Captain Kirk

Cybercriminelen maken gebruik van complexe e-mailroutingscenario's en verkeerd geconfigureerde spoofingbeveiliging om domeinen van organisaties te imiteren, waarschuwt Microsoft. Hierdoor kunnen phishingberichten ondanks maatregelen toch bij werknemers terechtkomen. De aanvalsmethode is niet nieuw, maar wordt sinds mei 2025 vaker waargenomen. De berichten zijn vaak opportunistisch en richten zich op uiteenlopende sectoren. Veelvoorkomende thema's zijn onder meer voicemails, gedeelde documenten, HR-communicatie, wachtwoordresets of verlopen inloggegevens. Microsoft waarschuwt dat indien MX-records niet naar Office 365 wijzen en spoofingbeveiliging niet strikt is afgedwongen, aanvallers phishingberichten kunnen versturen die afkomstig lijken van het eigen domein van de organisatie. De meeste phishingcampagnes die deze methode gebruiken, maken volgens Microsoft deel uit van phishing-as-a-service (PhaaS)-platforms zoals Tycoon2FA. In oktober 2025 blokkeerde Microsoft Defender for Office 365 meer dan 13 miljoen kwaadaardige e-mails gelinkt aan Tycoon2FA, waaronder veel berichten die domeinen van organisaties imiteerden. Deze platforms bieden aanvallers kant-en-klare phishingberichten, infrastructuur en ondersteuning, waaronder adversary-in-the-middle (AiTM)-phishing om multifactorauthenticatie (MFA) te omzeilen. Organisaties kunnen onder meer via e-mailheaders achterhalen dat berichten niet intern zijn verstuurd, maar afkomstig zijn van externe IP-adressen. Andere belangrijke indicatoren zijn SPF-foutmeldingen, fouten bij het DMARC-authenticatieproces of het ontbreken van DKIM. Indien bij een e-mail X-MS-Exchange-Organization-InternalOrgSender op 'True' staat maar X-MS-Exchange-Organization-MessageDirectionality 'Incoming' aangeeft, is dit eveneens een signaal dat e-mails extern zijn verzonden. Microsoft wijst op een aantal maatregelen die organisaties kunnen nemen om zichzelf te beschermen: Configureer spoofingbeveiliging strikt: stel DMARC in op 'reject', SPF op 'hard fail' en configureer DKIM correct. Controleer externe connectors: Zorg dat derden (zoals spamfilters) correct zijn geconfigureerd voor het detecteren van spoofing. Microsoft Defender for Office 365: Schakel Safe Links in voor tijdige URL-scans en Zero-hour auto purge (ZAP) om achteraf kwaadaardige berichten te blokkeren. Implementeer phishing-resistente MFA: Microsoft adviseert het gebruik van FIDO2-beveiligingssleutels, Windows Hello for Business of Microsoft Authenticator-passkeys. bron: https://www.security.nl

Ledger, aanbieder van cryptowallets, waarschuwt voor een security-incident. Onbevoegden hebben via betalingsverwerker Global-e toegang gekregen tot persoonlijke gegevens van Ledger-gebruikers. Het gaat onder meer om namen en contactinformatie. ZachXBT, een crypto investeerder die vaker informatie deelt over crypto-gerelateerde security-incidenten, deelt op X een e-mail die Ledger naar klanten heeft gestuurd. Het bedrijf waarschuwt hierin dat Global-e ongebruikelijke activiteiten heeft gedetecteerd in cloudsystemen van Ledger. De aanbieder van cryptowallets meldt dat het forensische experts heeft ingeschakeld om het incident te onderzoeken. Op basis van dit onderzoek meldt Ledger dat namen en contactinformatie zijn ingezien door onbevoegden. Ledger was eerder ook al doelwit van cyberaanvallen. Zo lekte in juni 2020 meer dan een miljoen e-mailadressen van Ledger-klanten uit via e-commercepartner Shopify. In 2023 werd bijna een half miljoen dollar gestolen van Ledger. In een verklaring aan CoinDesk wijst Ledger erop dat het security incident heeft plaatsgevonden bij Global-e. Het benadrukt dat Global-e geen toegang heeft tot onder meer secrets van klanten of inzicht heeft in hun wallets. bron: https://www.security.nl

