Captain Kirk

Credential stuffing was vorig jaar de meestgebruikte aanvalsmethode tegen WordPress-sites, zo stelt securitybedrijf Wordfence op basis van eigen cijfers (pdf). Verder blijkt dat een groot aantal WordPress-sites niet meer actief wordt beheerd, waardoor 210.000 websites die begin 2022 besmet raakten dat eind vorig jaar nog steeds waren. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op internet op WordPress. Het platform is dan ook een geliefd doelwit van aanvallers. Die maken vooral gebruik van credential stuffing, stelt Wordfence. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Het verschil tussen credential stuffing en andere soorten aanvallen was een factor vier, aldus Wordfence. Andere aanvallen die vaak plaatsvinden is misbruik van kwetsbare plug-ins, het meeliften op al aanwezige malware of het installeren van besmette plug-ins. Het gaat dan om betaalde legitieme plug-ins die door aanvallers worden gedownload, voorzien van malware en vervolgens gratis als download op allerlei fora en websites worden aangeboden. Zodra een WordPress-site besmet is geraakt heeft een aanvaller hier vaak volledige toegang toe. Er zijn echter veel websites die niet meer actief worden beheerd, waardoor de infectie aanwezig blijft. 210.000 WordPress-sites die begin 2022 besmet raakten waren dat eind vorig jaar ook nog steeds. Een toename van zestig procent ten opzichte van 2020. Vaak gaat het om backdoors om toegang tot de site te krijgen en behouden. Andere aanvallers kunnen echter ook misbruik van deze backdoors maken, wat in de praktijk geregeld gebeurt. "De meeste aanvallen die we in 2020 zagen probeerden op een eenvoudige manier binnen te komen, via hergebruikte inloggegevens of door mee te liften op eerdere infecties, en onze cijfers laten zien dat dit een steeds reëlere optie is, aangezien niet meer onderhouden websites met infecties steeds vaker voorkomen", aldus Wordfence. bron: https://www.security.nl

Bij een aanval op GoTo, het moederbedrijf van LastPass dat eerder nog bekendstond als LogMeIn, zijn ook de back-ups van klanten gestolen en de encryptiesleutel om de data te ontsleutelen. Op 30 november meldde LastPass dat een aanvaller toegang had gekregen tot een third-party cloudopslagdienst die het deelt met moederbedrijf GoTo. De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen. Nu bijna twee maanden later meldt GoTo dat versleutelde back-ups van klanten van verschillende diensten zijn gestolen. Het gaat om de zakelijke communicatiettool Central, Pro, meeting-app join.me, vpn-dienst Hamachi en remote access tools RemotelyAnywhere en Pro. Bij de aanval is ook voor een "deel van de versleutelde back-ups" de encryptiesleutel buitgemaakt, waardoor de data is te ontsleutelen. Daardoor zijn gebruikersnamen, gesalte en gehashte wachtwoorden, een deel van de multifactorauthenticatie (MFA) instellingen, productinstellingen en licentiegegevens in handen van de aanvaller gekomen. GoTo zegt dat het op dit moment geen bewijs heeft dat ook andere GoTo-producten zijn getroffen. Naar aanleiding van de datadiefstal gaat GoTo van getroffen klanten de wachtwoorden resetten en hun MFA-instellingen opnieuw autoriseren. bron: https://www.security.nl

Er is dringend actie van privacytoezichthouders vereist tegen cookiebanners die de AVG ondermijnen, zo stelt privacyorganisatie noyb. De organisatie, opgericht door de bekende privacyactivist Max Schrems, verstuurde begin 2021 honderden klachten naar bedrijven over cookiemeldingen die volgens noyb niet aan de regels van de AVG voldoen. De klachten werden automatisch gegenereerd door software die noyb ontwikkelde en verschillende soorten cookiemeldingen kan herkennen. De privacyorganisatie stelt dat veel cookiemeldingen zo zijn opgesteld dat het erg lastig is om op iets anders dan "accepteren" te klikken. Daarbij stelt noyb dat bedrijven ook van "dark patterns" gebruikmaken, waardoor meer dan negentig procent van de gebruikers op accepteren klikt, terwijl uit onderzoek blijkt dat slechts drie procent van de gebruikers daadwerkelijk akkoord wil gaan. "Het frustreren van mensen om op "oké" te klikken is een duidelijke schending van de AVG-regels", aldus Schrems. Het Europees Comité voor gegevensbescherming (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken, startte in 2021 naar aanleiding van de klachten een taskforce over cookiebanners. Uit een eerste conceptrapport van de taskforce blijkt dat de meeste Europese privacytoezichthouders vinden dat het even eenvoudig moet zijn om cookies te weigeren als accepteren. "We zijn erg blij dat de privacytoezichthouders het eens zijn geworden over de minimale bescherming tegen misleidende banners. Cookiebanners zijn het boegbeeld geworden van het ondermijnen van de AVG. De toezichthouders moeten nu dringend actie ondernemen", zegt noyb-advocaat Ala Krinickyte. Er is echter ook kritiek. De toezichthouders zijn het namelijk niet eens geworden over de aanpak van cookiebanners die van dark patterns gebruikmaken. "Over sommige omstreden kwesties is er een oorverdovende stilte van de toezichthouders, bijvoorbeeld over misleidende knoppenkleuren. Er zijn duidelijkere richtlijnen nodig om gebruikers verder te beschermen", aldus Krinickyte. bron: https://www.security.nl

