Captain Kirk

Spywareleverancier LetMeSpy is gestopt nadat een aanvaller eind juni de database wist te stelen en vervolgens verwijderde. Het bedrijf bood een Android-app waarmee het mogelijk is om allerlei informatie te verzamelen van de telefoon waarop de spyware is geïnstalleerd. Gebruikers van de app installeren die zelf op de telefoon van het slachtoffer en krijgen vervolgens allerlei informatie doorgestuurd. Het gaat dan om de inhoud van sms-berichten en de gespreksgeschiedenis van slachtoffers. Gebruikers weten zo met wie het slachtoffer op welke datum heeft gebeld. Bij de aanval eind juni kreeg de aanvaller gegevens van gebruikers en slachtoffers in handen. Daarnaast werd de database gewist. Inmiddels biedt LetMeSpy de spyware niet meer aan en kunnen gebruikers niet meer inloggen op de pagina waar verzamelde informatie van slachtoffers is te bekijken. Verder blijkt de spyware-app ook niet meer te functioneren, zo meldt TechCrunch op basis van netwerkanalyse. In een verklaring op de eigen website bevestigt de spywareleverancier dat bij de aanval de database is gekopieerd en verwijderd en er sprake is van een datalek. Inmiddels zou er ook melding zijn gemaakt bij de Poolse toezichthouder. LetMeSpy opereerde vanuit Polen. Hoe de aanvaller toegang tot de database kon krijgen is niet bekendgemaakt. De spywareleverancier claimt technische, juridische en organisatorische maatregelen te hebben genomen om soortgelijke incidenten te voorkomen. bron: https://www.security.nl

Onderzoekers hebben een akoestische aanval ontwikkeld waarmee het mogelijk is om, aan de hand van het geluid dat mensen maken bij het tikken op een toetsenbord, toetsaanslagen met 95 procent nauwkeurigheid op afstand af te luisteren (pdf). Het afluisteren van toetsaanslagen tijdens een Zoom-gesprek levert een succesratio van 93 procent op, zo stellen de onderzoekers van de Durham University, University of Surrey en Royal Holloway University of London. "Mensen zullen bij het typen van een wachtwoord vaak hun scherm verbergen, maar weinig doen om het geluid van hun toetsenbord te verbergen", zo stellen de onderzoekers. Het gebrek aan 'zorgen over de toetsenbordakoestiek' komt volgens hen mogelijk door een gebrek aan kennis over het onderwerp. De onderzoekers bedachten verschillende scenario's om het risico van een akoestische aanval te demonstreren, namelijk het gebruik van een smartphone en videoconferentiesoftware Zoom. Een aanvaller zou bijvoorbeeld een smartphone kunnen compromitteren, om vervolgens via de microfoon het slachtoffer af te luisteren. Hierbij moet de aanvaller eerst het gebruikte algoritme zien te trainen met toetsaanslagen van het slachtoffer. Op deze manier kan de aanvaller een model maken van het geluid van aangeslagen toetsen. Voor het onderzoek werden 36 toetsen van een MacBook elk 25 keer achter elkaar ingedrukt en het geluid opgenomen. In het geval van de aanval via Zoom en Skype zou een aanvaller verbanden kunnen leggen tussen berichten van het slachtoffer en het gemaakte geluid. Zodra het model is gemaakt kunnen toetsaanslagen van gebruikers met hoge nauwkeurigheid worden afgeluisterd, waarbij de smartphone met 95 procent het meest nauwkeurig is, gevolgd door Zoom (93 procent). Een goede verdediging tegen de aanvallen is het afspelen van het geluid van willekeurige gegenereerde toetsaanslagen en een andere manier van typen (touch typing). bron: https://www.security.nl

De criminelen achter de Clop-ransomware verspreiden gegevens van slachtoffers voortaan ook via torrents, zo melden onderzoekers. De Clop-groep zat achter de recente zeroday-aanval op MOVEit Transfer, waarbij de gegevens van zeshonderd organisaties en veertig miljoen mensen zijn gestolen, aldus securitybedrijf Emsisoft. Slachtoffers moeten vervolgens losgeld betalen, anders dreigt de groep de gestolen gegevens via de eigen website openbaar te maken. Een aantal dagen geleden besloot de groep om de buitgemaakte data ook via torrent-bestanden te verspreiden. Inmiddels zijn op deze manier de gegevens van twaalf getroffen organisaties te downloaden. De afgelopen tijd experimenteerde de Clop-groep ook met aanbieden van gestolen data via "clearnet" websites. Waarom de groep nu voor torrent-bestanden kiest laat het niet weten. De website van de ransomwaregroep draait op het Tor-netwerk, waardoor die lastig uit de lucht is te halen. bron: https://www.security.nl

Hou er dan wel rekening mee wanneer je in je Office 365-omgeving wilt inloggen, ook hier je nieuwe wachtwoord moet gaan gebruiken.