WhatsApp neemt maatregelen tegen kwetsbaarheden die device fingerprinting mogelijk maken. Kwaadwillenden kunnen hierdoor minder eenvoudig details over het mobiele apparaat van een beoogd slachtoffer achterhalen. Dit meldt Tal Be'ery, medeoprichter en CTO van Zengo Wallet. Be'ery meldt dat WhatsApp door zijn populariteit een waardevolle tool is voor veel cybercriminelen. Om een slachtoffer succesvol met malware te besmetten, moeten aanvallers bijvoorbeeld vooraf achterhalen welk besturingssysteem hij of zij gebruikt. Zengo Wallet waarschuwde begin 2024 al dat WhatsApp allerlei informatie over het apparaat van zijn gebruikers lekt. De kern van het probleem zit volgens het bedrijf in het end-to-end-encryptieprotocol dat WhatsApp gebruikt. Elk apparaat van een eindgebruiker maakt bijvoorbeeld gebruik van een losstaande sessie die met het apparaat van de verzender is verbonden, waarbij verschillende encryptiesleutels worden gehanteerd. Dit maakt het mogelijk individuele apparaten te identificeren, meldt Zengo Wallet. Ook toonde het bedrijf aan hoe deze sessies gebruikt kunnen worden om aanvallen op een specifiek apparaat te richten. Daarnaast bleek in 2025 dat device fingerprinting mogelijk is, wat aanvallers in staat stelt het exacte besturingssysteem op een apparaat te identificeren. Dit maakt het mogelijk malware aan het slachtoffer af te leveren die specifiek is afgestemd op het apparaat van de gebruiker, wat de slagingskans van de besmettingspoging verhoogt. Be'ery meldt dat WhatsApp nu stilletjes maatregelen neemt om device fingerprinting tegen te gaan. De CTO spreekt van een 'welkome verandering' in de houding van moederbedrijf Meta ten opzichte van device fingerprinting, wat het eerder niet actief aanpakte. Wel meldt Be'ery dat aanvallers op basis van One-Time PK ID nog altijd kunnen achterhalen of apparaten op Android of iOS draaien. bron: https://www.security.nl

Opnieuw is een malwarecampagne ontdekt waarbij malafide boekingswebsites die lijken op bijvoorbeeld Booking.com worden ingezet als lokmiddel om slachtoffers te misleiden. Slachtoffers worden verleid om kwaadaardige PowerShell-commando’s uit te voeren. De campagne maakt gebruik van DCRat, malware die volledige externe toegang mogelijk maakt en secundaire payloads kan installeren. De infectie verloopt via verschillende stappen, meldt securitybedrijf Securonix. Slachtoffers ontvangen een phishingmail met een link naar een nep-Booking.com-pagina, vermomd als een reserveringsannulering. Op de frauduleuze website verschijnt een nep-CAPTCHA-foutmelding. Wie hierop klikt, krijgt een vals Blue Screen of Death (BSOD) te zien. Gebruikers worden vervolgens verleid een kwaadaardig script in het Uitvoeren-venster van Windows te plakken. Het script downloadt een MSBuild-projectbestand (v.proj). MSBuild.exe compileert en voert de ingesloten payload uit. Om detectie te voorkomen schakelt de malware Windows Defender uit en installeert een .url-bestand in de Opstartmap voor blijvende toegang. De uiteindelijke payload is staxs.exe, dat verbinding legt met een command-and-control-server (C2) en een secundaire payload in aspnet_compiler.exe injecteert. De malware kan zichzelf onder meer verstoppen in legitieme processen, toetsaanslagen vastleggen en aanvallers persistente toegang geven tot systemen. Ook kunnen aanvallers met DCRat aanvullende malware installeren op systemen van slachtoffers. De campagne richt zich met name op Europese organisaties in de hospitalitysector. De phishingmails vermelden kamertarieven in euro’s. Het v.proj-bestand bevat Russischtalige code, wat volgens de onderzoekers wijst op banden met Russische dreigingsactoren die DCRat gebruiken. bron: https://www.security.nl

Kwetsbaarheden in een AI-chatbot van treinmaatschappij Eurostar maakten het mogelijk de ingebouwde guardrails te omzeilen. Hierdoor was het onder meer mogelijk cross-site scripting (XSS)-aanvallen uit te voeren en interne prompts van de chatbot te laten uitlekken. De beveiligingsproblemen zijn ontdekt door Pen Test Partners, dat op zijn blog details deelt. De onderzoekers melden dat de API van de AI-chatbot zwakke plekken bevat. Zo controleerde de chatbot uitsluitend het meest recente bericht op veiligheid, maar oudere berichten werden nooit opnieuw geverifieerd. Door in eerste instantie een onschuldig bericht naar de chatbot te sturen en vervolgens later aan te passen, werd dit bericht zonder verdere controle als onschuldig beschouwd. Pen Test Partners meldt het lek via het vulnerability disclosure-programma te hebben gemeld, maar hierop in eerste instantie geen reactie te hebben gekregen. Later bleek dat de meldingen van de onderzoekers verloren waren gegaan bij de migratie naar een nieuwe meldpagina en een nieuw meldproces voor bugs. Ken Munro, managing partner van Pen Test Partners, besloot via LinkedIn contact op te nemen met het hoofd beveiliging van Eurostar. Munro vroeg daarbij Eurostar om een bevestiging dat hun meldingen waren ontvangen. "Sommigen zien dit als afpersing", antwoordde het hoofd beveiliging op deze vraag. "Om te zeggen dat we verrast en verward waren, is een enorme understatement – we hadden in goede trouw een kwetsbaarheid gemeld, werden genegeerd en hebben daarom via een privébericht op LinkedIn geëscaleerd. Volgens mij vereist de definitie van afpersing een dreiging, en die is er natuurlijk nooit geweest. Zo werken wij niet!", schrijft Pen Test Partners. bron: https://www.security.nl

