Captain Kirk

De Europese privacytoezichthouders verenigd in de EDPB hebben vandaag een bindend besluit over WhatsApp, Facebook en Instagram genomen, wat kan leiden tot een boete van mogelijk twee miljard euro voor moederbedrijf Meta. Het eindoordeel is echter aan de Ierse privacytoezichthouder DPC, die wederom door de Europese privacytoezichthouders werd gecorrigeerd. De besluiten met betrekking tot Facebook en Instagram gaan over de rechtmatigheid en transparantie van het werken van persoonlijke gegevens voor het tonen van gerichte advertenties. In het geval van WhatsApp gaat het over de rechtmatigheid van de gegevensverwerking voor het verbeteren van de dienstverlening. De Ierse toezichthouder leidt het onderzoek naar de drie platforms, aangezien die hun Europees hoofdkantoor in Ierland hebben. Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben gevestigd. Iets wat de DPC ontkent. In gevallen waarbij er sprake is van zaken die meerdere landen raken, legt de leidende autoriteit het onderzoek of boetevoorstel voor aan andere Europese privacytoezichthouders. Die waren het niet eens met de bevindingen van de Ierse toezichthouder. Die stelde vervolgens dat het bezwaar van de andere Europese toezichthouders niet relevant en gemotiveerd was. Daarop werd de EDPB gevraagd om een oordeel te vellen. De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de Autoriteit Persoonsgegevens. De EDPB is tot een bindend besluit gekomen waarin het antwoord geeft of de verwerking van persoonsgegevens door WhatsApp, Instagram en Facebook rechtmatig is, zo laat de Franse toezichthouder CNIL weten. Het is nu aan de Ierse privacytoezichthouder om binnen een maand met drie definitieve besluiten te komen, gebaseerd op de bindende besluiten van de EDPB. Eerder werd de Ierse privacytoezichthouder al door de EDPB gecorrigeerd toen het een boete aan Instagram en WhatsApp wilde opleggen. De Europese privacytoezichthouders vonden die in beide gevallen te laag, waarop de DPC de boetes aanzienlijk moest verhogen. bron: https://www.security.nl

De Nighthawk-router van fabrikant Netgear blijkt standaard verkeerd te geconfigureerd te zijn waardoor diensten zoals ssh en telnet voor heel het internet toegankelijk zijn, terwijl dat eigenlijk alleen vanaf de LAN-kant zou moeten. Netgear heeft een firmware-update beschikbaar gemaakt, maar gebruikers moeten die vanwege een probleem met de automatische updatefunctie handmatig downloaden, zo stelt securitybedrijf Tenable. De misconfiguratie in de router bevindt zich in versies voor versienummer V1.0.9.90 en zorgt ervoor dat onbeperkte communicatie mogelijk is met poorten die via ipv6 op de WAN-poort luisteren. Het gaat dan bijvoorbeeld om ssh en telnet. Daardoor kan een aanvaller deze diensten vanaf het internet benaderen, terwijl die eigenlijk alleen vanaf de LAN-kant toegankelijk zouden moeten zijn. Netgear heeft het probleem in firmware V1.0.9.90 verholpen. In de beschrijving van de update staat alleen dat er kwetsbaarheden zijn verholpen, niet wat die precies inhouden. Daarnaast is er een probleem met de automatische updatefunctie, waardoor de update niet automatisch wordt gedownload. Gebruikers moeten die dan ook handmatig installeren. bron: https://www.security.nl

