Captain Kirk

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Erlang Erlang/OTP SSH Server, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De impact van het beveiligingslek (CVE-2025-32433) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Erlang is een programmeertaal en OTP is een verzameling Erlang libraries. Erlang/OTP biedt een ingebouwde SSH client en daemon. Het Secure Shell Protocol (SSH Protocol) is een protocol dat gebruikers op een beveiligde manier op bijvoorbeeld servers laat inloggen of op afstand machines beheren. Het beveiligingslek bevindt zich in het verwerken van SSH-protocolberichten. Hierdoor kan een aanvaller ongeautoriseerde toegang tot kwetsbare SSH-servers krijgen en zonder geldige inloggegevens willekeurige commando's op de server uitvoeren. Verschillende leveranciers en producten maken gebruik van Erlang/OTP SSH Server, waaronder Cisco. Updates voor het probleem zijn sinds april beschikbaar. Eerder waarschuwde securitybedrijf Horizon3 al dat misbruik van het beveiligingslek eenvoudig is. Het. Securitybedrijf Qualys berichtte eind april dat er meer dan twee miljoen publiek beschikbare doelwitten zijn. Volgens het CISA vindt misbruik nu ook plaats, maar het Amerikaanse cyberagentschap geeft geen details over de waargenomen aanvallen. bron: https://www.security.nl

Wereldwijd zijn er ruim 85.000 RoundCube-mailservers die een actief misbruikte kwetsbaarheid bevatten die remote code execution (RCE) mogelijk maakt, waarvan meer dan zeventienhonderd in Nederland. Dat stelt The Shadowserver Foundation op basis van eigen onderzoek. Roundcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De software blijkt url-parameters niet goed te controleren, wat tot 'PHP Object Deserialization' kan leiden. Dit maakt het mogelijk voor aanvallers om code op de server uit te voeren. Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren. Dit kan door bijvoorbeeld inloggegevens van een gebruiker te stelen. Deze voorwaarde doet weinig af aan de impact van het beveiligingslek (CVE-2025-49113). Die is namelijk op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Vorige week verscheen er een beveiligingsupdate voor de software. Exploitcode werd na het uitkomen van de update op internet aangeboden. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt dat aanvallers actief misbruik van de kwetsbaarheid maken. Ondanks de beschikbaarheid van een update blijkt dat veel organisaties die nog niet hebben geïnstalleerd. The Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime, doet geregeld onderzoek naar online kwetsbare systemen. Bij de laatste scan werd gezocht naar RoundCube-mailservers. Dit leverde ruim 85.000 kwetsbare systemen op die de update voor CVE-2025-49113 missen. In Nederland gaat het om 1721 servers. Organisaties worden opgeroepen hun installaties te updaten. bron: https://www.security.nl

Internet.nl kan domeinen voortaan ook op Certification Authority Authorization (CAA) testen. Domeinhouders kunnen met CAA één of meer certificaatautoriteiten opgeven die certificaten voor de domeinnaam mogen uitgeven. Een certificaatautoriteit (CA) mag geen certificaat voor het domein uitgeven, tenzij de CA vaststelt dat de certificaataanvraag overeenkomt met de toepasselijke CAA-records. "Voor een veilige verbinding met uw website of mailserver is het certificaat cruciaal. Als een kwaadwillende een certificaat voor uw domeinnaam kan bemachtigen, kan deze mogelijk gevoelige gegevens onderscheppen. Door het aantal geautoriseerde certificaatautoriteiten te beperken, verkleint u het risico op een verkeerde uitgifte", laat Internet.nl weten. Internet.nl is een initiatief van het Platform Internetstandaarden en maakt het mogelijk om websites, mailservers en verbindingen op verschillende standaarden te testen. Bij de CAA-test controleert Internet.nl of de nameservers van het geteste domein of de domeinen van bijbehorende mailservers (MX) één of meer CAA-records bevatten die allemaal de juiste syntax hebben. Internet.nl kan domeinen op basis van uitgevoerde tests ook een score geven. De CAA-test heeft op dit moment nog geen invloed op de score die aan een domein wordt gegeven. bron: https://www.security.nl

Een kritieke kwetsbaarheid in RoundCube maakt remote code execution op mailservers mogelijk. Een beveiligingsupdate is beschikbaar gemaakt en organisaties worden opgeroepen om die meteen te installeren. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De software blijkt url-parameters niet goed te controleren, wat tot 'PHP Object Deserialization' kan leiden. Dit maakt het mogelijk voor aanvallers om code op de server uit te voeren. Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren. Dit kan door bijvoorbeeld inloggegevens van een gebruiker te stelen. Deze voorwaarde doet weinig af aan de impact van het beveiligingslek (CVE-2025-49113). Die is namelijk op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De kwetsbaarheid werd ontdekt en gerapporteerd door cybersecuritybedrijf FearsOff. Het bedrijf wilde de technische details van de kwetsbaarheid op een later moment pas bekend maken. "Vanwege de snelle beschikbaarheid van een patch op GitHub en het feit dat aanvallers de kwetsbaarheid binnen 48 uur al hebben geanalyseerd en tot wapen gemaakt, zijn de technische details eigenlijk niet langer privé", zegt Kirill Firsov van FearsOff. "Gegeven het actieve misbruik en bewijs dat de exploit wordt verkocht in ondergrondse fora, denk ik dat het in het belang van verdedigers, blue teams en de bredere security community is om een volledige technische uitleg te publiceren, maar de proof-of-concept voorlopig nog achter te houden", gaat Firsov verder. Hij roept organisaties op om meteen te updaten naar RoundCube 1.6.11 of 1.5.10 LTS. RoundCube is in het verleden geregeld doelwit van aanvallen geweest. bron: https://www.security.nl