Naast je wachtwoord aanpassen zou ik ook adviseren om de 2FA te activeren. En scan voor de zekerheid je computer eens goed op virussen etc. Eventueel kun je hier aan het team hulp vragen om je pc goed te laten doorlichten. Vervelend. Succes en heb je vragen, je hebt ons inmiddels weten te vinden

Een kwetsbaarheid in Roundcube Webmail maakt het mogelijk voor aanvallers om op afstand e-mailaccounts over te nemen. Beveiligingslekken in RoundCube zijn in het verleden vaker gebruikt bij aanvallen en de Poolse overheid spreekt van een gevaarlijke kwetsbaarheid. Er zijn updates beschikbaar om het probleem te verhelpen. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. Het beveiligingslek (CVE-2025-68461), gevonden door een onderzoeker van securitybedrijf CrowdStrike, betreft een cross-site scripting (XSS) probleem. Het zorgt ervoor dat een aanvaller door het versturen van een e-mail met een speciaal geprepareerd SVG-bestand JavaScript-code in de browser van een gebruiker kan uitvoeren. Zo is het bijvoorbeeld mogelijk om e-mails te stelen of zelfs een e-mailaccount over te nemen, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC). Organisaties worden opgeroepen om te updaten naar versies 1.6.12 en 1.5.12. bron: https://www.security.nl

Onderzoekers hebben verschillende malafide browser-extensies voor Google Chrome, Microsoft Edge en Mozilla Firefox ontdekt die data van online meetings stelen, die bijvoorbeeld via Zoom, Microsoft Teams en Cisco WebEx plaatsvinden. Dat laat securitybedrijf Koi Security weten. De in totaal achttien extensies zijn volgens de onderzoekers bij elkaar meer dan 2,2 miljoen keer gedownload. De extensies doen zich voor als productiviteitstools, zoals videodownloaders, meeting timers en recording assistants. Daarbij bieden deze extensies ook de beloofde functionaliteit. Een van deze extensies, Chrome Audio Capture, telt meer dan 800.000 downloads. De extensies vragen toegang tot meer dan 28 videovergaderplatforms. Zodra gebruikers aan een videovergadering deelnemen worden meeting URL met embedded wachtwoorden, meeting ID's, onderwerpen, omschrijving, tijd en registratiestatus verzameld en naar de aanvallers verstuurd. "De extensies scrapen systematisch professionele informatie van webinar speakers en hosts - namen, functieomschrijving, bio's, profielfoto's en bedrijfsrelaties", aldus de onderzoekers. "Voor elk geregistreerd webinar maken de extensies een professioneel dossier van de sprekers aan. Naast deze personen verzamelen ze bedrijfslogo's, graphics en session timing - waarbij wordt bijgehouden of registraties succesvol of niet succesvol zijn." Het meest verontrustende aspect van de extensies is volgens de onderzoekers niet alleen het verzamelen van de data, maar hoe het wordt teruggestuurd. Dit vindt plaats via een websocket-verbinding voor live streaming. Zo worden de meeting-activiteiten in real-time gestreamd. "Het moment dat je aan een meeting deelneemt, een registratiepagina opent, of naar een videovergaderplatform gaat, gaat die data meteen naar de server van de aanvaller." Volgens de onderzoekers kan de verzamelde informatie voor bedrijfsspionage, 'sales intelligence' en social engineering worden gebruikt. bron: https://www.security.nl

Een besmette tool voor het activeren van Windows, die in de achtergrond cryptovaluta steelt, is wereldwijd zo'n 2,8 miljoen keer gedownload. Dat laat de Zuid-Koreaanse politie weten. Een verdachte die voor de malware verantwoordelijk zou zijn is na een internationaal arrestatiebevel aangehouden en uitgeleverd aan Zuid-Korea. KMSAuto is een tool voor het activeren van illegale Windowsversies. Volgens de Zuid-Koreaanse autoriteiten werd een aangepaste, besmette versie van KMSAuto tussen april 2020 en januari 2023 zo'n 2,8 miljoen keer gedownload. De aangepaste versie was besmet met clipper-malware. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. De verdachte zou op deze manier een miljoen euro aan cryptovaluta hebben gestolen. Verschillende slachtoffers van de malware bevinden zich in Zuid-Korea. Deze personen zouden bij elkaar ruim 9.000 euro aan crypto hebben verloren. Het onderzoek naar de malware leidde naar een Litouwse man. Die werd door de Georgische autoriteiten aangehouden toen hij van Litouwen naar Georgië vloog. Inmiddels is de verdachte aan Zuid-Korea uitgeleverd. Om besmettingen met malware te voorkomen adviseert de Zuid-Koreaanse politie onder andere om geen illegale software te gebruiken. bron: https://www.security.nl