Microsoft blijft Manifest V2-extensies in Edge zeker tot januari 2024 ondersteunen, zo heeft het techbedrijf aangekondigd. Sinds 11 juli van dit jaar worden nieuwe Manifest V2-extensies echter niet meer geaccepteerd. De manier waarop extensies binnen Edge, Chrome en andere browsers werken staat beschreven in een manifest. Google is druk bezig met de komst van Manifest V3, die onder andere allerlei beperkingen voor adblockers introduceert. Afgelopen september kondigde Google een nieuw tijdlijn voor de Manifest V3-uitrol aan. Zo accepteert de Chrome Web Store geen updates meer voor Manifest V2-extensies. Volgend jaar juni begint Google vervolgens de eerste tests met het uitschakelen van Manifest V2-extensies bij gebruikers. In januari 2024 zullen de nog aanwezige Manifest V2-extensies uit de Web Store worden verwijderd. Microsoft zegt een eigen tijdlijn te hanteren, maar heeft aangegeven Manifest V2-extensies binnen Edge tot januari 2024 te blijven ondersteunen. Wanneer Microsoft echter stopt met het accepteren van updates voor bestaande Manifest V2-extensies is nog niet bekend. Het techbedrijf roept extensie-ontwikkelaars op om zo snel mogelijk naar Manifest V3 te migreren, om zo de impact voor gebruikers te beperken. bron: https://www.security.nl

Meta krijgt van de Ierse privacytoezichthouder DPC mogelijk een boete van meer dan twee miljard euro opgelegd wegens het overtreden van de AVG met Facebook, Instagram en WhatsApp. Het Europees Comité voor gegevensbescherming (EDPB) zal vandaag een beslissing nemen, waarna de Ierse databeschermingsautoriteit binnen een maand met een definitief oordeel komt. Dat laat Politico weten io basis van de EDPB-agenda voor vandaag (pdf). De details en mogelijke hoogte van de boete blijven tot dan geheim. De boetes voor de drie platforms zouden bij elkaar opgeteld meer dan twee miljard euro kunnen zijn, de hoogste AVG-boete die ooit is opgelegd. Politico wijst daarbij ook naar financiële documenten van Meta waaruit blijkt dat het bedrijf voor 2022 en 2023 in totaal drie miljard euro heeft gereserveerd voor privacyboetes in de EU. Mocht de DPC overgaan tot het opleggen van de boete kan Meta nog in beroep gaan. bron: https://www.security.nl

Er is een nieuwe versie van de populaire mediaspeler VLC media player verschenen die meerdere kwetsbaarheden verhelpt, waaronder een beveiligingslek dat remote code execution mogelijk maakt. Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten. VLC 3.0.18 verhelpt meerdere problemen die kunnen leiden tot een denial of service of crashes. Een kwetsbaarheid verdient de meeste aandacht. Wanneer een gebruiker een malafide vnc-link opent kan dit leiden tot een buffer overflow en een aanvaller code op het systeem laten uitvoeren. Gebruikers wordt dan ook aangeraden om naar de nieuwste versie te updaten. Didier Stevens van het Intern Storm Center laat weten dat bij verschillende Windows-versies de updateserver ten onrechte meldt dat er geen nieuwe versie beschikbaar is, waardoor gebruikers met een kwetsbare versie blijven werken. VLC-ontwikkelaar VideoLAN is hierover ingelicht. Gebruikers kunnen de nieuwste versie ook zelf downloaden via VideoLAN.org. bron: https://www.security.nl

Onderzoekers hebben malware ontdekt die bestanden steelt van smartphones die op de besmette computer worden aangesloten. Ook van andere aangesloten apparaten wordt data buitgemaakt. Dat meldt antivirusbedrijf ESET in een analyse. De "Dolphin-malware" wordt toegeschreven aan een spionagegroep genaamd StarCruft, die ook bekendstaat als APT37 of Reaper en zich vooral op Zuid-Korea richt. Eenmaal actief zoekt de malware op harde schijven en usb-sticks naar mediabestanden, documenten, e-mails en certificaten. Ook aangesloten smartphones of andere draagbare apparaten worden doorzocht. Verder slaat de malware toetsaanslagen op, maakt elke dertig seconden een screenshot en kan wachtwoorden en cookies uit de browser stelen. Alle data wordt vervolgens naar Google Drive geüpload. Voor de verspreiding van de malware is gebruikgemaakt van de website van een Zuid-Koreaanse krant gericht op Noord-Korea. De aanvallers wisten daar kwaadaardige code te plaatsen die een exploit bevatte die weer misbruik van een kwetsbaarheid in Internet Explorer maakte. bron: https://www.security.nl