Organisaties die overstappen naar IPv6 lopen extra risico tijdens de overgangsfase waarbij er ook nog van IPv4 gebruik wordt gemaakt, zo waarschuwt de Amerikaanse geheime dienst NSA. Dit komt mede door een gebrek aan ervaring bij systeembeheerders met IPv6, aldus de NSA in een nieuw document met beveiligingsadviezen voor gebruik van het IP-protocol (pdf). Het is al jaren bekend dat het aantal IPv4-adressen beperkt is en de groei van het aantal "connected devices" niet kan ondersteunen. Toch verloopt de overstap naar IPv6 moeizaam. Zo heeft Nederland volgens cijfers van Google een IPv6-adoptie van nog geen dertien procent. Volgens de NSA zijn de beveiligingsproblemen die bij IPv6 om de hoek komen kijken gelijk aan die van IPv4. "Dat wil zeggen, de beveiligingsmethodes gebruikt bij IPv4 moeten ook worden toegepast bij IPv6, met aanpassingen waar nodig voor de verschillen met IPv6", aldus de Amerikaanse geheime dienst in de nieuwe "IPv6 Security Guidance". De grootste beveiligingsproblemen gelinkt aan IPv6 zullen zich voordoen in netwerken waar nog geen gebruik van IPv6 wordt gemaakt of zich in de beginfase van de IPv6-transitie bevinden. Deze netwerken hebben nog geen volwassen IPv6-configuraties en netwerksecuritytools. Daarnaast hebben de betreffende systeembeheerders geen ervaring met het IPv6-protocol, zo laat de NSA verder weten. Een ander probleem waarvoor de geheime dienst waarschuwt zijn "dual stacked" netwerken die IPv4 en IPv6 gelijktijdig draaien, en daardoor met een groter aanvalsoppervlak te maken hebben. Daardoor zijn ook verdere maatregelen vereist om de risico's aan te pakken. "Het beheer van dual stack vergroot de operationele last en het aanvalsoppervlak. Systeemeigenaren en -beheerders zouden beveiligingsmaatregelen voor beide IP-protocollen moeten implementeren om het netwerk te beschermen", aldus de NSA. De Amerikaans geheime dienst stelt dat de kennis van de systeem- en netwerkbeheerders die een IPv6-implementatie configureren en beheren een grote impact heeft op de algehele veiligheid van het netwerk. "Als gevolg kan de daadwerkelijke veiligheid van een IPv6-implementatie verschillen." De NSA doet ook verschillende aanbevelingen om IPv6-netwerken te implementeren en beveiligen, waaronder het gebruik van split domain name system (Split DNS), automatische tunnels en configuraties, het filteren van IPv6-verkeer en het beschermen van de local link. bron: https://www.security.nl

Meta heeft besloten om de test met het standaard end-to-end versleutelen van chatgesprekken verder uit te breiden. Volgens de Amerikaanse techreus zal de komende maanden bij miljoenen gebruikers een deel van de chatgesprekken end-to-end versleuteld plaatsvinden. Daardoor is de inhoud van berichten alleen te lezen door de afzender en ontvanger. Vorig jaar augustus werd end-to-end encryptie bij "sommige" gebruikers uitgerold. Gebruikers van Messenger hebben al de mogelijkheid om end-to-end versleuteld te communiceren, maar moeten dit zelf inschakelen. Meta liet eerder al weten dat het chats standaard end-to-end wil versleutelen en test dat stapsgewijs. Vandaag meldt het bedrijf dat de test verder wordt uitgebreid en miljoenen gebruikers hierbij worden betrokken. Meta claimt dat er van een willekeurig selectieproces gebruik wordt gemaakt, om ervoor te zorgen dat de end-to-end encryptie geen negatieve gevolgen voor de infrastructuur en "chatervaring" heeft. Gekozen gebruikers zullen een melding ontvangen dat end-to-end encryptie voor individuele chatgesprekken is ingeschakeld. "Het ontwikkelen van een veilige en bestendige end-to-end versleutelde dienst voor de miljarden berichten die dagelijks via Messenger worden uitgewisseld vereist zorgvuldig testen", aldus Meta, dat later dit jaar met meer informatie komt. bron: https://www.security.nl