Zo'n 75.000 mogelijk kwetsbare MongoDB-servers, waarvan 1600 in Nederland, zijn toegankelijk vanaf het internet. Daarvoor waarschuwt The Shadowserver Foundation op basis van eigen onderzoek. Na de Australische overheid laat ook de Amerikaanse overheid weten dat aanvallers actief misbruik van een kwetsbaarheid in MongoDB maken, ook bekend als MongoBleed en CVE-2025-14847. Het probleem is al 8 jaar in de code van MongoDB aanwezig. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt voor de opslag van data. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand ongeïnitialiseerd heapgeheugen van de server uitlezen en zo gevoelige informatie als inloggegevens, session tokens en persoonlijke informatie stelen. The Shadowserver Foundation deed onderzoek en detecteerde bijna 79.000 MongoDB-servers die vanaf internet toegankelijk zijn. Van vierduizend servers kon worden vastgesteld dat die de beveiligingsupdate voor CVE-2025-14847 hebben geïnstalleerd. Vanwege de mogelijkheid om patches te backporten, waarbij het versienummer ongewijzigd blijft, valt echter niet met zekerheid te zeggen dat de overige 75.000 kwetsbaar zijn. Van de mogelijk kwetsbare MongoDB-servers bevinden zich er zestienhonderd in Nederland. Het beveiligingslek werd in mei 2017 in MongoDB geïntroduceerd. Volgens software engineer Stanislav Kozlovski is het onbekend of de kwetsbaarheid misbruikt is voordat die bekend werd gemaakt. "Maar gegeven de eenvoud ervan denk ik van wel." bron: https://www.security.nl

De Duitse hackersclub CCC pleit voor een digitale onafhankelijkheidsdag van Big Tech en organiseert het komende jaar allerlei workshops om mensen hierbij te helpen. Tijdens het jaarlijkse congres van de Chaos Computer Club (CCC), het Chaos Communications Congress dat sinds zaterdag in Hamburg plaatsvindt, werd gisteren opgeroepen tot een digitale onafhankelijkheidsdag. Volgens de CCC heeft Big Tech Europa in de houdgreep. Overheden zouden hier echter niets aan willen doen. "WhatsApp, Instagram, X of Facebook zijn miljarden waard. Hun echte waarde zijn wij, de gebruikers", aldus de CCC. De hackersclub merkt op dat ook clouddiensten gebruikersdata steeds vaker als grondstof beschouwen, onder andere om ervoor te zorgen dat gebruikers en organisaties steeds afhankelijker van hen worden. Het overstappen op alternatieven kan echter lastig zijn, mede omdat zoveel mensen van de huidige platforms gebruikmaken. De CCC wil daarom de eerste zondag van elke maand via aangesloten hackerspaces workshops organiseren waarin mensen wordt uitgelegd hoe ze van WhatsApp, Gmail, Windows of commerciële socialmediaplatforms kunnen overstappen. "We laten zien dat alternatieven werken, en we roepen je op om je vrienden en kennissen mee te nemen. Om de boodschap te verspreiden, gebruiken we zowel nieuwe als oude social media om onze ervaringen te delen." bron: https://www.security.nl

Aanvallers maken actief misbruik van een vijf jaar oude kwetsbaarheid in het SSL VPN-onderdeel van FortiOS, zo waarschuwt Fortinet. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en VPN-systemen. Via het beveiligingslek (CVE--2020-12812) kan een aanvaller de ingeschakelde tweefactorauthenticatie (2FA) voor een VPN-account omzeilen. Het probleem doet zich voor wanneer 2FA staat ingeschakeld in de "user local" setting en er een remote authenticatiemethode voor deze gebruiker staat geconfigureerd. Door het wijzigen van de gebruikersnaam kan een aanvaller dan de 2FA omzeilen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Fortinet kwam op 13 juli 2020 met een beveiligingsbulletin voor de kwetsbaarheid en maakte het bestaan van beveiligingsupdates bekend. In 2021 waarschuwden de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) voor misbruik van het beveiligingslek, ook al waren patches al meer dan een jaar beschikbaar. Een aantal dagen geleden meldde Fortinet dat aanvallers de kwetsbaarheid nog altijd bij aanvallen inzetten. Het gaat daarbij om configuraties die gebruikmaken van LDAP. Details over de aanvallen zelf, zoals getroffen organisaties en de aard van de aanvallen, geeft Fortinet niet. Wel beschrijft het securitybedrijf in welke gevallen de aanvallen mogelijk zijn en benoemt daarbij ook dat een beveiligingsupdate al meer dan vijf jaar beschikbaar is. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om de officiële website van teksteditor EmEditor te compromitteren en vervolgens een besmette versie te verspreiden. Deze versie bevatte infostealer-malware, die allerlei wachtwoorden en andere inloggegevens van systemen steelt, alsmede een malafide browser-extensie installeert. Volgens softwarebedrijf Emurasoft, ontwikkelaar van EmEditor, werd de besmette versie van 19 tot en met 22 december via de officiële website aangeboden. Gebruikers die in deze periode de software hebben gedownload wordt aangeraden om te controleren of ze inderdaad de besmette versie hebben gedownload. Wanneer dit het geval is moet het systeem direct van het netwerk worden losgekoppeld. Vervolgens moet er een virusscan worden uitgevoerd. Afhankelijk van de situatie adviseert Emurasoft om het systeem opnieuw te installeren. Vanwege de kans op gestolen wachtwoorden wordt aangeraden om alle op het systeem opgeslagen inloggegevens te wijzigen. Zakelijke gebruikers krijgen het advies om contact met hun interne securityteam op te nemen en waar mogelijk relevante logbestanden te bewaren. Hoe de aanvallers de website van het softwarebedrijf konden compromitteren is niet bekendgemaakt. Securitybedrijf Qianxin meldt dat zowel organisaties als overheden door de malware zijn getroffen. Veel van de slachtoffers zouden zich in China bevinden. De malware steelt informatie over het systeem en inloggegevens van onder andere Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Skype, LiveChat, MSTeams, Zoom, WinSCP, PuTTY, Steam en Telegram. De malware kan ook screenshots van het scherm maken en toetsaanslagen opslaan. Daarnaast installeert de malware een malafide browser-extensie genaamd "Google Drive Caching". Deze extensie kan bookmarks, cookies, wachtwoorden en informatie over bezochte websites stelen. Tevens fungeert de extensie ook als clipper-malware. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. Hoe vaak de besmette versie gedownload is, is niet bekendgemaakt. bron: https://www.security.nl