Mozilla en Microsoft vertrouwen nieuwe certificaten van certificaatautoriteit TrustCor niet meer en zullen verschillende rootcertificaten van het bedrijf op den duur uit hun rootstores verwijderen. Aanleiding voor de maatregel zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Begin november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde. Onderzoekers ontdekten eerder dit jaar dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd. Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla. "Certificaatautoriteiten spelen een zeer belangrijke rol in het internetecosysteem en het is onacceptabel voor een certificaatautoriteit om nauw verweven te zijn met een bedrijf dat zich bezighoudt met de verspreiding van malware", zegt Mozillas Kathleen Wilson. Volgens Wilson bevestigen de reacties van TrustCor de zorgen van de Firefox-ontwikkelaar. Daarom is besloten om nieuwe tls-certificaten van TrustCor niet meer te vertrouwen en op den duur de rootcertificaten van TrustCor uit de rootstore te verwijderen. Microsoft zou nieuwe TrustCore-certificaten sinds 1 november niet meer in Edge vertrouwen. bron: https://www.security.nl

Wachtwoordmanager LastPass heeft gebruikers gewaarschuwd voor een beveiligingsincident waarbij aanvallers toegang tot klantgegeven hebben gekregen. LastPass zegt dat het onlangs verdachte activiteit in een third-party cloudopslagdienst ontdekte die het deelt met partner GoTo. De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen. Bij de aanval in augustus werd onder andere broncode en vertrouwelijke technische informatie van LastPass buitgemaakt. De verantwoordelijke aanvaller wist via het systeem van een ontwikkelaar toegang tot de ontwikkelomgeving van de wachtwoordmanager te krijgen. Volgens LastPass zijn de wachtwoorden van gebruikers bij het nu gemelde incident niet in gevaar. Op dit moment wordt de omvang van het datalek en welke informatie precies is gestolen onderzocht. Verdere details zijn niet gegeven. Vanwege de succesvolle inbraak op de ontwikkelomgeving liet LastPass afgelopen augustus weten dat het de beveiliging ging aanscherpen, waaronder extra "endpoint security controls" en monitoring van systemen. Ook in de aankondiging van het nu onthulde datalek wordt gemeld dat het bedrijf beveiligingsmaatregelen en monitoring in de infrastructuur blijft uitrollen, maar exacte details ontbreken. bron: https://www.security.nl

Aanvallers zoeken op grote schaal naar back-ups van WordPress-sites om zo inloggegevens te verkrijgen waarmee de website kan worden overgenomen. Dat stelt securitybedrijf Wordfence dat de afgelopen maand zeventig miljoen pogingen waarnam. WordPress beschikt over het bestand wp-config.php dat onder andere inloggegevens voor de database en secret keys bevat. Informatie in het bestand kan aanvallers helpen om een website over te nemen. Het bestand is standaard binnen WordPress beschermd en niet toegankelijk. Een veelgebruikte methode om een back-up van wp-config.php te maken is door het bestand te kopieren en van een nieuwe extensie te voorzien, zoals .txt, .bak, of .html. Wanneer beheerders dit bestand in de webdirectory achterlaten is het relatief eenvoudig voor aanvallers om deze bestanden te vinden. Dit kan bijvoorbeeld via Google, maar er zijn ook speciale scanners voor. Beheerders wordt dan ook aangeraden om hun back-ups niet in de webdirectory achter te laten. Volgens cijfers van marktvorser W3Techs draait 43 procent van alle websites op internet op WordPress. bron: https://www.security.nl