Het bekende e-commerceplatform WooCommerce, alsmede allerlei andere bedrijven en organisaties, hebben, hebben hun gebruikers en klanten gewaarschuwd voor een datalek nadat een aanvaller wist in te breken bij e-mailmarketeer Mailchimp. Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. De afgelopen jaren kreeg Mailchimp met meerdere datalekken te maken. Zo waarschuwde het bedrijf vorig jaar april en augustus ook al voor een inbraak op de systemen. Vorige week bleek dat het weer raak was en dat er voor de derde keer binnen een jaar tijd sprake is van een datalek. Op 11 januari ontdekte Mailchimp dat het een aanvaller was gelukt om toegang tot interne systemen te krijgen. Het gaat om de tools gebruikt voor klantbeheer en klantondersteuning. Daarbij zijn de gegevens van 133 Mailchimp-klanten gecompromitteerd, alsmede de gegevens die deze klanten bij Mailchimp hadden opgeslagen. In veel gevallen gaat het om namen, gebruikersnamen en e-mailadressen. In het geval van WooCommerce gaat het ook om adresgegevens. Naast WooCommerce hebben inmiddels ook de Solana Foundation, Yuga Labs, gokbedrijf FanDuel en online dataplatform Statista melding van een datalek gemaakt. Daarin waarschuwen ze gebruikers om alert te zijn op phishingmails, aangezien die met de gestolen gegevens kunnen worden uitgevoerd. Mailchimp claimt dertien miljoen klanten wereldwijd te hebben. bron: https://www.security.nl

Aanvallers maken gebruik van Microsoft OneNote-bestanden om malware te verspreiden, zo waarschuwen verschillende securitybedrijven. Volgens een onderzoeker wordt deze methode steeds vaker toegepast. Jarenlang werden macro's in Microsoft Office-documenten gebruikt voor het verspreiden van malware. Vorig jaar besloot Microsoft om het uitvoeren van macro's in Microsoft 365 standaard te blokkeren, waardoor het veel lastiger wordt om macro's weer in te schakelen. In een reactie op de macro-blokkade van Microsoft daalde de hoeveelheid macro-malware, zo stelden securitybedrijven en onderzoekers. In plaats daarvan werden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden. Inmiddels worden ook .one-bestanden als aanvalsmethode gebruikt. Het gaat hier om bestanden voor Microsoft OneNote, software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. Vorige maand waarschuwde securitybedrijf TrustWave dat aanvallers malafide .one-bestanden versturen. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers toch te laten klikken maken aanvallers gebruik van dezelfde trucs die ook bij malafide macro's werden toegepast. Zo krijgen gebruikers een "onleesbaar" document te zien. Om dat te bekijken is er een knop toegevoegd. In werkelijkheid gaat het hier om het malafide script dat vervolgens malware installeert voor het stelen van wachtwoorden en andere inloggegevens. Organisaties en gebruikers die geen gebruikmaken van OneNote wordt aangeraden om .one-bestanden zowel in hun e-mailomgeving als het besturingssystemen te blokkeren. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Zoho ManageEngine-producten, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. In totaal zijn 24 verschillende oplossingen van ManageEngine kwetsbaar. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Het beveiligingslek wordt veroorzaakt door een third-party afhankelijkheid van Apache Santuario. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. Een aantal dagen geleden werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt en inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo stelt securitybedrijf Rapid7. Installaties van ManageEngine lopen alleen risico als SAML-gebaseerde single sign-on staat ingeschakeld of ooit ingeschakeld is geweest. Gezien de rol die ManageEngine-producten binnen organisaties spelen worden die opgeroepen om de update zo snel mogelijk te installeren. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op Password Manager Pro in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren. bron: https://www.security.nl

Gameontwikkelaar Riot Games, bekend van het spel League of Legends, is getroffen door een inbraak op de ontwikkelomgeving. Daardoor kan het bedrijf tijdelijk geen nieuwe content uitbrengen, wat gevolgen heeft voor de updates voor de games van het bedrijf. Naast League of Legends, dat afgelopen december in één maand nog 150 miljoen actieve spelers telde, is Riot Games ook verantwoordelijk voor games als Valorant en Legends of Runeterra. Vorige week meldde de gameontwikkelaar via Twitter dat eerder die week de ontwikkelomgeving via social engineering was gecompromitteerd. Details over de aard van de aanval zijn niet gegeven, behalve dat hierdoor tijdelijk geen nieuwe content kan worden uitgebracht, zoals updates voor de verschillende games van Riot Games. De gameontwikkelaar zegt dat het afhankelijk van het onderzoek met meer informatie zal komen, maar heeft sinds de initiële melding op 20 januari geen nieuws verstrekt. bron: https://www.security.nl

Microsoft is een enquête gestart waarin het systeembeheerders vraagt naar hun ervaringen met het updaten van Exchange-servers. Eerder liet het techbedrijf weten dat klanten hadden geklaagd dat ze het lastig vinden om hun Exchange-servers up-to-date te houden. Vorig jaar kondigde Microsoft een aangepast updatebeleid voor Exchange Server aan. In plaats van elk kwartaal krijgt Exchange Server voortaan twee Cumulative Updates per jaar. Cumulative Updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie een bepaalde CU-versie geïnstalleerd hebben. Klanten klaagden bij Microsoft dat het lastig was om hun Exchange Server met een recente CU-versie up-to-date te houden. Met de nu gestarte enquête wil Microsoft weten waar beheerders tegenaan lopen bij het updaten van hun Exchange-servers. Zo wordt gevraagd welke updates op dit moment zijn geïnstalleerd en wat de reden is dat recente updates niet zijn geïnstalleerd. Ook worden beheerders naar andere instellingen gevraagd en op welke wijze ze Exchange-updates installeren. Verder vraagt Microsoft naar suggesties voor het verbeteren van het updateproces. bron: https://www.security.nl