Beste Johnnyboy, Voer de volgende stappen uit: Video: het wachtwoord voor Microsoft 365 voor bedrijven wijzigen Meld u met uw werk- of schoolaccount aan op office.com/signin. Ga naar Instellingen > Wachtwoord. Voer uw vorige wachtwoord in. Bedenk een nieuw wachtwoord en bevestig het. Selecteer Indienen om de procedure te voltooien en het wachtwoord te wijzigen. Hieronder een van de vidoefilmpjes die op Youtube te vinden zijn. Vind je deze niet duidelijk, dan zijn er nog enkele andere te vinden. Youtube: wachtwoord Office 365 veranderen

De directeur van securitybedrijf Tenable heeft hard uitgehaald naar Microsoft wegens een kwetsbaarheid in het Power Platform van het techbedrijf, waardoor gevoelige data beheerd via Azure AD was te stelen. Volgens Tenable-ceo Amit Yoran, eerder nog de National Cybersecurity Director van het Amerikaanse ministerie van Homeland Security, zorgt Microsofts gebrek aan transparantie over datalekken, onverantwoorde security practices en kwetsbaarheden dat klanten bewust over risico's in het donker worden gehouden. Microsofts Power Platform is een 'low-code platform' voor onder andere het ontwikkelen van apps en automatiseringsoplossingen. In maart ontdekten onderzoekers van Tenable een kwetsbaarheid in het platform waardoor een ongeauthenticeerde aanvaller toegang tot gevoelige data van Azure-klanten kon krijgen. Zo wisten de onderzoekers 'authentication secrets' van een niet nader genoemde bank te vinden. De onderzoekers waarschuwden Microsoft op 30 maart. Het techbedrijf liet op 6 juli weten dat het probleem was verholpen, maar dat bleek niet het geval, zo ontdekten de onderzoekers die Microsoft opnieuw informeerden. Daarop vroeg Microsoft aan Tenable om te wachten met de publicatie van details over de kwetsbaarheid. Het securitybedrijf reageerde dat het in de publicatie geen technische details zou geven. Microsoft gaf aan dat het op 28 september pas met een volledige update zou komen. Vervolgens publiceerde Tenable op 31 juli een beperkte uitleg van het probleem, waarna Microsoft op 3 augustus met een volledige fix kwam. "Werd het probleem, dat kon leiden tot aanvallen op de netwerken en diensten van meerdere klanten, snel door Microsoft verholpen? Natuurlijk niet. Ze namen meer dan negentig dagen de tijd om met een gedeeltelijke update te komen - en alleen voor nieuwe applicaties die op het platform geladen worden", stelt Yoran in een fel bericht op LinkedIn. "Wat je hoort van Microsoft is 'vertrouw ons gewoon', maar wat je terugkrijgt is zeer weinig transparantie en een cultuur van giftige obfuscatie. Hoe kan een CISO, raad van bestuur of directie geloven dat Microsoft het juiste doet gegeven de patronen en huidig gedrag? Microsofts track record brengt ons allemaal in gevaar en het is nog veel erger dan gedacht." Microsoft laat in een reactie over de kwetsbaarheid weten dat het beschermen van klanten en transparant zijn de hoogste prioriteit heeft. Het techbedrijf ligt de laatste tijd geregeld onder vuur. Zo haalde de Amerikaanse overheid naar Microsoft uit omdat het de beveiliging van UEFI-updates niet op orde heeft, was er kritiek van beveiligingsonderzoekers omdat het bedrijf klanten extra liet betalen voor log-inzage bij Exchange Online en beschuldigde een Amerikaanse senator Microsoft van nalatigheid bij de beveiliging e-mail. Aanvallers wisten een key van Microsoft te stelen waarmee ze toegang tot "honderdduizenden overheidsmails" kregen. Hoe dit kon gebeuren is nog altijd niet bekendgemaakt. bron: https://www.security.nl