Een groep aanvallers die zich met cyberspionage bezighoudt maakt gebruik van usb-sticks als primaire infectiemethode, zo waarschuwt securitybedrijf Mandiant. De groep heeft het voorzien op private en publieke organisaties in voornamelijk Zuidoost-Azië, maar ook in Europa en de Verenigde Staten. Ook al bevonden aangevallen organisaties zich in andere locaties, de aanvallen begonnen met het infecteren van computers in de Filipijnen. Hiervoor maakt de groep, door Mandiant aangeduid als UNC4191, gebruik van usb-sticks. De infectie begint wanneer gebruikers handmatig een exe-bestand vanaf de besmette usb-stick laden. Het gaat hier om een legitieme applicatie genaamd USB Network Gate waarmee de aanvallers een malafide dll-bestand op de usb-stick laden. De malware biedt de aanvallers toegang tot het besmette systeem en zal nieuw aangesloten usb-sticks infecteren. Zo verspreiden besmette usb-sticks zich door de aangevallen organisatie en kunnen ook air-gapped machines die niet direct met internet verbonden zijn besmet worden. Mandiant, dat dit jaar voor 5,4 miljard dollar door Google werd overgenomen, denkt dat het hier om een Chinese operatie gaat om toegang tot publieke en private organisaties te krijgen om zo inlichtingen te verzamelen voor de politieke en commerciële belangen van China. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt heeft sinds 2015 meer dan drie miljard gratis tls-certificaten uitgegeven die websites gebruiken voor het opzetten van een versleutelde verbinding en om zichzelf te identificeren. Op dit moment zijn er 310 miljoen websites actief die van een Lets Encrypt-certificaat gebruikmaken. De groei van https lijkt echter af te vlakken. Let's Encrypt heeft een volledig versleuteld web als doel en wil dit bereiken door tls-certificaten gratis uit te geven en de installatie zo eenvoudig mogelijk te maken. Toen de certificaatautoriteit begon was slechts een kwart van de websites via een https-verbinding beschikbaar. Inmiddels is dat meer dan tachtig procent. Hierdoor kunnen miljarden mensen het internet met meer privacy en security gebruiken, stelt Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Hoewel browsers tegenwoordig een waarschuwing laten zien bij het bezoeken van http-sites, blijkt uit cijfers van Let's Encrypt dat het percentage https-sites aan het afvlakken is. Zo maakt ongeveer 93 procent van de websites die Amerikaanse Firefox-gebruikers bezoeken gebruik van https. Een cijfer dat sinds april 2020 niet is veranderd. Wereldwijd gaat het om 82 procent van de websites die Firefox-gebruikers tegenkomen. Een cijfer dat al bijna drie jaar stabiel blijft. bron: https://www.security.nl

De Ierse privacytoezichthouder DPC heeft Meta een AVG-boete van 265 miljoen euro opgelegd wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. Vorig jaar startte de Ierse databeschermingsautoriteit een onderzoek nadat media berichtte over een dataset van 533 miljoen Facebook-gebruikers die op internet werd aangeboden. Het ging om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, in sommige gevallen e-mailadres, relatiestatus en andere informatie. De data was door middel van scraping verzamelt, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen. In april 2021 had de DPC al op basis van gegevens van Facebook aangegeven dat het techbedrijf mogelijk één of meerdere onderdelen van de AVG heeft overtreden of nog altijd overtreedt. Vandaag meldt de DPC dat Facebook artikel 25 (1 en 2) heeft overtreden. Het artikel gaat over gegevensbescherming 'by default en design' en stelt dat verwerkers passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking, maar ook minimale gegevensverwerking. Naast de boete van 265 miljoen euro moet Meta verder binnen een bepaalde tijd corrigerende maatregelen doorvoeren. bron: https://www.security.nl