Microsoft is begonnen om via een update te kijken hoeveel gebruikers een versie van Office draaien die niet meer wordt ondersteund of binnenkort end-of-life is. Het gaat dan bijvoorbeeld om Office 2007, Office 2010 en Office 2013. De eerste twee Office-versies worden sinds respectievelijk oktober 2017 en oktober 2020 niet meer door Microsoft ondersteund. Office 2013 ontvangt nog wel beveiligingsupdates, maar hier zal Microsoft op 11 april van dit jaar mee stoppen. Via update (KB5021751) wil het techbedrijf kijken hoe groot het aantal gebruikers is dat met deze Office-versies werkt. Volgens Microsoft wordt de update "stilletjes" uitgevoerd en wordt er niets op het systeem van de gebruiker geïnstalleerd. KB5021751 is beschikbaar via Microsoft Update en kan afhankelijk van de instellingen automatisch worden uitgevoerd. bron: https://www.security.nl

PayPal heeft 35.000 klanten gewaarschuwd dat aanvallers op hun account hebben ingebroken. De "ongeautoriseerde activiteit" deed zich begin december voor, zo blijkt uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine. PayPal zegt in de brief geen aanwijzingen te hebben dat persoonlijke informatie van klanten is misbruikt. Ook zijn er geen ongeautoriseerde transacties met het account waargenomen. Doordat de aanvallers toegang tot account kregen hebben ze mogelijk ook persoonlijke informatie bemachtigd, waaronder naam, adresgegevens, social-securitynummers, belastinggegevens en geboortedatum. Hoe de aanval precies kon plaatsvinden laat PayPal niet weten, maar het bedrijf stelt dat er geen bewijs is dat de gebruikte inloggegevens via systemen van PayPal zijn verkregen. Naar aanleiding van de inbraken heeft PayPal besloten de wachtwoorden van getroffen accounts te resetten. Gebruikers moeten dan ook de volgende keer dat ze inloggen een nieuw wachtwoord instellen. Tevens adviseert PayPal het gebruik van tweestapsverificatie. Getroffen gebruikers kunnen twee jaar lang van identiteitsmonitoring gebruikmaken. Het gaat hier om diensten die waarschuwen wanneer gegevens op internet verschijnen of er identiteitsfraude plaatsvindt. bron: https://www.security.nl

update: donderdag 19 januari De Royal Mail kan ruim een week na de ransomware-aanval waardoor het werd getroffen weer internationale briefpost versturen. Het versturen van pakketten of andere post naar het buitenland waarvoor een douaneaangifte is vereist is nog altijd niet mogelijk. Er wordt inmiddels geëxperimenteerd met een oplossing voor pakketpost, maar Britten worden nog altijd opgeroepen geen internationale pakketten te versturen. Dat laat de Royal Mail in een statusupdate weten. De focus ligt nu op het wegwerken van de grote hoeveelheid pakketten en briefpost die sinds de aanval op 10 januari plaatsvond niet zijn verstuurd en nog altijd in de distributiecentra van de Royal Mail liggen. Het postbedrijf zegt dat het met externe experts, veiligheidsautoriteiten en toezichthouders samenwerkt om de gevolgen van het "cyberincident" op te lossen. Daarbij ligt de nadruk op het herstel van de internationale postbezorging. Het verwerken van inkomende post en pakketten werkt wel, zij het met kleine vertragingen. Hoe de aanval kon plaatsvinden is nog altijd niet bekendgemaakt. bron: https://www.security.nl

