feature alleen beschikbaar voor Firefox-gebruikers in Duitsland, Frankrijk, het Verenigd Koninkrijk en de Verenigde Staten. De ingebouwde vpn-functie laat het verkeer van gebruikers via een proxy lopen. Dat maakt het volgens Mozilla een eenvoudige manier om te voorkomen dat Big Tech het ip-adres van gebruikers kan tracken. "We zijn bekend met de zorgen over zogenaamd "gratis vpn's", die vaak gebruikmaken van reclame of gebruikersgegevens verkopen om inkomsten te genereren", aldus Mozilla. "De in Firefox ingebouwde vpn zit anders in elkaar. Het verkooopt niet je browsinggegevens en injecteert geen advertenties in je verkeer." Vooralsnog bevindt de vpn-fucntie zich in de bètafase en is zoals gezegd alleen door Amerikaanse, Britse, Duitse en Franse gebruikers te gebruiken. Mozilla zegt dat het met de komende releases van Firefox de feature voor gebruikers in andere landen beschikbaar zal maken. In tegenstelling tot Mozilla's betaalde vpn-dienst, waarbij al het verkeer vanaf een apparaat via een vpn-tunnel gaat, is de Firefox-vpn alleen voor het browserverkeer bedoeld. Daarnaast is het dataverkeer tot vijftig gigabyte per maand beperkt. bron: https://www.security.nl