Europol heeft tijdens een internationale operatie die van mei tot en met november plaatsvond samen met opsporingsdiensten uit 27 landen meer dan 12.500 domeinen offline gehaald wegens het aanbieden van namaakgoederen en online piraterij. Zo werden via de websites onder andere illegaal content van streamingdiensten en televisiezenders aangeboden. Operation In Our Sites vond voor de dertiende keer plaats. Elk jaar gaat Europol samen met andere opsporingsdiensten op zoek naar websites die intellectueel eigendom of handelsmerken schenden. Bij deze editie van de operatie werden onder andere 12.500 websites offline gehaald, 32 servers gebruikt voor de illegale verspreiding van content van ruim tweeduizend televisiezenders uitgeschakeld en gingen vijftien online webwinkels die namaakgoederen op social media aanboden op zwart. Tevens werd er voor 3,8 miljoen euro aan namaakgoederen in beslag genomen. bron: https://www.security.nl

Hou ons op de hoogte. Wanneer je dochter niet op kort termijn kan, is er hier vast wel iemand die je bij kan staan.

Ik heb het topic ook eens goed meegelezen. Ik denk inderdaad ook dat je systeem het Windows niet meer goed kan handelen. Je BSOD komt door een brakke driver die weer veroorzaakt zou kunnen worden door een hadwarestukje wat het Windows niet meer goed kan handelen. Misschien dat alleen een clean install hier nog enige uitkomst zou kunnen bieden. Maar ik zou ook hier adviseren al je privébestanden te zetten naar een backup of 1-op-1 copy naar externe schijf en op zoek te gaan naar een nieuwer systeem.

Het Google Marketing Platform, voorheen bekend als DoubleClick, is de meest actieve tracker op internet, zo stelt antivirusbedrijf Kaspersky op basis van data die het van gebruikers verzamelde. Van de Top 25 trackers die het afgelopen jaar bij gebruikers werden gedetecteerd zijn er vier van Google: Google Analytics, Google AdSense, Google Marketing Platform (DoubleClick) en YouTube Analytics. De antivirussoftware van Kaspersky beschikt over een onderdeel genaamd Do Not Track (DNT) dat webtrackers blokkeert. Gebruikers moeten de optie zelf inschakelen. Kaspersky zegt anonieme data over het gebruik van DNT te verzamelen waarmee het de meest actieve trackers in kaart kan brengen. Google Marketing Platform werd het vaakst aangetroffen. Van alle geblokkeerde webtrackers bij Europese gebruikers is meer dan 21 procent afkomstig van Googles marketingplatform. Google Analytics volgt op een tweede plek met vijftien procent. Een andere actieve trackingpartij in Europa is het Franse advertentiebedrijf Criteo. Zeven procent van de waargenomen trackers waren van dit bedrijf. Daarmee staat het voor Facebook, dat voor vijf procent van de trackers verantwoordelijk is. "Er zijn slechts een paar globale bedrijven die in elke hoek van de wereld gebruikersdata verzamelen", aldus Kaspersky. Volgens de virusbestrijder kunnen internetgebruikers het tracken niet volledig voorkomen, maar alleen de hoeveelheid data beperken die techbedrijven over hen verzamelen. bron: https://www.security.nl

Google heeft voor de achtste keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. De kwetsbaarheid bevindt zich in het GPU-proces van de browser dat wordt het gebruik voor het weergeven van video of graphics op een website. Via het beveiligingslek is een buffer overflow mogelijk. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De zeroday, aangeduid als CVE-2022-4135, werd gevonden door een onderzoeker van Googles eigen Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 107.0.5304.121/.122 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Aan een populaire Google Chrome-extensie voor het spel Roblox met meer dan 200.000 installaties is gisteren malware toegevoegd die wachtwoorden en virtuele goederen van spelers probeert te stelen. Google heeft de extensie inmiddels uit de Chrome Web Store én bij gebruikers verwijderd. Die worden onder andere aangeraden hun wachtwoorden te wijzigen. SearchBlox is een Chrome-extensie voor het zoeken en joinen van Roblox-servers. Meer dan 200.000 spelers installeerden de Chrome-extensie. Gisteren bleek dat er kwaadaardige JavaScript aan de extensie was toegevoegd die onder andere virtuele items van Roblox-spelers automatisch verhandelt en hun inloggegevens steelt. Volgens berichten op Twitter zou de malafide code door de ontwikkelaar van de extensie zijn toegevoegd, maar dat is nog niet bevestigd. Wel zou het account van de extensie-ontwikkelaar op het Roblox-handelsplatform Rolimons wegens verdachte activiteiten zijn opgeheven. bron: https://www.security.nl