De Europese Unie heeft een eigen dns-dienst gelanceerd met de naam DNS4EU, die onder andere opties biedt om advertenties standaard te blokkeren en websites te filteren. DNS4EU is een initiatief van de Europese Commissie. Volgens Brussel is erop dit moment geen Europese dns-dienst die voldoet aan de visie van de EU. Daarnaast zullen marktpartijen door het ontbreken van een businesscase hier niet in investeren, aangezien dns-diensten meestal gratis door de internetprovider worden aangeboden. Volgens de Europese Commissie maken Europese burgers en organisaties steeds vaker gebruik van een aantal dns-diensten die door niet-Europese partijen worden aangeboden. Er worden geen voorbeelden genoemd, maar mogelijk wordt er gedoeld op dns-resolvers van Google, Cloudflare en OpenDNS. DNS4EU biedt vijf opties voor gebruikers. Zo kan er worden gekozen voor een ongefilterde optie, een optie die bekende malafide en frauduleuze websites blokkeert, een versie die voor "kinderen ongeschikte" websites blokkeert, een versie die advertenties blokkeert en als laatste een versie die het internetfilter voor kinderen en de adblocker combineert. De website van DNS4EU stelt dat het project de Europese Commissie geen manier biedt om het internet van Europese burgers te censureren. "Dat zou tegen het doel van het project ingaan, dat digitale soevereiniteit wil versterken." Verder laat DNS4EU weten dat het ip-adres van gebruikers volledig wordt geanonimiseerd voordat die volledig toegang tot de dns-resolver krijgen en wordt er negens privédata opgeslagen. Naast de gratis dns-dienst voor het publiek is er ook een DNS4EU-versie voor overheden en telecombedrijven. bron: https://www.security.nl

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Identity Services Engine (ISE) die wordt veroorzaakt door een statisch wachtwoord. Een ongeauthenticeerde aanvaller kan met dit wachtwoord op afstand toegang tot gevoelige data krijgen, admin-acties uitvoeren, systeemconfiguraties aanpassen of de werking van het systeem verstoren. De impact van het beveiligingslek (CVE-2025-20286) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. ISE is een 'network access control' oplossing waarmee organisaties kunnen beheren welke endpoints, gebruikers en apparaten toegang tot het netwerk krijgen. Volgens Cisco ontstaat de kwetsbaarheid doordat de inloggegevens voor Cisco ISE verkeerd worden gegenereerd wanneer het op cloudplatforms van Amazon Web Services (AWS), Microsoft Azure en Oracle Cloud Infrastructure wordt uitgerold. Hierdoor gebruiken verschillende Cisco ISE-installaties hetzelfde wachtwoord. Een aanvaller kan dit wachtwoord in zijn eigen installatie achterhalen en het vervolgens gebruiken om toegang tot andere Cisco ISE-installaties te krijgen. Cisco heeft updates uitgebracht om het probleem te verhelpen. De netwerkfabrikant laat verder weten dat publieke proof-of-concept exploitcode voor het beveiligingslek openbaar is, maar heeft nog geen misbruik waargenomen. bron: https://www.security.nl

Thunderbird gaat de servers voor de eigen e-maildienst in de EU hosten. Daarnaast wordt er gebruikgemaakt van encryption at rest. Dat hebben de ontwikkelaars vandaag aangekondigd. Verdere details over deze zaken zijn niet gegeven. behalve dat encryption at rest "voor veel van onze gebruikers waarschijnlijk superbelangrijk zal zijn", aldus de onderzoekers. Eerder werd al bekend dat de code van de nieuwe e-maildienst volledig open source zal zijn. Gebruikers kunnen straks kiezen uit een e-mailadres eindigend op tb.pro of thundermail.com. Thunderbird Pro bestaat uit vier diensten, namelijk een agenda genaamd Appointment, e-maildienst Thundermail, bestandsuitwisselingsdienst Send en AI-dienst Assist. Via Send kunnen gebruikers grote bestanden via e-mail uitwisselen. De ontvanger van de e-mail ontvangt dan een downloadlink om het bestand van de servers van Thunderbird te downloaden. Volgens Thunderbird zijn bestanden die via Send worden uitgewisseld end-to-end versleuteld. Verder is er de mogelijkheid om bestanden met een wachtwoord te beveiligen en bestanden te laten verlopen. Assist moet gebruikers helpen bij het opstellen, controleren, lezen en begrijpen van e-mails. Bijvoorbeeld door samenvattingen te maken of opgestelde e-mails te "lezen". Vooralsnog zullen er in het begin alleen betaalde abonnementen van Thundermail beschikbaar komen. Zodra er voldoende betalende gebruikers zijn zal Thunderbird ook een beperktere, gratis versie aanbieden. Vandaag is er een video van Thunderbird online gekomen waarin de ontwikkelaars meer informatie over de dienst geven. Een bètatest van Thunderbird Pro zal deze zomer starten. bron: https://www.security.nl