De zoekmachine van browserontwikkelaar Brave biedt gebruikers voortaan de mogelijkheid om naar afbeeldingen en video's te zoeken zonder dat er uit Bing of Google moet worden gekozen. Brave biedt met Brave Search naar eigen zeggen een op privacygerichte zoekmachine. Hiervoor maakte de zoekmachine echter gebruik van Microsofts Bing-zoekmachine. Brave besloot eerder dit jaar geen gebruik meer van Bing te maken. Daardoor krijgen gebruikers van Brave Search alleen nog zoekresultaten te zien die van de Brave Index afkomstig zijn. De Index bevatte echter nog niet voldoende resultaten voor foto's en video's. Daarop besloot Brave geen video's en foto's meer vanuit de eigen index te tonen, maar gebruikers de optie te bieden om via Bing en Google te zoeken. "We beseffen dat de redirect-optie niet erg populair bij sommige van onze gebruikers was", stelt Brave. Sinds april werden meer video's en foto's door de Brave Index geïndexeerd en die worden vanaf nu door de zoekmachine aangeboden. Daardoor hoeven gebruikers niet meer tussen Bing of Google te kiezen en kunnen ze binnen Brave Search blijven voor het zoeken naar afbeeldingen en video's. Brave Search is de standaard zoekmachine binnen Brave-browser en ook via seach.brave.com beschikbaar. bron: https://www.security.nl

Google gaat gedownloade bestanden in Chrome uitgebreider scannen, zo heeft het techbedrijf laten weten. Downloads worden al gecontroleerd door de browser, bijvoorbeeld door naar de downloadsite of hash van het bestand te kijken. Het downloadvenster in Chrome is in de nieuwste versie van de browser aangepast, wat het eenvoudiger voor gebruikers zou moeten maken om met hun downloads aan de slag te gaan, aldus Joshua Cruz van Google. De extra ruimte van het nieuwe downloadvenster maakt het ook mogelijk om gebruikers meer context over geblokkeerde potentieel malafide bestanden te geven, merkt Cruz op. "En het stelt ons in staat om geavanceerde deep scan opties te maken die eerder niet mogelijk waren." Om wat voor scanopties het precies gaat laat Cruz niet weten, maar hij merkt op dat Google binnenkort met meer details komt. bron: https://www.security.nl

Honderden Citrix-servers, waaronder een dozijn in Nederland, zijn via een kritieke kwetsbaarheid geïnfecteerd met webshells, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het ging 331 machines in Nederland. Naast het tellen van kwetsbare servers onderzocht de Shadowserver Foundation ook het aantal gecompromitteerde servers. Het gaat om servers waarop aanvallers via CVE-2023-3519 een webshell installeerden. Dit is een programma waarmee de aanvallers toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Met name in Duitsland werden veel besmette servers aangetroffen. Van de 581 gecompromitteerde machines staan er 115 bij de oosterburen. In Nederland werden twaalf servers geteld. bron: https://www.security.nl