WhatsApp krijgt boete van 5,5 miljoen euro voor overtreden AVG De Ierse privacytoezichthouder DPC heeft WhatsApp een boete van 5,5 miljoen euro opgelegd voor het overtreden van de AVG. Er is echter felle kritiek van privacyorganisatie noyb op het onderzoek van de DPC, dat een bindend oordeel van de Europese privacytoezichthouders om het delen van WhatsApp-data binnen Meta te onderzoeken naast zich heeft neergelegd. Toen de AVG in mei 2018 van kracht werd kwam WhatsApp met nieuwe algemene voorwaarden. Gebruikers die de chatapp wilden blijven gebruiken moesten met deze voorwaarden akkoord gaan. Volgens een klacht die over WhatsApp werd ingediend was dit een overtreding van de AVG, omdat de chatapp gebruikers zo dwong om akkoord te gaan met het verwerken van hun gegevens, maar daar is de DPC het niet mee eens. De chatdienst zou alleen onvoldoende duidelijk tegenover gebruikers zijn geweest. Volgens noyb heeft de DPC de kern van de klacht niet onderzocht, namelijk het gebruik van data voor gerichte advertenties, marketingdoeleinden, het delen van informatie met derde partijen en het uitwisselen van data met partnerbedrijven. De Europese privacytoezichthouders, verenigd in de EDPB, hadden de DPC opgedragen dit wel te onderzoeken, maar dat besloot de Ierse privacytoezichthouder niet te doen. In plaats daarvan is het onderzoek en daarmee de zaak beperkt tot alleen het verzamelen van informatie voor veiligheidsdoeleinden en het verbeteren van de dienstverlening. "We zijn verbijsterd dat de DPC de kern van de zaak na een procedure van 4,5 jaar gewoon negeert. De DPC negeert ook heel duidelijk het bindende besluit van de EDPB. Het lijkt erop dat de DPC eindelijk alle banden doorsnijdt met andere Europese privacytoezichthouders en met de eisen van Europese en Ierse wetgeving", zegt privacyactivist en noyb-oprichter Max Schrems. Metadata WhatsApp laat geen gerichte advertenties zien, maar deelt wel "metadata" met Facebook en Instagram, waar het voor gepersonaliseerde reclame wordt gebruikt. Metadata bevat veel informatie over het chatgedrag van gebruikers: wie met wie communiceert, wanneer, hoe lang en hoe vaak. De communicatie mag dan versleuteld zijn, de telefoonnummers en gekoppelde Facebook- en Instagram-accounts worden wel verzameld. Daarmee zijn vervolgens op Facebook en Instagram gerichte advertenties te tonen. "Het lijkt erop dat de DPC heeft geweigerd de kernzaak van de klachten te onderzoeken", aldus noyb. Net als met eerdere onderzoeken waren de andere Europese privacytoezichthouders niet te spreken over het onderzoek van de DPC, dat voor de vierde keer op rij werd gedwongen om aanpassingen door te voeren. Vorig jaar verschenen er nog berichten dat Meta vanwege de overtredingen met Facebook, Instagram en WhatsApp een boete van mogelijk twee miljard euro zou krijgen. De eindsom is nu 395,5 miljoen euro, namelijk 390 miljoen euro voor Facebook en Instagram en 5,5 miljoen euro voor WhatsApp. Gisteren meldde noyb dat de Ierse privacytoezichthouder Meta een cadeautje van 4 miljard euro heeft gegeven. bron: https://www.security.nl

Cookiebanners zonder directe weigerknop zijn in overtreding van de ePrivacyrichtlijn, zo vinden de meeste Europese privacytoezichthouders. Het Europees Comité voor gegevensbescherming (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken, startte in 2021 een taskforce voor klachten over cookiemeldingen. Het gaat dan specifiek om klachten afkomstig van noyb, de door privacyactivist Max Schrems opgerichte organisatie. Noyb verstuurde begin 2021 honderden klachten naar bedrijven over cookiemeldingen die volgens de organisatie niet aan de regels van de AVG voldoen. De klachten werden automatisch gegenereerd door software die noyb ontwikkelde en verschillende soorten cookiemeldingen kan herkennen. De privacyorganisatie stelt dat veel cookiemeldingen zo zijn opgesteld dat het erg lastig is om op iets anders dan "accepteren" te klikken. Daarbij stelt noyb dat bedrijven ook van "dark patterns" gebruikmaken, waardoor meer dan negentig procent van de gebruikers op accepteren klikt, terwijl uit onderzoek blijkt dat slechts drie procent van de gebruikers daadwerkelijk akkoord wil gaan. "Het frustreren van mensen om op "oké" te klikken is een duidelijke schending van de AVG-regels", aldus Schrems. De Cookie Banner Taskforce heeft nu een eerste conceptrapport over de eigen bevindingen gepubliceerd. Dan blijkt dat de meeste Europese privacytoezichthouders vinden dat het even eenvoudig moet zijn om cookies te weigeren als accepteren. Er zijn cookiebanners die op de "eerste laag" alleen een knop bieden om alle cookies te accepteren. Gebruikers die dit niet willen moeten soms meerdere keren klikken om cookies te weigeren. De meeste privacytoezichthouders vinden dat deze cookiebanners in overtreding van de ePrivacyrichtlijn zijn. Daarnaast vinden alle privacytoezichthouders dat vooraf ingevulde vakjes geen geldige toestemming zijn, zoals vereist door de AVG. Verder is ook "misleidend" link-ontwerp waar sommige cookiebanners gebruik van maken niet oké. Het gaat dan om cookiebanners die een grote acceptatieknop hebben, maar in de tekst een link hebben verborgen om cookies te weigeren. Wat betreft het gebruik van dark patterns stellen de toezichthouders dat ze websites geen norm kunnen opleggen als het gaat om kleur of contrast, en moet de betreffende cookiebanner per geval worden bekeken. Met de bevindingen uit het rapport kunnen privacytoezichthouders de klachten die ze over cookiebanners ontvingen verder afronden. bron: https://www.security.nl