Asus adviseert duizenden eigenaren van een gecompromitteerde router om een fabrieksreset uit te voeren en vervolgens een adminwachtwoord van minimaal tien karakters in te stellen. Dat is de enige methode om een SSH-backdoor die de aanvallers toevoegden te verwijderen. Vorige week meldde securitybedrijf GreyNoise dat aanvallers aan zo'n negenduizend Asus-routers een SSH-backdoor hadden toegevoegd. Specifiek werd SSH-toegang op een custom port (TCP/53282) ingeschakeld, alsmede een public key toegevoegd voor remote toegang. "De backdoor wordt opgeslagen in non-volatile memory (NVRAM) en daarom niet verwijderd tijdens firmware-upgrades of reboots", aldus GreyNoise. Bij de aanval werd gebruikgemaakt van een oudere kwetsbaarheid aangeduid als CVE-2023-39780, die command injection mogelijk maakt. GreyNoise adviseerde bij getroffen routers het uitvoeren van een fabrieksreset. Dat advies wordt nu door Asus tegenover PCMag herhaald. Daarnaast wordt geadviseerd om een adminwachtwoord van minstens tien karakters te gebruiken. Verder laat de routerfabrikant weten dat apparaten die end-of-life zijn en geen beveiligingsupdates meer ontvangen nog "steeds veilig te gebruiken zijn". Wel wordt aangeraden de laatste firmware te gebruiken, een sterk wachtwoord in te stellen en alle remote toegangsfeatures, zoals SSH, DDNS, AiCloud, of Web Access, vanaf het WAN uit te schakelen. bron: https://www.security.nl

Meta volgde het browsegedrag van Facebook- en Instagram-gebruikers zonder dat die hier toestemming voor hadden gegeven, zo stellen onderzoekers van de Radboud Universiteit en KU Leuven. Ook internetgigant Yandex zou zich hier schuldig aan maken. Op de dag van de publicatie van het onderzoek stopte de Meta-pixel met het versturen van data naar localhost, zo stellen de onderzoekers in een update. De onderzoekers ontdekten dat de Android-apps van Meta en Yandex, waaronder Facebook en Instagram, stilletjes op bepaalde poorten luisteren om zo te kunnen volgen welke websites deze gebruikers in hun browser bezoeken. De volgmethode combineert de werking van de Android-apps met de Meta- en Yandex-trackingpixels die op miljoenen websites actief zijn. "Deze methode omzeilt de privacybescherming van de permissiecontrole van Android en zelfs de Incognito Mode van browsers, en raakt alle grote Android-browsers", aldus de onderzoekers. Yandex zou de methode al sinds 2017 toepassen, Meta sinds september 2024. Het techbedrijf zou kort na de publicatie van het onderzoek ermee zijn gestopt. Android laat apps met de Internet-premissie een lokale webserver in de achtergrond starten. Browsers op hetzelfde toestel hebben hier ook toegang toe. "Dit laat JavaScript op webpagina's communiceren met native Android-apps en identifiers en browsegedrag delen, en zo via standaard web API's kortstondige web identifiers aan langdurige mobiele app-identifiers koppelen", aldus de onderzoekers. De Meta-pixel die op miljoenen websites actief is gebruikte deze lokale webserver om browser-identifiers met de Facebook- en Instagram-app op de telefoon te delen. Daarbij werd de data gekoppeld aan het ingelogde account van de gebruiker en vervolgens via de app naar de servers van Meta gestuurd. "Het fundamentele probleem waardoor deze aanval mogelijk is, is het gebrek aan controle over localhost-communicatie op de meeste moderne platforms. Tot onze openbaarmaking waren Androidgebruikers volledig weerloos tegen de Yandex- en Meta-pixels. Het is mogelijk dat de meeste browserontwikkelaars en platformoperators dergelijk misbruik niet eens in hun dreigingsmodel hebben meegenomen", aldus onderzoeker Narseo Vallina-Rodríguez van de Radboud Universiteit. De onderzoekers stellen dat er geen bewijs is dat Meta of Yandex deze trackingmogelijkheden aan de websites hebben bekendgemaakt waarop hun trackers draaien of aan de eindgebruikers die deze websites bezoeken. "Niet alleen heeft Meta websitebeheerders niet over deze trackingmethode geïnformeerd, maar het negeerde ook klachten en vragen", stelt onderzoeker Gunes Acar. Verschillende browserontwikkelaars werken inmiddels aan een oplossing. Zo zou Google Chrome zeer binnenkort met een oplossing moeten komen. "Totdat Google en andere grote browsers met een antwoord komen, is de enige manier om dit misbruik te voorkomen het niet downloaden van apps zoals Facebook of Instagram, alsmede de eerder genoemde Yandex-apps", aldus de onderzoekers. Meta volgde het browsegedrag van Facebook- en Instagram-gebruikers zonder dat die hier toestemming voor hadden gegeven, zo stellen onderzoekers van de Radboud Universiteit en KU Leuven. Ook internetgigant Yandex zou zich hier schuldig aan maken. Op de dag van de publicatie van het onderzoek stopte de Meta-pixel met het versturen van data naar localhost, zo stellen de onderzoekers in een update. De onderzoekers ontdekten dat de Android-apps van Meta en Yandex, waaronder Facebook en Instagram, stilletjes op bepaalde poorten luisteren om zo te kunnen volgen welke websites deze gebruikers in hun browser bezoeken. De volgmethode combineert de werking van de Android-apps met de Meta- en Yandex-trackingpixels die op miljoenen websites actief zijn. "Deze methode omzeilt de privacybescherming van de permissiecontrole van Android en zelfs de Incognito Mode van browsers, en raakt alle grote Android-browsers", aldus de onderzoekers. Yandex zou de methode al sinds 2017 toepassen, Meta sinds september 2024. Het techbedrijf zou kort na de publicatie van het onderzoek ermee zijn gestopt. Android laat apps met de Internet-premissie een lokale webserver in de achtergrond starten. Browsers op hetzelfde toestel hebben hier ook toegang toe. "Dit laat JavaScript op webpagina's communiceren met native Android-apps en identifiers en browsegedrag delen, en zo via standaard web API's kortstondige web identifiers aan langdurige mobiele app-identifiers koppelen", aldus de onderzoekers. De Meta-pixel die op miljoenen websites actief is gebruikte deze lokale webserver om browser-identifiers met de Facebook- en Instagram-app op de telefoon te delen. Daarbij werd de data gekoppeld aan het ingelogde account van de gebruiker en vervolgens via de app naar de servers van Meta gestuurd. "Het fundamentele probleem waardoor deze aanval mogelijk is, is het gebrek aan controle over localhost-communicatie op de meeste moderne platforms. Tot onze openbaarmaking waren Androidgebruikers volledig weerloos tegen de Yandex- en Meta-pixels. Het is mogelijk dat de meeste browserontwikkelaars en platformoperators dergelijk misbruik niet eens in hun dreigingsmodel hebben meegenomen", aldus onderzoeker Narseo Vallina-Rodríguez van de Radboud Universiteit. De onderzoekers stellen dat er geen bewijs is dat Meta of Yandex deze trackingmogelijkheden aan de websites hebben bekendgemaakt waarop hun trackers draaien of aan de eindgebruikers die deze websites bezoeken. "Niet alleen heeft Meta websitebeheerders niet over deze trackingmethode geïnformeerd, maar het negeerde ook klachten en vragen", stelt onderzoeker Gunes Acar. Verschillende browserontwikkelaars werken inmiddels aan een oplossing. Zo zou Google Chrome zeer binnenkort met een oplossing moeten komen. "Totdat Google en andere grote browsers met een antwoord komen, is de enige manier om dit misbruik te voorkomen het niet downloaden van apps zoals Facebook of Instagram, alsmede de eerder genoemde Yandex-apps", aldus de onderzoekers. bron: https://www.security.nl