Een groep aanvallers maakt gebruik van Microsoft Teams voor het uitvoeren van social engineering-aanvallen, waarbij het doel is om multifactorauthenticatie (MFA) van de accounts van doelwitten te omzeilen. Tientallen organisaties zijn door de aanvallen getroffen, aldus Microsoft. Volgens het techbedrijf zit een vanuit Rusland opererende groep achter de aanvallen. Voor het uitvoeren van de social engineering-aanval maken de aanvallers gebruik van de Microsoft 365-omgevingen van mkb-bedrijven die ze eerder hebben gecompromitteerd. De aanvallers wijzigen de naam van de gecompromitteerde omgeving, voegen een nieuw onmicrosoft.com subdomein toe, en voegen vervolgens een nieuwe gebruiker toe die aan dat domein is gekoppeld voor het versturen van het bericht naar het doelwit. De aanvallers noemen de gecompromitteerde omgeving bijvoorbeeld "Microsoft Identity Protection" en gebruiken "teamsprotection.onmicrosoft.com" als afzender van het bericht. Daardoor kan het voor het doelwit lijken alsof het bericht van Microsoft afkomstig is. Bij de aanvallen beschikken de aanvallers al over de inloggegevens van het doelwit, maar kunnen vanwege MFA niet inloggen. Ook hebben de aanvallers het voorzien op gebruikers met wachtwoordloze authenticatie, waarbij gebruikers alleen een code moeten invoeren die via de Microsoft Authenticator-app op hun telefoon is gegenereerd. Nadat de aanvaller op een account inlogt waarvoor MFA is vereist, krijgt die een code te zien die de gebruiker van het account in zijn authenticator-app moet invoeren. Zodra de aanvaller inlogt ontvangt de gebruiker op zijn telefoon een prompt die om deze code vraagt. De aanvaller stuurt het doelwit nu via Teams een bericht waarin wordt gevraagd om de meegestuurde code op de telefoon in te voeren. Als het doelwit de code van de aanvaller op zijn telefoon invoert ontvangt de aanvaller waarmee hij als de gebruiker kan inloggen. Microsoft adviseert organisaties onder andere om phishingbestendige authenticatiemethodes uit te rollen. Ook moeten organisaties personeel onderwijzen om geen MFA-codes in te voeren die via ongevraagde berichten zijn verstuurd. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt voor een kritieke kwetsbaarheid in MobileIron Core waardoor een ongeauthenticeerde aanvaller toegang tot de server kan krijgen. Het beveiligingslek is aanwezig in versie 11.2 van de software, die sinds vorig jaar maart end-of-life is. Ivanti zal dan ook geen beveiligingsupdate voor de kwetsbaarheid uitbrengen. In versie 11.3 van MobileIron Core is het beveiligingslek 'onbedoeld' verholpen bij het oplossen van een andere bug. MobileIron Core is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Via het beveiligingslek, aangeduid als CVE-2023-35082, in MobileIron Core 11.2 kan een ongeauthenticeerde aanvaller toegang tot de MobileIron-server krijgen. Vervolgens is het mogelijk om aanpassingen aan de server door te voeren en toegang tot persoonlijke informatie van gebruikers te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Organisaties die nog met de niet meer ondersteunde versie werken wordt opgeroepen om te upgraden naar Ivanti Endpoint Manager Mobile (EPMM), zoals de oplossing nu wordt genoemd. "Dat is de beste manier om je omgeving tegen dreigingen te beschermen", aldus Ivanti. Twee zerodaylekken in EPMM blijken sinds april te zijn gebruikt bij aanvallen tegen de Noorse overheid en organisaties. bron: https://www.security.nl

Onderzoekers van Cisco hebben de afgelopen jaren bijna driehonderd kwetsbaarheden gevonden in populaire routers voor eindgebruikers en mkb-bedrijven. Veel van de beveiligingslekken kunnen een aanvaller toegang tot het apparaat geven en zo verdere aanvallen laten uitvoeren. Volgens Cisco worden de beveiligingsproblemen veroorzaakt doordat fabrikanten of gebruikers basale beveiligingsmaatregelen niet doorvoeren. Het onderzoek naar de routers volgt na de ontdekking van de VPNFilter-malware in 2018. Deze malware is in staat om apparaten van Linksys, MikroTik, Netgear, QNAP, Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE te infecteren. Vanwege de positie van routers in het netwerk en de grote schaal waarop ze worden gebruikt zijn de apparaten een aantrekkelijk doelwit voor aanvallers, aldus Cisco. Volgens de netwerkfabrikant is de beveiliging van routers de afgelopen jaren wel verbeterd, maar is het nog steeds belangrijk om bepaalde maatregelen door te voeren. Het gaat dan om het uitschakelen van features en services tenzij ze strikt noodzakelijk zijn, moet de router standaard niet vanaf het internet zijn te beheren, moet gebruikersinvoer niet worden vertrouwd, moeten fabrikanten de third-party code die ze gebruiken up-to-date houden en niet vertrouwen op ongedocumenteerde en obscure diagnostische features en credentials. "Elk van de ontdekte kwetsbaarheden valt in één van deze categorieen", aldus Cisco. bron: https://www.security.nl