NAS-fabrikant QNAP heeft vernieuwde vpn-software voor NAS-apparaten gelanceerd waarmee gebruikers een vpn-verbinding direct naar hun apparaat kunnen opzetten. De nieuwe QVPN Device Client werkt samen met de QVPN-service die op een QNAP-apparaat moet worden gedraaid. Vervolgens kunnen gebruikers via de clientsoftware toegang tot hun NAS krijgen. De QVPN Device Client bevindt zich nog in de bètafase en is alleen beschikbaar voor Windows. Volgens QNAP is de software gebaseerd op een compleet vernieuwde systeemarchitectuur die voor meer compatibiliteit en stabielere vpn-verbindingen moet zorgen. De QVPN Device Client beta is beschikbaar voor Windows 8 en nieuwer. Vorig jaar bleek dat een kwetsbaarheid in de QVPN-service het mogelijk maakte voor aanvallers om QNAP-apparaten op afstand over te nemen. bron: https://www.security.nl

Een ransomware-aanval op de maritieme software van DNV raakt zo'n duizend schepen, zo heeft het bedrijf laten weten. DNV houdt zich onder andere bezig met scheepsclassificatie, offshore classificatie, maritieme adviesdiensten en maritieme software. Het gaat dan specifiek om ShipManager, een vlootmanagementsysteem. Klanten van DNV kunnen zo de technische, operationele en compliance aspecten met betrekking tot scheep- en vlootbeheer overzien. De servers van ShipManager werden op 7 januari getroffen door een ransomware-aanval. Daarop besloot DNV de servers uit te schakelen. Dit heeft als gevolg dat schepen alleen nog de offline functionaliteiten van de ShipManager-software die aan boord is kunnen gebruiken. De online en cloudfunctionaliteit zijn niet beschikbaar. Volgens DNV heeft de ransomware-aanval geen gevolgen voor het functioneren van de schepen. In totaal zijn zeventig klanten met zo'n duizend schepen door de ransomware-aanval getroffen. Al deze klanten zijn inmiddels ingelicht over het nemen van mitigerende maatregelen, afhankelijk van het soort gegevens dat ze naar het ShipManager-platform hadden geüpload. Details over de ransomware-aanval, zoals hoe die kon plaatsvinden, zijn niet gegeven. DNV claimt dat meer dan zevenduizend schepen van driehonderd klanten gebruikmaken van de maritieme software bron: https://www.security.nl

Oracle heeft tijdens de eerste patchronde van 2023 in totaal 327 beveiligingsupdates uitgebracht. De patches zijn onder andere voor kritieke kwetsbaarheden in Oracle Essbase, Oracle Commerce, Oracle Communications, Primavera Gateway, Oracle Financial Services, Oracle Fusion Middleware, Oracle HealthCare, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft, Oracle Siebel, Oracle Support Tools, Oracle Systems en Oracle Utilities. Het gaat om tientallen kwetsbaarheden waarvan de impact op een schaal van 1 tot en met 10 met een 9.9 of 9.8 is beoordeeld. Via dergelijke lekken kan een ongeauthenticeerde aanvaller op afstand systemen overnemen. Eén van de producten met dergelijke beveiligingslekken is Oracle WebLogic Server, dat in het verleden geregeld doelwit van aanvallen is geweest. Bij deze aanvallen werden kwetsbaarheden korte tijd na het uitkomen van de beveiligingsupdates al aangevallen. Oracle stelt dat het geregeld berichten ontvangt van organisaties die succesvol zijn aangevallen omdat ze beschikbare updates niet hadden geïnstalleerd. Het softwarebedrijf roept klanten dan ook op om de nu uitgebrachte patches "zonder vertraging" en "zo snel mogelijk" te installeren. In tegenstelling tot veel andere softwarebedrijven, zoals Adobe en Microsoft die maandelijks met patches komen, brengt Oracle vier keer per jaar beveiligingsupdates uit. De volgende patchronde staat gepland voor 18 april. bron: https://www.security.nl

Onderzoekers hebben op internet twintigduizend vpn-routers van Cisco aangetroffen die een kritieke kwetsbaarheid bevatten. Aangezien de apparaten end-of-life zijn kondigde Cisco eerder al aan het beveiligingslek niet te zullen verhelpen. Een proof-of-concept exploit om misbruik van de kwetsbaarheid te maken is volgens Cisco op internet beschikbaar, maar het netwerkbedrijf heeft nog geen daadwerkelijke aanvallen waargenomen. Het probleem speelt in de RV016, RV042, RV042G en RV082 vpn-routers. Dit is netwerkapparatuur bedoeld voor het mkb. Een kwetsbaarheid in de apparaten (CVE-2023-20025) maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en het apparaat over te nemen. Alleen het versturen van een speciaal geprepareerd http-request naar de webinterface maakt het mogelijk voor een aanvaller om root-toegang tot de router te krijgen. Securitybedrijf Censys voerde een scan uit en ontdekte op internet twintigduizend kwetsbare vpn-routers. Ruim twaalfduizend daarvan zijn de RV042. Het grootste deel van apparaten werd in de Verenigde Staten aangetroffen, gevolgd door Canada en India. Aangezien de routers end-of-life zijn zal Cisco zoals gezegd geen updates uitbrengen om de kwetsbaarheid te verhelpen. Als mitigatie adviseert het netwerkbedrijf om remote management uit te schakelen en toegang tot poorten 443 en 60443 te blokkeren. bron: https://www.security.nl