Onderzoekers waarschuwen voor een malafide helpdesk die cryptovaluta van slachtoffers steelt. De aanvallers hebben het voorzien op gebruikers van cryptobeurzen en cryptowallets, zo stelt securitybedrijf PIXM. De aanval begint met een phishingpagina waarop gebruikers wordt gevraagd om op hun account in te loggen en de tweefactorauthenticatie (2FA) te doorlopen. De phishingpagina laat vervolgens een foutmelding zien waarbij er binnen de browser een chatvenster van de zogenaamde helpdesk verschijnt. Een "helpdeskmedewerker" vraagt gebruikers in de chat om hun gebruikersnaam, wachtwoord en 2FA-code. Mocht het met deze gegevens niet lukken om op het account van het slachtoffer in te loggen gaan de aanvallers over naar fase drie. Het slachtoffer wordt dan gevraagd TeamViewer te installeren, zodat zijn computer op afstand door de oplichters kan worden overgenomen. Vervolgens vraagt de "helpdeskmedewerker" of het slachtoffer op het e-mailaccount wil inloggen dat aan het exchange- of wallet-account is gekoppeld. Daarna wordt het slachtoffer gevraagd om in te loggen op het crypto-account. De aanvaller, die via TeamViewer controle over de computer heeft, voegt een willekeurig karakter toe wanneer het slachtoffer zijn wachtwoord invult. Hierdoor zal de inlogpoging mislukken. Vervolgens wordt het slachtoffer opnieuw gevraagd om in te loggen, maar dit keer heeft de aanvaller vanaf het systeem van het slachtoffer op de TeamViewer-chat geklikt, waardoor die het wachtwoord in het chatvenster invoert. Met deze gegevens logt de malafide helpdeskmedewerker in. Vaak zal de betreffende cryptodienst een mail naar de gebruiker versturen of die het nieuwe apparaat waarvandaan wordt ingelogd via een aparte link wil bevestigen. De aanvaller gebruikt zijn toegang tot het systeem van het slachtoffer om de bevestigingslink te bemachtigen, zodat er toegang tot het gebruikersaccount kan worden verkregen. Daarna wordt de cryptovaluta gestolen. De zogenaamde helpdeskmedewerker blijft net zolang met het slachtoffer in gesprek totdat de diefstal is afgerond. bron: https://www.security.nl

Criminelen zijn er in geslaagd om in de eerste zeven maanden van dit jaar elfduizend Nederlandse computers met malware te infecteren en zo 675.000 wachtwoorden te stelen. Wereldwijd raakten in totaal 890.000 computers besmet en werden meer dan vijftig miljoen wachtwoorden buitgemaakt. Dat stelt securitybedrijf Group-IB op basis van eigen onderzoek. Onderzoekers van het bedrijf identificeerden 34 bendes die achter de aanvallen zitten en gebruikmaken van bekende malware zoals RedLine en Raccoon Infostealer. Deze malware is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform en Amazon, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden. Naast 675.000 wachtwoorden werden ook gegevens voor 4500 cryptowallets van Nederlandse computers buitgemaakt. De gestolen gegevens worden door de criminelen vervolgens doorverkocht of zelf gebruikt om mee te frauderen. De RedLine-malware is volgens Group-IB het populairst en wordt door 23 van de 34 groepen ingezet. Voor de verspreiding van de wachtwoordstelers maken de aanvallers gebruik van links die ze onder andere plaatsen in reacties op YouTube. Ook wordt de malware toegevoegd aan software of op forums geplaatst. Group-IB adviseert gebruikers om geen software van verdachte bronnen te downloaden, voor de installatie van aparte virtual machines of alternatieve besturingssystemen gebruik te maken, geen wachtwoorden in browsers op te slaan en geregeld cookies uit de browser te verwijderen. Eerder dit jaar wist de Nederlandse politie een Oekraïense man aan te houden die door de Verenigde Staten wordt gezocht en een sleutelrol zou hebben gespeeld bij de verspreiding en ontwikkeling van de Raccoon Infostealer. De malware werd van 2018 tot begin van dit jaar aangeboden als malware-as-a-service of "MaaS". Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald. Update De cijfers over Nederland zijn door Group-IB in een apart rapport aan Security.NL verstrekt. bron: https://www.security.nl