Een nieuw voorstel van Google neemt de macht van gebruikers en geeft die aan grote websites en adverteerders, zo waarschuwen de makers van de Brave-browser. Eerder sloegen ook de makers van de Vivaldi-browser alarm over het "Web Environment Integrity" (WEI) voorstel van vier Google-engineers. WEI biedt websites een API waarmee ze kunnen vertellen dat de browser en platform van bezoekers worden vertrouwd door een derde partij, de "attester". Volgens de Google-engineers moet op deze manier fraude worden voorkomen. Zo kunnen websites controleren dat bezoekers mensen zijn en geen bots. Een van de grootste kritiekpunten is dat de attester bepaalt welke omgevingen zijn te vertrouwen. Zo zou Google Play een attester op Android zijn en kunnen bepalen welke browsers en extensies zijn toegestaan. Volgens Peter Snyder van Brave neemt WEI de macht die gebruikers hebben en geeft die aan grote websites en adverteerders. "Googles WEI-voorstel is frustrerend, maar niet verrassend. WEI is gewoon de nieuwste poging van Google om te voorkomen dat browsergebruikers controle hebben over hoe ze het web gebruiken", aldus Snyder. Sommige critici zijn bang dat WEI voor een verborgen introductie van Digital Rights Management (DRM) op webpagina's kan zorgen, waardoor adblocking zo goed als onmogelijk wordt gemaakt. "Het is belangrijk dat gebruikers de controle houden over hoe ze het web gebruiken, en het web niet wordt teruggebracht tot een aantal 'take it or leave it' black boxes die gebruikers niet kunnen inspecteren, begrijpen of aanpassen. Googles WEI-voorstel (net als veel andere Google voorstellen) neemt opzettelijk de macht van gebruikers en geeft die aan grote websites en adverteerders", stelt Snyder. Brave zal het voorstel dan ook niet implementeren. Afsluitend merkt Synder op dat WEI de laatste stap is in een "verschrikkelijke richting" waar Google het web naar toe duwt. "Webgebruikers verdienden een browser die hen niet behandelt als de vijand die moet worden beperkt en gecontroleerd." bron: https://www.security.nl

Bij aanvallen op verschillende industriële organisaties in Oost-Europa die vorig jaar plaatsvonden is gebruikgemaakt van usb-malware om data van air-gapped systemen te stelen, zo stelt antivirusbedrijf Kaspersky. De aanvallers weten eerst systemen te infecteren die wel met internet zijn verbonden. De initiële malware geeft de aanvallers toegang tot de besmette systemen en verzamelt allerlei informatie. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Bij de aanvallen waarover Kaspersky schrijft worden op de besmette computer aangesloten usb-sticks ook geïnfecteerd. Wanneer deze usb-sticks op niet-besmette machines worden aangesloten kunnen ook die geïnfecteerd worden. Om ervoor te zorgen dat de malware de niet-besmette computer besmet worden bestanden of mappen in de root directory van de usb-stick vervangen door een gelijknamig lnk-bestand, terwijl het originele bestand onzichtbaar wordt gemaakt of in de recycle bin geplaatst. Wanneer de besmette usb-stick op een niet-besmette computer wordt aangesloten en de gebruiker het lnk-bestand opent raaktook die machine besmet. Vervolgens wordt er allerlei data van de net besmette computer verzameld en naar de usb-stick gekopieerd. Wanneer de besmette usb-stick op de eerste besmette computer wordt aangesloten, die wel met internet verbonden is, wordt alle gestolen data naar de aanvallers gestuurd. "Het stelen van data van air-gapped netwerken is een veelgebruikte routine voor veel advanced persistent threats en cyberspionagecampagnes. Ondanks de grote verscheidenheid aan exfiltratiemethodes kiezen aanvallers voor technieken, tactieken en procedures gebaseerd op het besmetten van usb-sticks", stelt onderzoeker Kirill Kruglov. Volgens Kaspersky zijn de aanvallen het werk van een groep genaamd APT31, die ook bekendstaat als Judgment Panda en Zirconium, en vanuit China zou opereren. bron: https://www.security.nl

Een kritieke kwetsbaarheid in twee oplossingen van securitybedrijf BeyondTrust kan een ongeauthenticeerde aanvaller op afstand toegang tot het systeem geven. Het beveiligingslek is aanwezig in Remote Support en Privileged Remote Access waarmee organisaties de systemen en telefoons van hun medewerkers kunnen beheren. Het versturen van een speciaal geprepareerde HTTP-request laat een ongeauthenticeerde aanvaller op afstand commando's op het onderliggende systeem uitvoeren waarop de software draait. De kwetsbaarheid heeft nog geen CVE-nummer, maar de impact is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Versies 23.2.1 en 23.2.2 van Remote Support en Privileged Remote Access zijn kwetsbaar. BeyondTrust zal het probleem in versie 23.2.3 verhelpen, maar die is nog niet beschikbaar. In de tussentijd is een patch beschikbaar gemaakt. Het beveiligingsbulletin met informatie is alleen via de klantenportaal beschikbaar. It-journalist Brian Krebs besloot de informatie via Mastodon te delen. bron: https://www.security.nl