Aanvallers maken wereldwijd actief misbruik van een kwetsbaarheid in MongoDB, waarvoor een aantal dagen geleden een beveiligingsupdate verscheen, zo laat het Australische Cyber Security Centre (ACSC) weten. Via het beveiligingslek, aangeduid als CVE-2025-14847 en MongoBleed, kan een aanvaller gevoelige informatie uit het geheugen van servers stelen, zoals inloggegevens, session tokens en persoonlijke informatie. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt voor de opslag van data. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand ongeïnitialiseerd heapgeheugen van de server uitlezen. Het probleem wordt veroorzaakt door het niet goed verwerken van lengteparameters in Zlib-gecomprimeerde protocolheaders. Volgens securitybedrijf Censys zijn 87.000 kwetsbare MongoDB-servers op internet te vinden. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) waarschuwde afgelopen weekend dat het misbruik van het beveiligingslek verwachtte, aangezien proof-of-concept exploitcode online was verschenen. Volgens het ACSC vindt dat inmiddels op wereldwijde schaal plaats. De Australische overheidsinstantie roept organisaties en beheerders op om hun MongoDB-installaties te patchen en te onderzoeken of die niet zijn gecompromitteerd. bron: https://www.security.nl

Verplichte online leeftijdsverificatie en een totaalverbod op social media en andere websites zijn geen oplossing voor complexe maatschappelijke problemen en lossen ook de onderliggende problemen bij online platforms niet op, zo stelt Mozilla. Onlangs voerde de Australische overheid een socialmediaverbod in, waardoor iedereen die een account op een reeks websites wil aanmaken zijn leeftijd moet laten verifiëren. Daarnaast is het verboden om onder de 16 jaar een account op deze websites te hebben. Volgens Mozilla gaat het om een botte en disproportionele aanpak van de Australische overheid die ook nog eens een verkeerd signaal uitzendt, namelijk dat online leeftijdsverificatie een wondermiddel is. "Australische wetgeving biedt bijna geen richtlijnen hoe serviceproviders privacy, security en de robuustheid van leeftijdsverificatietechnologieën moeten balanceren bij het uitvoeren van leeftijdscontroles. Providers hebben dus geen andere keuze dan te kiezen uit slechte opties", aldus Mozilla. In het Verenigd Koninkrijk is eerder dit jaar al online leeftijdsverificatie voor allerlei websites verplicht gesteld. Britse gebruikers hebben daardoor allerlei gevoelige data aan tal van nieuw opgerichte leeftijdsverificatie-aanbieders moeten verstrekken. "Deze partijen vragen om allerlei informatie en geven weinig rekenschap of transparantie over de manier waarop ze met gegevens omgaan", merkt Mozilla op. In plaats van toegang tot bepaalde online platforms te verbieden, zouden beleidsmakers zich moeten richten op het verhelpen van de systemische problemen die online spelen, zoals het niet goed modereren van content, onverantwoord omgaan met data en verslavende ontwerpen. Ook wordt met dergelijk beleid het recht van jongeren beperkt om zich online te kunnen uiten, gaat Mozilla verder. "De Australische aanpak zendt een zorgwekkende boodschap uit: dat verplichte leeftijdsverificatie en totaalverboden een wondermiddel zijn voor complexe maatschappelijke uitdagingen, ongeacht hun gevolgen voor fundamentele rechten op internet", aldus Mozilla. Dat stelt dat politici ervoor moeten zorgen dat de problemen met social media, waardoor de privacy, het welzijn en de veiligheid van alle gebruikers risico lopen, worden aangepakt, in plaats van jongeren te verbieden om bepaalde platforms te gebruiken. bron: https://www.security.nl

De Belgische telecomprovider Proximus heeft de persoonlijke gegevens van een onbekend aantal klanten gelekt. Volgens het bedrijf heeft een medewerker van een partner op een niet geautoriseerde manier en "op grote schaal", de Proximus-klantendatabase benaderd. De medewerker kon zo voornaam, achternaam, adres, e-mailadres, geboortedatum en telefoonnummer van een onbekend aantal klanten raadplegen. Proximus merkt op dat het onderzoek naar de volledige omvang van het incident nog gaande is. "In dit stadium, en zolang het onderzoek loopt, kan Proximus geen verdere details over het incident geven", aldus de telecomprovider. Die stelt dat de gestolen gegevens gebruikt kunnen worden door fraudeurs, die zich bijvoorbeeld voordoen als medewerker van Proximus of een ander bedrijf. In het verleden zijn bijvoorbeeld klantgegevens gestolen bij energiebedrijven gebruikt voor bankhelpdeskfraude. Klanten hoeven volgens Proximus geen actie te ondernemen. "Je moet gewoon waakzaam blijven voor verdachte activiteiten." bron: https://www.security.nl