Onderzoekers hebben in de Tailscale-client voor Windows een kritieke kwetsbaarheid ontdekt waardoor aanvallers op afstand systemen kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website is voldoende, er is geen verdere interactie van gebruikers vereiste om remote code execution mogelijk te maken. Tailscale heeft een beveiligingsupdate uitgebracht, maar gebruikers moeten die handmatig installeren, aangezien de software niet over een automatische updatefunctie beschikt. Tailscale is een service voor het opzetten van een mesh vpn. Waar traditionele vpn's al het verkeer via een centrale gateway-server laten lopen, creëert Tailscale een op het WireGuard vpn gebaseerd peer-to-peer mesh-netwerk. De informatie over ip-adressen van nodes op het netwerk, controle van gebruikers, Wireguard public keys en andere zaken voor het netwerk worden door een centraal "control plane" verstuurd. Door middel van dns rebinding is het mogelijk om Windows-clients van Tailscale verbinding met een malafide coördinatieserver te laten maken. Dns rebinding is een techniek waardoor een aanvaller de same-origin policy van de browser kan omzeilen en toegang kan krijgen tot apparaten op het lokale netwerk van de gebruiker. Via de malafide coördinatieserver is het vervolgens mogelijk om de instellingen van de Windows Tailscale-client aan te passen en die een bestand te laten downloaden en uitvoeren, zonder enige interactie van de gebruiker. De kwetsbaarheid, aangeduid als CVE-2022-41924, werd gevonden door onderzoekers Jamie McClymont en Emily Trau. Ze waarschuwden Tailscale op 16 november. Zeven uur na de melding waren de problemen verholpen en ontvingen de onderzoekers een beloning van 10.000 dollar, ook al heeft Tailscale geen bugbountyprogramma voor het belonen van bugmeldingen. Tailscale adviseert gebruikers van de Windows-client om te updaten naar versie 1.32.3. bron: https://www.security.nl

Wel bijzonder. Voor de stichting waar ik onder werk (zowel Primair als Middelbare scholen) zagen we dat Google inderdaad minder toegefelijk is in een overleg dan Microsoft. Met Microsoft hebben wij inmiddels duidelijke afspraken en is de DPIA, het Data Protection Impact Assissment, geregeld. Binnen het netwerk van alle schoolbesturen in Nederland zie je dat dit op meer scholen in Nederland al goed geregeld is of dat men, de scholen en schoolbesturen, er volop mee bezig is.