Aanvallers maken actief misbruik van twee kwetsbaarheden in Craft CMS, een contentmanagementsysteem voor het opzetten van websites, vergelijkbaar met WordPress. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het gaat om de beveiligingslekken aangeduid als CVE-2024-56145 en CVE-2025-35939. De eerste kwetsbaarheid is als kritiek aangemerkt en maakt remote code execution mogelijk. Het tweede beveiligingslek heeft een lagere impact. "Craft CMS slaat willekeurige content van ongeauthenticeerde gebruikers op in sessiebestanden. Deze content is mogelijk via een andere kwetsbaarheid te benaderen en uit te voeren", aldus de omschrijving. Voor CVE-2024-56145 verscheen afgelopen december een oplossing, CVE-2025-35939 werd vorige maand gepatcht. Details over de waargenomen aanvallen zijn niet door het CISA gegeven. CERT Orange Cyberdefense waarschuwde in april nog voor grootschalige aanvallen op Craft CMS. Daarbij werd echter misbruik van twee andere kwetsbaarheden gemaakt, namelijk CVE-2024-58136 en CVE-2025-32432. Meer dan 150.000 websites zouden van Craft CMS gebruikmaken. bron: https://www.security.nl

Microsoft en CrowdStrike gaan namen van aanvallers koppelen, waarvoor een 'Steen van Rosetta' wordt gebruikt. Op dit moment hanteren securitybedrijven vaak eigen namen voor groepen. Zo hanteert Microsoft voor een groep aanvallers de naam Midnight Blizzard, terwijl andere leveranciers voor dezelfde groep namen als Cozy Bear, APT29 of UNC2452 hanteren. CrowdStrike en Microsoft gaan nu samenwerken om de namen van verschillende groepen te koppelen. "We gaan een soort van 'Steen van Rosetta' maken", zegt Adam Meyers van CrowdStrike. Hij merkt op dat dit concept in het verleden vaker is geprobeerd, waarbij onderzoekers op basis van opensource-informatie namen aan elkaar koppelden. Volgens Meyers ging het dan vooral om "analytische beoordelingen" en is deze samenwerking anders. Door de namen te koppelen zou het eenvoudiger voor klanten moeten worden om te weten met welke groep ze te maken hebben. Zo zouden inmiddels de namen van tachtig groepen met elkaar zijn vergeleken en gekoppeld. Microsoft laat weten dat Google/Mandiant en Palo Alto Networks Unit 42 zich ook bij het initiatief zullen aansluiten. bron: https://www.security.nl

Google heeft een actief aangevallen beveiligingslek in Chrome gedicht. De kwetsbaarheid bevond zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. V8 is geregeld het doelwit van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar op het moment van de aanval geen patch voor beschikbaar is. De impact van de kwetsbaarheid, aangeduid als CVE-2025-5419, is door Google beoordeeld als high. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. De kwetsbaarheid werd op 27 mei door twee onderzoekers van de Google Threat Analysis Group aan het Chrome-team gerapporteerd. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google stelt dat het probleem is verholpen door middel van een configuratieaanpassing die op 28 mei onder gebruikers is uitgerold. Verdere informatie over de kwetsbaarheid, het waargenomen misbruik en de doorgevoerde aanpassing is niet gegeven. bron: https://www.security.nl