De Europese Unie mag de komende zes jaar persoonsgegevens met het Verenigd Koninkrijk uitwisselen. De Europese Commissie heeft twee adequaatheidsbesluiten die dit mogelijk maken verlengd tot 27 december 2031. Voor de doorgifte van persoonsgegevens vanuit de EU naar landen buiten de Europese Economische Ruimte (EER) gelden aparte regels. Wanneer een land in de nationale wetgeving een passend beschermingsniveau neemt kan de Europese Commissie een adequaatheidsbesluit nemen. Brussel stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Voor het Verenigd Koninkrijk werd in 2021 een adequaatheidsbesluit genomen. Dit besluit was tijdelijk, in afwachting op nieuwe privacywetgeving in het VK. Er werd in oktober 2024 een wetsvoorstel gepresenteerd, maar de Britten had dat nog niet aangenomen. Daarom was het volgens de Europese privacytoezichthouders eerder dit jaar nodig om het adequaatheidsbesluit tijdelijk met zes maanden te verlengen, tot 27 december dit jaar. Dit zou volgens de privacytoezichthouders de Europese Commissie voldoende tijd moeten geven om de Britse privacywetgeving te beoordelen zodra die is aangenomen. Brussel zegt dat het de afgelopen maanden de wetgeving in het VK heeft onderzocht en dat die waarborgen biedt die gelijkwaardig zijn aan die van de EU. Daarop is besloten om de twee adequaatheidsbesluiten voor een periode van zes jaar te verlengen, met de mogelijkheid om de besluiten na deze periode opnieuw te verlengen. bron: https://www.security.nl

AI-browsers zullen mogelijk altijd kwetsbaar voor prompt injection-aanvallen blijven, zo stelt OpenAI. Eerder liet ook het Britse National Cyber Security Centre (NCSC) weten dat er mogelijk geen oplossing is voor dergelijke aanvallen tegen AI-systemen. Bij prompt injection weet een aanvaller door middel van één of meerdere specifieke opdrachten een AI-systeem informatie te laten geven, of acties uit te voeren, dat het eigenlijk niet zou moeten geven of doen. OpenAI publiceerde gisteren een blogposting over maatregelen die het in ChatGPT Atlas toepast, de AI-browser van het bedrijf. "We beschouwen prompt-injection als een langetermijnuitdaging voor AI-security, en we moeten continu onze verdediging er tegen versterken (net zoals bij scams die het op mensen hebben voorzien en zich continu blijven ontwikkelen)." AI-browsers kunnen automatisch allerlei acties voor gebruikers uitvoeren. Malafide instructies kunnen echter vervelende gevolgen hebben. Zo lieten onderzoekers eerder zien hoe ze de AI-browser van Perplexity via een phishingmail op een phishingsite konden laten inloggen. OpenAI verwacht dat aanvallers zich zullen aanpassen op de beveiligingsmaatregelen die aan AI-browsers worden toegevoegd. "Prompt-injection, net zoals scams en social engineering op het web, zullen waarschijnlijk nooit echt "opgelost" worden", benadrukt het bedrijf. "Voor dagelijks gebruik bieden agentic browsers nog niet genoeg waarde om hun huidige risicoprofiel te rechtvaardigen", zegt Rami McCarthy van securitybedrijf Wiz tegenover TechCrunch. "Het risico is hoog gezien hun toegang tot gevoelige data zoals e-mail- en betaalinformatie, ook al is die toegang juist wat ze zo krachtig maakt. Die balans zal zich ontwikkelen, maar op dit moment is de afweging nog steeds zeer reëel." bron: https://www.security.nl

Ruim 117.000 firewalls van fabrikant WatchGuard, waaronder zo'n 1800 in Nederland, bevatten een kritieke kwetsbaarheid waar aanvallers actief misbruik van maken om de apparaten volledig over te nemen, dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Een beveiligingsupdate voor het probleem (CVE-2025-14733) is sinds 18 december beschikbaar. De Out-of-bounds Write kwetsbaarheid in Fireware OS, het besturingssysteem van de firewalls, maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige code op de apparaten uit te voeren. Bij het uitbrengen van het beveiligingsbulletin en de updates maakte WatchGuard bekend dat aanvallers misbruik van het lek maken. Sinds wanneer dit gebeurt liet het securitybedrijf niet weten. Wel zijn Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of hun firewall is gecompromitteerd. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet en voert daarvoor geregeld online scans uit. Bij de laatste scan werd gekeken naar kwetsbare WatchGuard-firewalls. Dit leverde op 20 december bijna 125.000 kwetsbare firewalls op. Dat aantal daalde gisteren naar ruim 117.000 wereldwijd, waarvan 1800 in Nederland. Dat aantal is ten opzichte van 20 december niet echt veranderd. De meeste kwetsbare firewalls werden in de Verenigde Staten, Duitsland en Italië waargenomen. In september kwam WatchGuard met beveiligingsupdates voor een identieke kwetsbaarheid (CVE-2025-9242), waarvoor het precies dezelfde omschrijving. Een aantal weken na het uitkomen van de update voor CVE-2025-9242 bleek dat 76.000 firewalls die nog altijd niet hadden geïnstalleerd. bron: https://www.security.nl