Het is de FBI gelukt om het ip-adres te achterhalen van iemand die een Tor-website bezocht en de Amerikaanse opsporingsdienst wil niet dat openbaar wordt hoe het dit deed. Dat meldt Vice Magazine. De verdachte in deze zaak werd in mei 2020 aangeklaagd op verdenking van het verlenen van support aan terreurorganisatie IS. De man zou een IS-gerelateerde website op het Tor-netwerk hebben bezocht. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die aanvallen op gebruikers uitvoerden. Tor biedt daarnaast de mogelijkheid voor het hosten van websites, de zogeheten onion-sites, die alleen vanaf het Tor-netwerk toegankelijk zijn. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. Het Tor-netwerk is zo opgezet dat het echte ip-adres van gebruikers niet zomaar te achterhalen is. Toch lukte dit de FBI. De verdachte zou de Tor-website vanaf een ip-adres gekoppeld aan het adres van zijn oma hebben bezocht. De FBI wist ook precies wat de man op de website deed. Advocaten van het ministerie van Justitie willen niet zeggen hoe de opsporingsdienst het adres van de verdachte kon achterhalen en willen ook niet dat dit openbaar wordt. "De overheid weigert informatie over de Tor-operatie te geven", zo laat de advocaat van de verdachte tegenover Vice Magazine weten. De advocaat meldt verder dat de openbaar aanklager erin is geslaagd om zijn verzoek tot meer informatie als een "zeer gevoelig document" te laten bestempelen. In het verleden heeft de FBI websites nagemaakt en zerodaylekken gebruikt om ip-adressen van verdachten te achterhalen. "Er zijn veel verschillende manieren om Tor-gebruikers te de-anonimiseren", laat beveiligingsexpert Bruce Schneier in een reactie op het nieuws weten. Zo sluit Schneier niet uit dat de NSA verantwoordelijk voor de surveillance was en de informatie doorspeelde aan de FBI. bron: https://www.security.nl

Mozilla heeft vandaag Firefox 109 gelanceerd met standaard support voor Manifest V3-extensies, maar zonder dat dit ten koste gaat van adblockers zoals bij Google Chrome het geval is, zo laat de browserontwikkelaar weten. Manifest V3 bevat specificaties waar browser-extensies aan moeten voldoen. Twee jaar geleden kondigde Google Manifest V3 aan. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Volgens Mozilla is het belangrijk om Manifest V3 ook binnen Firefox te ondersteunen, omdat extensie-ontwikkelaars anders twee compleet verschillende versies van hun extensies moeten ondersteunen. Als het echter om privacy en security gaat zijn echter andere keuzes nodig, aldus Mozilla. Daarom heeft de browsreontwikkelaar besloten om te kiezen voor een andere Manifest V3-implementatie binnen Firefox. Hierdoor zouden adblockers ongestoord moeten blijven werken. "Contentblockers zijn superbelangrijk voor privacybewuste Firefox-gebruikers", stelt Mozilla. Adblockers zijn de populairste categorie extensies voor Firefox. "Ze voorkomen niet alleen dat vervelende advertenties je op internet volgen, ze maken ook het browsen sneller en naadloos", gaat Mozilla verder. De browserontwikkelaar stelt dat een derde van de Firefox-gebruikers een extensies heeft geïnstalleerd. "De Manifest V3-implementatie van Firefox zorgt ervoor dat gebruikers de beste privacytools, zoals uBlock Origin en andere contentblockers en privacybeschermende extensies, kunnen blijven gebruiken." Manifest V3-extensies worden standaard in Firefox 109 ondersteund, maar support voor Manifest V2-extensies is vooralsnog ook aanwezig. Updaten naar de nieuwe Firefox-versie kan via de automatische updatefunctie. bron: https://www.security.nl

De Belgische politie adviseert internetgebruikers om adblocker AdBlock te gebruiken, om zo infecties via malafide advertenties te voorkomen. Onlangs adviseerde ook de FBI het gebruik van een adblocker. "Volgens heel wat beveiligingsfirma's neemt de activiteit van de hackers enorm toe. Deze week beschrijven we verschillende methoden die ze gebruiken om zich toegang te verschaffen tot onze gegevens", zo laat de Belgische Federale Politie vandaag weten. Het gaat dan om misbruik van kwetsbaarheden, malware en zwakke wachtwoorden. De Federale Politie geeft vervolgens verschillende tips waarmee internetgebruikers zich kunnen beschermen. "De eerste is het installeren van een advertentieblokker in je browser, omdat de getoonde reclame de installatie van een virus mogelijk maakt. We raden dus AdBlock aan die zeer goed werkt." Verder wordt het gebruik van antivirus- en antispamsoftware aangeraden. AdBlock behoort samen met Adblock Plus, uBlock Origin en AdGuard tot de meestgebruikte adblockers. Recentelijk adviseerde ook de FBI het gebruik van adblockers, specifiek bij het gebruik van online zoekmachines. Aanleiding is het gebruik van advertenties door criminelen voor op het eerste gezicht bekende software en diensten die internetgebruikers in werkelijkheid doorsturen naar malafide websites. bron: https://www.security.nl