Acht Europese consumentenorganisaties hebben Meta opgeroepen om het eigen AI-model niet met data van Europese gebruikers te trainen. Vanaf aanstaande dinsdag 27 mei gaat Meta gegevens van Facebook- en Instagram-gebruikers in de EU hiervoor gebruiken, tenzij gebruikers proactief bezwaar hebben gemaakt. "Zodra de AI-training is begonnen, kunnen de gegevens niet meer uit de AI-modellen worden verwijderd. Dit gaat over meer dan alleen privacy. Het gaat ook over vertrouwen in technologiebedrijven en ons recht op controle over onze eigen data. Wie had zich kunnen voorstellen dat persoonlijke updates, foto's uit je jeugd of van je kinderen als trainingsmateriaal voor AI zouden worden gebruikt? Niemand hoort stiekem informatie uit jouw digitale dagboek te gebruiken", zegt Sandra Molenaar, directeur Consumentenbond. Volgens Molenaar is de opt-out die Meta hanteert waarbij gebruikers niet om toestemming wordt gevraagd maar zelf bezwaar moeten maken de omgekeerde wereld. "Meta moet zich gewoon aan de wet houden. Dat betekent dat het bedrijf onder andere consumenten expliciet om toestemming moet vragen voordat het hun gegevens gebruikt. En het intrekken van die toestemming moet ook altijd weer kunnen." "We verwachten dat Meta privacywetgeving respecteert en fundamentele consumentenrechten niet ondermijnt", zegt Finn Myrstad van de Noorse consumentenbond Forbrukerradet. Hij roept Noorse Facebook- en Instagram-gebruikers op om actief bezwaar te maken. bron: https://www.security.nl

Mozilla gaat stoppen met de diensten Pocket en Fakespot en wil meer focus op Firefox gaan leggen, zo heeft de browserontwikkelaar aangekondigd. Pocket is een app en browserextensie voor het verzamelen van webcontent, zoals artikelen en video's, om die later te kunnen lezen of bekijken. Volgens Mozilla is de manier waarop mensen content op het web bewaren en consumeren veranderd en past Pocket daar niet meer bij. Gebruikers met een betaald account krijgen hun geld terug. De dienst stopt op 8 juli en gebruikers hebben tot 8 oktober de tijd om hun opgeslagen content te exporteren. Daarna worden alle gegevens verwijderd. Vanaf 22 mei zal het daarnaast niet meer mogelijk zijn om de Pocket-app te installeren. Ook zal het vanaf die datum niet meer mogelijk zijn om een nieuw Pocket-account aan te maken. Fakespot is een app en browserextensie om "onbetrouwbare productrecensies" te herkennen. Mozilla nam Fakespot in 2023 over en had allerlei plannen voor de applicatie. Nu is besloten om op 1 juli de stekker eruit te trekken. Een exacte reden wordt niet gegeven. "Nu de behoeftes van gebruikers zich evolueren naast het web zelf, is het belangrijk dat we onze inspanning op Firefox focussen en nieuwe oplossingen maken die je echte keuze, controle en gemoedsrust geven", aldus Mozilla. De Firefox-ontwikkelaar zegt door te stoppen met Fakespot en Pocket zich op het 'volgende tijdperk van het internet' te kunnen richten en nieuwe Firefox-features te zullen ontwikkelen die mensen echt nodig hebben. bron: https://www.security.nl

Het bedrijf Luka, ontwikkelaar van AI-chatbot Replika, heeft wegens het overtreden van de AVG een boete van 5 miljoen euro gekregen. Dat is twee procent van de wereldwijde omzet. Replika is een op generatieve AI-gebaseerde chatbot die emotionele ondersteuning en vriendschap moet bieden, aldus de ontwikkelaar. Mozilla deed eerder onderzoek naar de app en stelde dat die tekort schiet op het gebied van security en privacy. Replika kwam negatief in het nieuws omdat het schadelijk voor minderjarigen zou zijn. Daarop besloot de Italiaanse privacytoezichthouder GPDP een onderzoek in te stellen. Begin 2023 mocht Replika uit voorzorg van de GPDP geen gegevens meer van gebruikers in Italië verwerken. Een aantal maanden later werd het verbod opgeheven, op voorwaarde dat Replika maatregelen zou treffen om de gegevensverwerking aan de AVG te laten voldoen. Zo moest er effectieve leeftijdsverificatie worden toegepast om te voorkomen dat minderjarigen de chatbot zouden gebruiken. De GPDP heeft nu het onderzoek afgerond en stelt dat Replika verschillende bepalingen van de AVG heeft overtreden. Zo werd er geen geldige grondslag voor het verwerken van persoonlijke gegevens gemeld, werd niet duidelijk gemaakt dat met de gegevens van gebruikers AI-modellen werden getraind, was het privacybeleid alleen beschikbaar in het Engels, werd niet duidelijk gemaakt dat de chatbot alleen voor volwassenen was bedoeld en zorgde het ontbreken van een goede leeftijdscontrole ervoor dat ook data van minderjarige werd verwerkt. bron: https://www.security.nl