Franse scholen en onderwijsinstellingen mogen geen gebruikmaken van de gratis versies van Microsoft Office 365 en Google Workspace omdat die niet aan de AVG voldoen en de Schrems II-uitspraak over de doorgifte van persoonsgegevens naar derde landen, zo stelt de Franse minister van Onderwijs Pap NDiaye. Hij reageerde op vragen van Philippe Latombe van de Democratische beweging. Latombe stelde dat Microsoft met gratis oplossingen marktverstorend werkt en zich aan oneerlijke competitie schuldig maakt. Daarnaast heeft de politicus zorgen over de privacy van leerlingen, vanwege de opslag van data in de Amerikaanse cloud. NDiaye stelt dat de gratis versies van Microsoft Office 365 en Google Workspace niet aan de AVG voldoen en het ministerie onderwijsinstellingen heeft gevraagd om hier geen gebruik meer van te maken. De Franse privacytoezichthouder CNIL adviseert het gebruik van oplossingen die wel aan de Europese privacywetgeving voldoen en waarbij geen data naar de Verenigde Staten wordt verstuurd. Eerder besloot een Duitse deelstaat Microsoft Office 365 te verbieden omdat het niet aan de AVG voldoet. Vorig jaar liet toenmalig minister Grapperhaus van Justitie en Veiligheid weten dat er bij het gebruik van Google G Suite en G Suite for Education privacyrisico's zijn waardoor organisaties die de software gebruiken geen of onvoldoende grip houden op wat er met de gegevens van gebruikers gebeurt. bron: https://www.security.nl

Misschien kun je het volgende proberen: ga naar het speakericoontje rechtsonder in je taakbalk klik met de rechter muisknop op het icoontje klik op Geluidsinstellingen openen Er opent zich nu een venster. Bovenin lees je: Uw uitvoerapparaat kiezen kies hier voor uitvoer via je geluidskaart

Onderzoekers zijn er ruim twee jaar geleden in geslaagd om dankzij een kwetsbare encryptiemethode en met behulp van een achthonderd grote cpu-cluster van hostingprovider Digital Ocean de encryptiesleutels van de Zeppelin-ransomware te kraken, zodat slachtoffers sindsdien kosteloos hun data kunnen terugkrijgen. Dat is deze week bekendgemaakt. Afgelopen augustus waarschuwde de FBI organisaties nog voor aanvallen met de Zeppelin-ransomware, die met name tegen medische bedrijven en zorginstellingen is ingezet, maar ook defensiebedrijven, vitale infrastructuur, techbedrijven en onderwijsinstellingen. De Zeppelin-ransomware is sinds eind 2019 actief. Onderzoekers van securitybedrijf Unit 221B ontdekten begin 2020 een kwetsbaarheid in de gebruikte encryptiemethode, waardoor het mogelijk is om door middel van een bruteforce-aanval de decryptiesleutel in een aantal uur te achterhalen. Zeppelin gebruikt drie verschillende encryptiesleutels voor het versleutelen van bestanden. Na de versleuteling worden de public keys van het systeem verwijderd. Het blijkt echter mogelijk om de volledige encryptie ongedaan te maken door een specifieke public key uit het Windows Register te halen en te kraken. "Als we de RSA-512 Public Key uit het register kunnen halen, kunnen we die kraken en de 256-bit AES Key krijgen die de bestanden versleutelt", aldus onderzoekers Lance James en Joel Lathrop. De uitdaging was dat de public key na het versleutelen van alle bestanden van het systeem wordt verwijderd. Het lukte de onderzoekers om door middel van verschillende forensische tools de verwijderde public key veilig te stellen en daarna te kraken. Ze maakten vervolgens een tool die dit proces voor slachtoffers automatiseerde. Hostingprovider Digital Ocean had een cluster van twintig servers beschikbaar gesteld met elk veertig processors om de veilig gestelde keys binnen vier tot zes uur te kraken. Zo konden de onderzoekers allerlei slachtoffers van de Zeppelin-ransomware helpen met het kosteloos terugkrijgen van hun bestanden. Het onderzoek naar de kwetsbare encryptie was begin 2020 al gedeeld met opsporingsdiensten en een selecte groep onderzoekers. Deze week werd het onderzoek voor iedereen openbaar en is het besproken tijdens de Black Hat-conferentie in Riyad Saudi-Arabië besproken. bron: https://www.security.nl