Encryptiesoftware VeraCrypt stopt de ondersteuning van TrueCrypt-volumes waardoor de huidige versie de laatste versie is waar binnen TrueCrypt-volumes te gebruiken zijn. Dat heeft ontwikkelaar Mounir Idrassi aangekondigd. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Met VeraCrypt versie 1.0f werd ondersteuning voor TrueCrypt toegevoegd, waardoor het mogelijk was om TrueCrypt-containers en niet-systeempartities naar het VeraCrypt-formaat om te zetten. Na anderhalf jaar verschijnt er binnenkort een nieuwe versie van VeraCrypt waarin de support van verschillende legacy algortimes is verwijderd. Daardoor is het volgens Idrassi ook logisch geworden om de support van TrueCrypt-volumes te verwijderen. VeraCrypt versie 1.25.9 is dan ook de laatste versie die TrueCrypt-volumes ondersteunt. Gebruikers zouden dan ook hun TrueCrypt-volumes moeten omzetten naar VeraCrypt om de data binnen de nieuwe versie te kunnen gebruiken. Wanneer VeraCrypt versie 1.26 precies verschijnt is nog onbekend maar het zou in de komende twee maanden moeten zijn. bron: https://www.security.nl

Google kan vanaf 1 december inactieve accounts gaan verwijderen, zo heeft het techbedrijf vorige week nogmaals aan gebruikers laten weten. Eerder dit jaar maakte Google bekend dat het accounts waar gebruikers twee jaar lang niet op hebben ingelogd kan verwijderen. Volgens het techbedrijf maken "onbeheerde accounts" vaak gebruik van oude of hergebruikte wachtwoorden die mogelijk zijn gecompromitteerd. Tevens claimt Google dat dergelijke accounts vaak geen gebruikmaken van tweefactorauthenticatie (2FA). Op basis van intern onderzoek blijkt dat inactieve accounts minstens tien keer minder vaak 2FA hebben ingesteld dan actieve accounts. Daardoor zouden verlaten accounts een groter risico lopen, aldus Google. Door een aanpassing van het "inactiviteitsbeleid" kan Google accounts die al twee jaar inactief zijn gaan verwijderen, waaronder de inhoud. Het gaat dan bijvoorbeeld om Gmail, Google Workspace en Google Photos waar volgens Google naast het account ook de inhoud van wordt verwijderd. Daarbij noemt Google 1 december als eerste datum waar vanaf het verwijderen kan plaatsvinden. Voordat een account daadwerkelijk wordt verwijderd zullen gebruikers gedurende een periode van verschillende maanden meerdere waarschuwingen ontvangen. Die worden zowel naar het Google-adres als hersteladres gestuurd als dat is ingesteld. Om gebruikers hierop te wijzen stuurde Google vorige week aan gebruikers een e-mail. bron: https://www.security.nl

Thunderbird Sync, een feature voor de e-mailclient waarmee gebruikers hun accountinstellingen op meerdere platformen kunnen synchroniseren, heeft vertraging opgelopen. Dat hebben de ontwikkelaars bekendgemaakt. Onlangs verscheen er een geheel vernieuwde versie van Thunderbird met de codenaam "Supernova". Zo is de gebruikersinterface vernieuwd, alsmede de onderliggende code. Dit moet het eenvoudiger maken om nieuwe features toe te voegen. Eén van de nieuwe features die oorspronkelijk onderdeel van Supernova had moeten zijn was Thunderbird Sync. Daarmee is het mogelijk om accountinstellingen, zoals inloggegevens, signatures, opgeslagen zoekopdrachten, taken, filters en andere instellingen over verschillende Thunderbird-installaties op verschillende platformen te synchroniseren. Zo kunnen gebruikers op de desktop straks hun account eenvoudig binnen Thunderbird for Android gebruiken. Thunderbird Sync is gebaseerd op de code van Firefox Sync, dat Mozilla gebruikt voor het synchroniseren van Firefox-instellingen tussen verschillende installaties en een Firefox Account vereist. Details hierover in het geval van Thunderbird zijn nog niet beschikbaar. Zo zou er mogelijk ook de optie komen voor gebruikers om een eigen Sync-server te draaien. De back-end infrastructuur van Thunderbird Sync staat helemaal los van Firefox Sync. Het zoeken van een Site Reliability Engineer (SRE) voor het opzetten van de infrastructuur heeft echter voor de vertraging gezorgd. Dat is essentieel om de feature te laten werken. Thunderbird heeft nog geen exacte datum wanneer de Sync-feature nu beschikbaar komt, maar er wordt gericht op een release voor de volgende ESR-versie waarop Thunderbird is gebaseerd of anders begin 2024. bron: https://www.security.nl