Een Zwitsers wetsvoorstel verplicht mail- en vpn-providers om ip-adressen van gebruikers te loggen, data zes maanden te bewaren en registratie door middel van een identiteitsbewijs. Verder moet opgevraagde data plaintext aan de autoriteiten worden aangeleverd. Dat laat mailprovider Tuta over het wetsvoorstel weten. Onlangs maakte de Zwitserse vpn- en mailprovider Proton bekend dat het Zwitserland zal verlaten als het voorstel wordt aangenomen. Tuta merkt op dat het voorstel niet door of via het Zwitserse Parlement is geïntroduceerd, maar door het ministerie van Justitie en Politie en de Zwitserse ministerraad, om zo online surveillance op grote schaal uit te breiden, zonder dat het parlement hier iets over kan zeggen. Het voorstel verplicht providers om de encryptie die ze aan gebruikers bieden ongedaan te maken, hoewel dit niet geldt voor end-to-end versleutelde berichten. Mocht het voorstel in de huidige vorm worden aangenomen dan moeten mail- en vpn-providers met meer dan vijfduizend gebruikers ip-adressen loggen en data van gebruikers bewaren, voor een periode van zes maanden. Registratie met een identificatiebewijs, en mogelijk ook telefoonnummer, wordt verplicht. Dat maakt volgens Tuta anoniem gebruik onmogelijk. Verder moet opgevraagde data in plaintext worden aangeleverd. Daarnaast geldt de wetgeving alleen voor partijen die vanuit Zwitserland opereren. Bedrijven als Meta of Google zouden dan ook zijn uitgezonderd. bron: https://www.security.nl

Onderzoekers hebben in de Chrome Web Store meer dan honderd malafide extensies ontdekt die zich voordoen als legitieme extensie voor bijvoorbeeld vpn-applicaties, AI-agents of cryptowallets, maar in werkelijkheid allerlei data stelen. Volgens DomainTools is er sprake van een campagne die al sinds februari 2024 gaande is. Om mensen naar de malafide extensies te lokken hebben de aanvallers meer dan honderd fake websites gemaakt, aldus de onderzoekers. Voor elke malafide extensie is een aparte fake website online gezet. Deze website bevat allerlei informatie over de extensie, alsmede een link naar de Chrome Web Store waar die te downloaden is. Deze extensies beschikken over een dubbele functionaliteit. Zo bieden ze de beloofde functionaliteit, maar vragen ook allerlei permissies waardoor er data kan worden gestolen. De onderzoekers stellen dat de extensies willekeurige code op elke bezochte website kunnen uitvoeren, waardoor het mogelijk is om inloggegevens en sessies te stelen. Daarnaast kunnen de extensies ook advertenties op websites injecteren, gebruikers naar malafide websites doorsturen, het browserverkeer manipuleren en phishingaanvallen uitvoeren. Sommige van de onderzochte extensies bleken alle browsercookies te stelen. Google heeft meerdere van de malafide extensies uit de Chrome Web Store verwijderd, maar de aanvaller blijft steeds nieuwe extensies uploaden, zo stellen de onderzoekers. DomainTools adviseert Chrome-gebruikers om voorzichtig te zijn bij het installeren van extensies, alleen voor geverifieerde ontwikkelaars te kiezen, goed op gevraagde permissies te letten, alert te zijn op lookalike extensies en niet meer gebruikte of verdachte extensies te verwijderen. "Waakzaamheid is de sleutel om dit soort dreigingen te vermijden." bron: https://www.security.nl

Chatapplicatie Signal heeft een maatregel genomen om Microsoft Recall standaard op Windows 11 te blokkeren. De nieuwe "Screen security" instelling voorkomt dat het systeem screenshots kan maken van gesprekken die via Signal Desktop worden gevoerd. "Als je je afvraagt waarom we dit nu alleen op Windows implementeren, is het omdat deze instelling je Signal-berichten tegen Microsoft Recall moet beschermen", zegt Signal-ontwikkelaar Joshua Lund in een blogposting. Recall is een nieuwe en omstreden 'AI-feature' van Microsoft, waarbij continu screenshots van het scherm van gebruikers worden gemaakt. De screenshots worden vervolgens door AI geanalyseerd en doorzoekbaar gemaakt. Microsoft omschrijft het als een 'fotografisch geheugen'. Experts gebruikten de term keylogger en privacynachtmerrie. Oorspronkelijk zou Recall standaard zijn ingeschakeld, maar vanwege de felle kritiek besloot Microsoft voor een opt-in te kiezen en aanvullende beveiligings- en privacymaatregelen toe te voegen. Zo is er een filter waarmee websites en apps van Recall kunnen worden uitgezonderd. Onlangs liet beveiligingsexpert Kevin Beaumont weten dat dit filter niet betrouwbaar werkt. Recall blijkt bijvoorbeeld alles op te slaan wat gebruikers in Signal doen, zoals verstuurde berichten. "Verdwijnende Signal- en WhatsApp-berichten worden nog steeds opgeslagen, net als verwijderde Teams-berichten." Ondanks de door Microsoft genomen maatregelen lopen Signal-gesprekken van gebruikers door Recall nog steeds risico. "Als gevolg schakelen we standaard een extra beveiligingslaag in op Windows 11 om de security van Signal Desktop op dat platform te behouden, ook al heeft dit impact op de bruikbaarheid. Microsoft heeft ons gewoon geen andere optie gegeven", gaat Lund verder. Het gaat dan bijvoorbeeld om het gebruik van screen readers en andere toegankelijkheidssoftware. Afsluitend stelt Lund dat Signal hoopt dat AI-teams die software zoals Recall ontwikkelen beter nadenken over de gevolgen. Apps zoals Signal zouden geen "vreemd trucs" moeten uithalen om de privacy en integriteit van hun dienst te beschermen. "Mensen die om privacy geven zouden daarnaast ook niet gedwongen moeten worden om toegankelijkheid op te offeren op het altaar van AI-aspiraties." Gebruikers kunnen de Screen Security-optie indien gewenst zelf uitschakelen. "Omdat Signal open source is, hebben app-ontwikkelaars nu een template om hun gebruikers tegen Windows te beschermen", reageert Beaumont op de nieuwe feature. bron: https://www.security.nl