Zeker 25.000 Fortinet-apparaten met FortiCloud SSO, waarvan bijna vierhonderd in Nederland, zijn toegankelijk vanaf het internet en lopen daarmee risico om te worden aangevallen, aldus The Shadowserver Foundation op basis van eigen onderzoek. Aanvallers maken op dit moment actief misbruik van twee kritieke FortiCloud SSO-gerelateerde kwetsbaarheden voor het aanvallen van Fortinet-apparaten. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. Volgens Fortinet wordt een cryptografische handtekening bij het gebruik van de FortiCloud SSO login niet goed gecontroleerd. Via een speciaal geprepareerde SAML message kan een aanvaller de FortiCloud SSO login authenticatie omzeilen, als deze feature op het systeem staat ingeschakeld. De kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen, zo liet het Nationaal Cyber Security Centrum (NCSC) vorige week weten. Fortinet heeft beveiligingsupdates voor FortiOS, FortiProxy, FortiSwitchManager en FortiWeb uitgebracht om de problemen (CVE-2025-59718 en CVE-2025-59719) te verhelpen. Eerder deze week meldde securitybedrijf Arctic Wolf dat aanvallers de beveiligingslekken drie dagen na het uitkomen van de patches al hebben gebruikt bij aanvallen. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het deed een online scan naar Fortinet-apparaten met FortiCloud SSO die vanaf het internet toegankelijk zijn. De scan leverde meer dan 25.000 ip-adressen op, waarvan bijna vierhonderd in Nederland. De onderzoekers merken op dat dit niet wil zeggen dat al deze systemen ook kwetsbaar zijn. Wel gaat de stichting organisaties van wie de systemen online toegankelijk zijn waarschuwen om de updates voor CVE-2025-59718 en CVE-2025-59719 te installeren of te verifiëren dat dit is gedaan. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. bron: https://www.security.nl

Firewall-leverancier WatchGuard waarschuwt voor een actief misbruikte kwetsbaarheid in de firewalls die het levert. Er zijn gisteren beveiligingsupdates uitgebracht om het probleem te verhelpen. Sinds wanneer de aanvallen plaatsvinden is niet bekendgemaakt. Wel heeft WatchGuard Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of hun firewall is gecompromitteerd. De Out-of-bounds Write kwetsbaarheid in Fireware OS, het besturingssysteem van de firewalls, maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige code op de apparaten uit te voeren. "De kwetsbaarheid raakt zowel de mobile user VPN met IKEv2 en de branch office VPN die van IKEv2 gebruikmaakt wanneer die met een dynamic gateway peer is geconfigureerd", aldus het beveiligingsbulletin. "Als de Firebox eerder was geconfigureerd met de mobile user VPN met IKEv2 of een branch office VPN gebruikmakend van IKEv2 naar een dynamic gateway peer, en beide configuraties zijn sindsdien verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een branch office VPN naar een static gateway peer nog steeds geconfigureerd is." De impact van de kwetsbaarheid (CVE-2025-14733) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Daarbij moet worden gemeld dat ook Fireware OS versie 11.x kwetsbaar is, maar deze versie is end-of-life en heeft geen update ontvangen. In september kwam WatchGuard met beveiligingsupdates voor een identieke kwetsbaarheid (CVE-2025-9242), waarvoor het precies dezelfde omschrijving en impactscore hanteerde. Een aantal weken na het uitkomen van de update voor CVE-2025-9242 bleek dat 76.000 firewalls die niet hadden geïnstalleerd. bron: https://www.security.nl

Twee medewerkers van cybersecuritybedrijven hebben bekend dat ze ransomware-aanvallen op organisaties hebben uitgevoerd, waarbij ze meer dan een miljoen dollar aan losgeld ontvingen. In de zaak worden drie personen verdacht. Volgens de openbaar aanklager werkten de mannen samen met een ransomwaregroep genaamd BlackCat, ook bekend als ALPHV. De drie zouden vijf ransomware-aanvallen hebben uitgevoerd, waarbij één van de slachtoffers, een medisch bedrijf, uiteindelijk losgeld betaalde. Twee van de verdachten waren werkzaam voor een bedrijf dat voor slachtoffers van ransomware-aanvallen met de verantwoordelijke criminelen onderhandelt. Volgens Bloomberg hebben nu twee van de verdachten schuld bekend en laten weten dat ze zich jarenlang hebben beziggehouden met het aanvallen en afpersen van bedrijven. Het gaat om een incident response supervisor en een ransomware-onderhandelaar. De verdachten kunnen indien schuldig bevonden worden veroordeeld tot gevangenisstraffen van tientallen jaren. Blackcat hanteerde een 'ransomware-as-a-service' (RaaS) model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De groep zou zichzelf vorig jaar maart via een 'exit scam' hebben opgeheven. bron: https://www.security.nl