Canon waarschuwt eigenaren van inkjetprinters dat wifi-wachtwoorden en andere wifi-gegevens tijdens het terugzetten van de standaardinstellingen niet worden verwijderd en in het geheugen van het apparaat kunnen achterblijven. Wanneer de printer wordt weggedaan kunnen deze gegevens in handen van derden komen. Gebruikers die zeker willen weten dat hun gegevens weg zijn moeten twee resets doen. Zowel de zakelijke printers van Canon als die voor eindgebruikers bieden de optie om de instellingen te resetten en zo de standaardwaardes terug te zetten. Volgens Canon kan gevoelige informatie over de wifi-verbinding na deze reset in het geheugen achterblijven. Bij het wegdoen, verkopen, lenen of laten repareren van de printer loopt deze data risico. Om ervoor te zorgen dat de gegevens echt weg zijn adviseert Canon om twee keer een reset uit te voeren. Het probleem speelt bij 140 modellen/series van de inkjetprinters van Canon (pdf). bron: https://www.security.nl

Misschien wat mosterd na de maaltijd: al geprobeerd het toetsenbord met een busje perslucht goed schoon te blazen? En ook al eens goed op een virus gecontroleerd?

Beetje late reactie, was zelf even op vakantie. Eerder meld je dat je weinig bereik hebt. ik denk hier eerder aan een storing plaatselijk bij een van de Duitse masten/providers waardoor je even niet hebt kunnen bellen. Wie weet komt je eigen provider ook met dit antwoord. In ieder geval prettig dat je nu wel weer kunt bellen.

Een logicafout in de firewalls van Cisco zorgen ervoor dat access control lists (ACL's) niet bij een herstart van het apparaat worden geladen. Cisco heeft updates uitgebracht om het probleem te verhelpen. ACL's bepalen het netwerkverkeer van en naar de firewall. Problemen met ACL's kunnen ervoor zorgen dat toegestaan verkeer wordt geblokkeerd en te blokkeren verkeer wordt toegestaan. Volgens Cisco wordt het probleem veroorzaakt door een logicafout die zich voordoet tijdens het programmeren van de ACL's tijdens het opstarten. Afhankelijk van de volgorde in de opstartconfiguratie kan het bij een herstart voorkomen dat bepaalde regels van de ACL's niet worden uitgevoerd. Cisco heeft updates uitgebracht, maar waarschuwt dat het installeren van de updates er niet voor zorgt dat ontbrekende ACL's weer worden hersteld. "Handmatig herstel is noodzakelijk", aldus de netwerkfabrikant. Verder stelt Cisco dat na de hersteloperatie er geen nieuwe objectgroepen aan bestaande ACL-regels moeten worden toegevoegd, omdat hierdoor de configuratie kan stoppen met werken. Cisco zegt niet bekend te zijn met misbruik van het probleem, dat werd ontdekt tijdens het oplossen van een probleem bij een klant. Het probleem is aanwezig in Cisco ASA 9.18 en 9.19 en Cisco FTD 7.2 en 7.3. bron: https://www.security.nl

Meta heeft in Australië een boete van 20 miljoen dollar gekregen voor het misleiden van gebruikers van de Onavo Protect vpn-app. Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst. In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook Israel verzameld, en vervolgens geanonimiseerd, geaggregeerd en gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek. De vpn-app werd tussen februari 2016 en oktober 2017 meer dan 270.000 keer door Australische gebruikers geïnstalleerd. De Australische toezichthouder ACCC stapte naar de rechter, omdat het vond dat gebruikers niet duidelijk werd verteld dat ze Meta hielpen met het gebruik van hun data voor commercieel gewin. Een federale Australische rechtbank heeft nu geoordeeld dat Meta's dochterondernemingen Facebook Israel en Onavo het publiek hebben misleid door niet te melden dat hun gegevens voor andere doeleinden zouden worden gebruikt dan het aanbieden van de vpn-dienst. bron: https://www.security.nl