Microsoft heeft de afgelopen maand op 394.000 Windowscomputers de Lumma-malware ontdekt, die speciaal is ontwikkeld voor het stelen van wachtwoorden. Het techbedrijf heeft met een gerechtelijk bevel 2300 domeinnamen waar de malware gebruik van maakt laten blokkeren of in beslag genomen. Bij de operatie tegen de malware waren ook Europol en bedrijven betrokken, waaronder CleanDNS, Cloudflare, ESET en Lumen. Lumma, ook bekend als Lumma Stealer, is zogenoemde infostealer-malware en wordt tegen betaling aangeboden. Volgens Microsoft maken honderden aanvallers er gebruik van. Die kunnen uit verschillende abonnementen kiezen, variërend van bedragen tussen de 250 en 1000 dollar. De broncode wordt voor een bedrag van 20.000 dollar aangeboden. Voor de verspreiding van de Lumma-malware worden allerlei methodes toegeppast, zoals malafide advertenties, het aanbieden van zogenaamde browser-updates op gecompromitteerde websites, phishing, getrojaniseerde applicaties, installatie door andere malware en slachtoffers malafide captcha's laten oplossen. Eenmaal actief kan de Lumma-malware allerlei data stelen, waaronder wachtwoorden en andere inloggegevens van verschillende applicaties, autofill-data uit de browser, creditcardgegevens, cryptowallets en allerlei documenten. Tevens kan de malware screenshots maken, andere malware installeren en zichzelf weer van het systeem verwijderen, zo laten het Amerikaanse cyberagentschap CISA en de FBI in een analyse weten. De malware communiceert hiervoor met een command & control-server die weer aan een domeinnaam is gekoppeld. Microsoft stapte onlangs naar een Amerikaanse rechter en kreeg toestemming om 2300 domeinnamen waarvan de Lumma-malware gebruikmaakt te laten blokkeren of in beslag te nemen. Volgens Europol zijn 1300 domeinnamen zo in handen van Microsoft gekomen. Die domein wijzen nu naar een sinkhole van Microsoft. Daardoor maken besmette machines verbinding met servers van Microsoft. Het techbedrijf kan daardoor zien waar besmette systemen zich bevinden en bijvoorbeeld de internetproviders van deze gebruikers waarschuwen. Aanbevelingen De FBI en het CISA doen verschillende aanbevelingen om infectie door dergelijke malware te voorkomen. De Amerikaanse overheidsdiensten adviseren onder andere het scheiden van gebruikers- en geprivilegieerde accounts, het monitoren op verdacht gedrag, het allowlisten van remote access software, het verzamelen en analyseren van logs, het intrekken van inloggegevens van vertrekkend personeel en toepassen van netwerksegmentatie. bron: https://www.security.nl

De Belgische politie waarschuwt vandaag voor openbare wifi-netwerken en adviseert die niet te gebruiken voor het doen van vertrouwelijke zaken. Er is namelijk een risico dat het om een 'evil twin' gaat, waarbij een aanvaller een malafide wifi-netwerk opzet met dezelfde naam als een onschuldig wifi-netwerk. "Deze vorm van phishing bestaat al eventjes maar steekt de laatste tijd steeds meer de kop op. Een cybercrimineel zet een fake netwerk op en neemt zo een open wifi-netwerk over. De cyberdief bevindt zich dan wel dicht in de buurt van het originele netwerk want vanop afstand lukt het niet", aldus de federale politie. "We raden aan om niet via dergelijke open netwerken te surfen naar websites waar je vertrouwelijke informatie zoals login en paswoorden moet delen. Als je via een dergelijk Evil Twin-netwerk surft, kan de hacker die gegevens vrij gemakkelijk kopiëren. Doe dus zeker geen bankverrichtingen of deel geen persoonlijke gegevens terwijl je op een open netwerk ingelogd bent”, zegt commissaris Christophe Van Bortel van de Federale Gerechtelijke Politie Antwerpen. De commissaris voegt toe dat het heel eenvoudig is om voor dit soort wifi-netwerken te vallen, omdat ze beide dezelfde naam hebben. "Als je toch beide zou zien in de beschikbare netwerken, dan zal de Evil Twin hoger in de lijst staan omdat deze een sterker signaal uitstuurt net omdat deze zich dichter in de buurt bevindt dan de originele verbinding." Verder adviseert Van Bortel om het automatisch verbinden met openbare wifi-netwerken uit te schakelen en eerder gebruikte openbare wifi-netwerken uit de lijst van gebruikte wifi-netwerken te verwijderen. bron: https://www.security.nl

De website van RVTools is offline na berichtgeving over een mogelijke supplychain-aanval. RVTools is een tool voor het beheren van VMware-omgevingen. ZeroDay Labs meldde vorige week dat aanvallers erin waren geslaagd om via de officiële website van RVTools een getrojaniseerde versie te verspreiden. Gisteren liet securitybedrijf Arctic Wolf weten dat een besmette versie via een typosquat domein wordt verspreid. De officiële website eindigt op .com, terwijl aanvallers een domein eindigend op .org hebben geregistreerd. De officiële website laat op het moment van schrijven een melding zien dat de site offline is en RVTools alleen via deze website moet worden gedownload. "Zoek niet naar of download vermeende RVTools software van andere websites of bronnen", aldus de melding. Het is op dit moment onduidelijk wat er precies aan de hand is. MalwareHunterTeam laat via X weten dat het gewoon lijkt te gaan op nepsites die via Google worden verspreid en de besmette versie aanbieden. Onlangs kwamen ook andere securitybedrijven met berichtgeving dat malafide advertenties werden gebruikt om een besmette RVTools-versie te verspreiden. bron: https://www.security.nl