Firefox krijgt een optie om alle AI-features binnen de browser uit te schakelen. Intern noemen ontwikkelaars het de "AI-killswitch". Dat laat het ontwikkelteam via X weten. De AI-features binnen de browser zullen daarnaast opt-in zijn. Een aantal dagen geleden maakte de nieuwe ceo van Mozilla bekend dat Firefox zal veranderen in een "moderne AI-browser". De aankondiging zorgde voor meer dan drieduizend reacties op een Reddit-thread, waar veel gebruikers hun ongenoegen uitten. De ceo benadrukte in de aankondiging dat AI altijd een keuze moet zijn, maar veel gebruikers zijn hier niet gerust over. Gisteren maakte het Firefox-ontwikkelteam bekend dat de browser zal worden voorzien van een optie om alle AI-features uit te schakelen. "Intern noemen we het de AI-killswitch. Het zal onder een minder heftige naam beschikbaar komen, maar het laat zien hoe serieus we dit nemen." "Alle AI-features zullen ook opt-in zijn. Ik denk dat er sommige grijze gebieden zijn wat 'opt-in inhoudt voor verschillende mensen, maar de killswitch zal dat allemaal verwijderen en nooit meer laten zien", zo laat het ontwikkelteam verder weten. Dat hoopt dat Firefox het vertrouwen van gebruikers als het om AI gaat kan winnen of terugwinnen. bron: https://www.security.nl

Een kritiek beveiligingslek in FreeBSD maakt remote code execution mogelijk, waarbij een aanvaller in hetzelfde netwerksegment moet zitten als het doelwit. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2025-14558) doet zich voor bij het verwerken van router advertisement (RA) packets die onderdeel zijn van het IPv6 stateless address autoconfiguration (SLAAC) mechanisme. SLAAC zorgt ervoor dat clients op het netwerk hun eigen ip-adres en gateway kunnen instellen, zonder dat hiervoor een DHCP-server is vereist. Wanneer een client online komt stuurt die een Router Solicitation bericht. Een router in het netwerk zal vervolgens met een RA-bericht antwoorden. Dit bericht bevat onder andere informatie over de te gebruiken gateway en dns-servers. Twee programma's binnen FreeBSD zijn verantwoordelijk voor het verwerken van de RA-packets. Deze programma's blijken de inhoud van de RA-berichten niet goed te valideren. De programma's geven de inhoud onaangepast door aan een shell-script binnen FreeBSD. Een aanvaller kan hier misbruik van maken door een RA-bericht te versturen met daarin een shell-commando dat vervolgens onaangepast door het shell-script op het FreeBSD-systeem van het doelwit wordt uitgevoerd. Om een dergelijk RA-bericht te kunnen versturen moeten de aanvaller en het slachtoffer wel op hetzelfde netwerksegment zitten. Securitybedrijf Tenable heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gebruikers die geen IPv6 gebruiken en IPv6-gebruikers van wie het FreeBSD-systeem geen RA-berichten accepteert lopen geen risico om te worden aangevallen. Alle FreeBSD-gebruikers worden echter opgeroepen om de beveiligingsupdate te installeren. bron: https://www.security.nl

Softwarebedrijf Ivanti heeft een beveiligingsupdate uitgebracht voor een kritieke cross-site scripting (XSS) kwetsbaarheid in Endpoint Manager (EPM) waardoor een ongeauthenticeerde aanvaller op afstand willekeurige JavaScript-code in de sessie van een ingelogde administrator kan uitvoeren. De impact van het beveiligingslek (CVE-2025-10573) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Via Ivanti Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan dan ook vergaande gevolgen hebben. Ivanti EPM is in het verleden meerdere keren doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was. Via de JavaScript-code die een aanvaller via CVE-2025-10573 kan uitvoeren, is het mogelijk om allerlei acties binnen de EPM-omgeving uit te voeren. Volgens Ivanti zijn er geen aanwijzingen bekend dat aanvallers actief misbruik van CVE-2025-10573 maken. Misbruik van het Stored XSS-lek vereist interactie van gebruikers, maar verdere informatie wordt niet door Ivanti gegeven. De kwetsbaarheid werd gevonden door securitybedrijf Rapid7, dat meer informatie over het probleem heeft. Volgens Rapid7 kan een aanvaller via het lek de sessie van de ingelogde administrator overnemen. Om de malafide XSS-code in het web dashboard van de administrator te krijgen volstaat het versturen van een zogenaamde 'device scan'. Ivanti EPM biedt een API waarmee het informatie van gescande apparaten verwerkt. Een ongeauthenticeerde aanvaller kan aan deze API een speciaal geprepareerde scan aanbieden, inclusief de XSS-code, die automatisch wordt verwerkt en de onveilige code vervolgens in het dashboard van een ingelogde admin uitvoert. De enige vereist is dat de admin de pagina met apparaatinformatie bekijkt. bron: https://www.security.nl