De makers van de Vivaldi-browser slaan alarm over een nieuw voorstel van Google en spreken zelfs van een "grote bedreiging" voor het open web die bestreden moet worden. Ook Mozilla is tegen het plan omdat het in strijd is met de principes en visie die de Firefox-ontwikkelaar naar eigen zeggen voor het web heeft. Het voorstel waar de browserontwikkelaars over vallen heeft de naam "Web Environment Integrity Explainer" is bedacht door vier Google-engineers. Het biedt websites een API waarmee ze kunnen vertellen dat de browser en platform van bezoekers worden vertrouwd door een derde partij, de "attester". Volgens de Google-engineers moet op deze manier fraude worden voorkomen. Zo kunnen websites controleren dat bezoekers mensen zijn en geen bots. Een van de grootste kritiekpunten is dat de attester bepaalt welke omgevingen zijn te vertrouwen. Zo zou Google Play een attester op Android zijn. Dit houdt in dat Google bepaalt welke browsers op het eigen platform te vertrouwen zijn, aldus Julien Picalausa van Vivaldi. In het geval van Windows verwacht hij dat de beslissing bij de Windows Store komt te liggen en op macOS bij Apple. Edge en Safari zouden dan zeker worden goedgekeurd, maar andere browsers zijn afhankelijk van de drie techbedrijven, stelt Picalausa. Volgens webontwikkelaar Alex Ivanovs kan Googles voorstel ook worden gebruikt om gedrag op het web te controleren. "Sommige critici zijn bang dat het een verborgen introductie van Digital Rights Management (DRM) op webpagina's is, waardoor adblocking zo goed als onmogelijk wordt gemaakt." Hij voegt toe dat de gevolgen van het voorstel voor de privacy van gebruikers en de openheid van het web niet genegeerd mogen worden. Ook Picalausa maakt zich zorgen. "Het is al lang bekend dat de dominantie van Google op de browsermarkt ze de potentie geeft om een existentiële bedreiging voor het web te worden. Met elk slecht idee dat ze hebben geopperd, zoals FLOC, TOPIC en Client Hints, zijn ze dichter bij die potentie gekomen." Eén van de Google-engineers kwam gisteren met een reactie op de ontstane ophef en stelt dat het voorstel niet bedoeld is om bepaalde browsers of extensies uit te zonderen. "Het doel van WEI is om een signaal te bieden dat een apparaat is te vertrouwen, niet om data of signalen over de browser op het apparaat te delen." bron: https://www.security.nl

Organisaties zouden hun medewerkers alleen toegang tot een vpn moeten geven als voor het account multifactorauthenticatie (MFA) is ingeschakeld, zo stelt Cisco. Het netwerkbedrijf hielp in het tweede kwartaal meerdere organisaties en bedrijven die het slachtoffer van een aanval waren geworden. In bijna veertig procent van de incidenten wisten de aanvallers door middel van gestolen inloggegevens van een geldig account binnen te dringen. Hoe de inloggegevens konden worden gestolen kan Cisco niet zeggen. Wel blijkt dat veel van de aanvallen voorkomen hadden kunnen worden als er voor belangrijke diensten gebruik zou zijn gemaakt van MFA. "In bijna veertig procent van de onderzoeken wisten aanvallers inloggegevens te misbruiken om toegang tot geldige accounts te krijgen, waarvan negentig procent geen MFA had ingeschakeld", zegt Nicole Hoffman van Cisco. Bij een aantal aanvallen wisten de aanvallers het gebruik van MFA door middel van "MFA fatigue" te omzeilen. Bij dergelijke aanvallen logt de aanvaller herhaaldelijk in met gestolen inloggegevens, waardoor het slachtoffer allerlei push-notificaties op zijn telefoon ontvangt om de inlogpoging op zijn account goed te keuren en dat uiteindelijk ook doet, waardoor de aanvaller toegang tot het account krijgt. Vanwege het belang van MFA adviseert Cisco om accounts zonder MFA geen vpn-toegang te geven, en het gebruik van de beveiligingsmaatregel naar alle gebruikersaccounts uit te breiden. Tevens wordt aangeraden om een "password audit" op alle accounts uit te voeren, om zo te controleren dat gebruikte wachtwoorden sterk genoeg zijn. bron: https://www.security.nl