Onderzoekers van het Amerikaanse National Institute of Standards and Technology (NIST) en het Amerikaanse cyberagentschap CISA hebben een methode gepresenteerd die de kans berekent dat een kwetsbaarheid is misbruikt. Dit moet organisaties helpen bij het prioriteren van beveiligingsupdates. Volgens de onderzoekers wordt slechts een klein deel van de tienduizenden kwetsbaarheden die jaarlijks worden gevonden misbruikt bij aanvallen. Het voorspellen bij welke kwetsbaarheden dit het geval is kan het patchproces van organisaties kosteneffectiever en efficiënter maken. De onderzoekers wijzen naar onderzoek waaruit blijkt dat vijf procent van de beveiligingslekken daadwerkelijk wordt misbruikt. Bedrijven zouden maandelijks zestien procent van de kwetsbaarheden in hun systemen patchen. De onderzoekers stellen dat dit percentage zo laag is omdat het kostbaar is voor bedrijven om beveiligingslekken te verhelpen. Het gaat dan onder andere om het testen en uitrollen van mitigaties. Het Exploit Prediction Scoring System (EPSS) is een eerder ontwikkelde methode die de kans berekent dat een kwetsbaarheid binnen dertig dagen na bekendmaking wordt misbruikt. Van deze methode is echter bekend dat die onnauwkeurigheden bevat. Daarnaast zijn er overzichten van bekend misbruikte kwetsbaarheden waarvan is vastgesteld dat ze bij aanvallen zijn toegepast. Deze overzichten zijn echter niet alomvattend. De onderzoekers van het NIST en CISA hebben nu de 'Likely Exploited Vulnerabilities' methode bedacht. Die dient als aanvulling op het EPSS en zogenoemde Known Exploited Vulnerability (KEV) lijsten. De Likely Exploited Vulnerabilities is gebaseerd op historische EPSS-scores. Dit resulteert vervolgens in een kans dat een beveiligingslek is misbruikt. De uitkomst kan bedrijven helpen met het bepalen van de belangrijkste beveiligingslekken en het verminderen van cybersecurityrisico's, aldus de onderzoekers. Die voegen toe dat samenwerking met de industrie nog is om vast te stellen hoe nauwkeurig het nieuwe model in de praktijk is. bron: https://www.security.nl

De Europese Unie is bezig met wetgeving die AVG-procedures onwerkbaar maakt, zo waarschuwt privacyorganisatie noyb. Dat dreigt naar het Europees Hof van Justitie te stappen als de voorgestelde wetgeving wordt aangenomen. De wetgeving zou handhaving van de AVG moeten harmoniseren en versnellen. Volgens noyb zorgt het voorstel ervoor dat gebruikers structureel tegenover bedrijven worden gediscrimineerd en zal het tot veel langere doorlooptijden van AVG-procedures eiden. Het Europees Parlement had om een doorlooptijd van drie maanden gevraagd, maar nu lijkt een beslissing twee tot drie jaar te kunnen duren. Noyb stelt dat het voorstel het eenvoudiger maakt voor bedrijven om hun belangen te verdedigen, dan gebruikers hun recht op databescherming. "De gehele regelgeving is tegen gebruikers gericht. In bijna elk artikel worden bedrijven bevoordeeld en gebruikers gediscrimineerd. Er is absoluut geen gelijk speelveld in deze procedure", zegt privacyactivist en noyb-oprichter Max Schrems. Het voorstel van de Europese Commissie werd door allerlei partijen bekritiseerd. Het Europees Parlement kwam vervolgens met een aangepast voorstel om de grootste problemen weg te nemen. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen. Noyb stelt dat het Europees Parlement bijna alle posities heeft opgegeven. Alle bepalingen met betrekking tot de rechten van gebruikers, korte deadlines of transparantieprocedures zijn verwijderd. Elke mogelijkheid om de nieuwe regels te handhaven tegen privacytoezichthouders die hier niet aan voldoen zijn verdwenen. "Het Europees Parlement heeft zijn kernposities verkwanseld", aldus Schrems. De privacyactivist stelt dat tijdens de onderhandelingen niemand iets om dit dossier leek te geven en de uitkomsten dat bevestigen. Mocht het voorstel worden aangenomen dreigt noyb naar het Europees Hof van Justitie te stappen om de wet ongeldig te laten verklaren. bron: https://www.security.nl

Vandaag is er een nieuwe versie van datalekzoekmachine Have I Been Pwned (HIBP) gelanceerd. Via de website kunnen mensen zoeken of hun e-mailadres in een bekend datalek voorkomt. De zoekmachine bevat e-mailadressen van bijna vijftien miljard gecompromitteerde accounts, afkomstig van bijna negenhonderd gecompromitteerde websites, verzamellijsten, infostealer-malware en door autoriteiten verstrekte informatie. Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. De vandaag gelanceerde versie 2.0 is onder andere voorzien van een nieuwe vormgeving. Met deze nieuwe versie is het niet meer mogelijk om op telefoonnummers en gebruikersnamen te zoeken. Deze optie was toegevoegd naar aanleiding van incidenten bij Snapchat en Facebook. Een andere grote aanpassing is dat er nu per datalek een aparte pagina is met informatie over gelekte gegevens. Verder wordt gebruikers nu ook duidelijker uitgelegd wat ze na een datalek moeten doen. bron: https://www.security.nl

10 jaar!!!! Super. Volhouden. Het lukt mij nu al 22 jaar