De ransomware-aanval op de Royal Mail raakt ook tal van Britse bedrijven, aangezien die al een week lang geen post en pakketten via het Britse postbedrijf kunnen versturen en het ook onbekend is wanneer de dienstverlening wordt hervat. De aanval deed zich op 10 januari voor en heeft voor zover bekend zes magazijnen van Royal Mail geraakt, waaronder het globale distributiecentrum in Heathrow. Bij de aanval zijn de machines versleuteld die worden gebruikt voor het printen van de verzendlabels voor het versturen van pakketten naar internationale bestemmingen. De Royal Mail heeft al dagen geen updates gegeven. Het postbedrijf spreekt nog steeds over een "cyberincident" en roept klanten op om geen post of pakketten naar internationale bestemmingen te sturen. Wanneer de problemen zijn verholpen of workarounds beschikbaar zijn laat Royal Mail niet weten. "Zoals met alle technische problemen moesten we een hoop zaken uitsluiten dat we alleen nauwkeurige informatie deelden", aldus een woordvoerder van het postbedrijf tegenover de BBC. Meerdere media melden dat op meerdere locaties van de Royal Mail de printers losgeldboodschappen van de verantwoordelijke ransomwaregroep printten. Verschillende bedrijven die van het Britse postbedrijf afhankelijk zijn voor het versturen van poststukken doen tegenover de BBC hun verhaal en hekelen vooral het uitblijven van verdere informatie, zodat ze weten waar ze aan toe zijn. Naar schatting bevinden zich een half miljoen pakketten in limbo, waardoor getroffen bedrijven hun klanten nu moeten vergoeden of negatieve recensies op websites krijgen. bron: https://www.security.nl

MSI hanteert op honderden moederborden een onveilige instelling voor Secure Boot, waardoor de feature net zo goed uit had kunnen staan, zo stelt beveiligingsonderzoeker Dawid Potocki. Secure Boot moet ervoor zorgen dat alleen software wordt geladen die de fabrikant vertrouwt. Tijdens het starten van de pc controleert de firmware de digitale handtekening van de bootsoftware, firmware-drivers, EFI-applicaties en het besturingssysteem. Door de controle moet de installatie van bijvoorbeeld rootkits worden voorkomen. MSI heeft in de eigen firmware echter een aanpassing aan Secure Boot doorgevoerd, waardoor het systeem ook bij overtredingen van de Security Boot policy zal starten, zo stelt Potocki. Hierdoor is het mogelijk om elk willekeurig OS-image te laden, ongeacht of die wordt vertrouwd of niet. Het gaat specifiek om de Image Execution Policy, die standaard op altijd uitvoeren staat. Daardoor wordt het systeem ook bij policy-overtredingen gestart. Het probleem zou begin 2021 in de firmware van MSI zijn geïntroduceerd. Potocki stelt dat hij MSI heeft gewaarschuwd, maar geen reactie van de elektronicafabrikant kreeg. Het probleem speelt bij zo'n driehonderd verschillende MSI-moederborden. Gebruikers van een MSI-moederbord wordt aangeraden om bij Image Execution Policy de optie "Always Execute" op "Deny Execute" voor "Removable Media" en "Fixed Media" te zetten. bron: https://www.security.nl

De Royal Mail is nog altijd niet hersteld van de grote ransomware-aanval waardoor het vorige week werd getroffen, wat inhoudt dat het Britse postbedrijf geen internationale post en pakketten kan versturen. The Times meldde afgelopen vrijdag dat een team van meer dan honderd mensen bezig is om een oplossing te vinden, maar de statuspagina van de Royal Mail laat weten dat het nog altijd geen post internationaal kan versturen en roept mensen op om geen pakketten op de post te doen. In totaal zijn zes magazijnen van het postbedrijf getroffen, waaronder het wereldwijde distributiecentrum in Heathrow. De Royal Mail is door de Britse overheid aangewezen als vitale infrastructuur. De aanval is uitgevoerd met de Lockbit-ransomware. Deze groep liet eerder weten dat het geen vitale infrastructuur aanvalt. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Onlangs werd ook het grootste kinderziekenhuis van Canada getroffen door de Lockbit-ransomware. Toen liet de groep weten dat de verantwoordelijke partner de regels had overtreden en kreeg het ziekenhuis een gratis decryptietool. The Record heeft een interview met security-analist Jon DiMaggio, die onderzoek naar de vermeende leider van de Lockbit-groep deed. Hoe de Royal Mail besmet kon raken is niet bekend. bron: https://www.security.nl