Maandelijks archief april 2019

doorSecuratis

Congrescommissie VS ondervraagt Google over locatiedatabase

Een commissie van het Amerikaanse Congres heeft Google vragen gesteld over een database genaamd Sensorvault die de exacte locatiegegevens van honderden miljoenen Androidtoestellen zou bevatten en door allerlei Amerikaanse opsporingsdiensten wordt gebruikt om misdrijven op te lossen.

Volgens de New York Times gaan de gegevens in sommige gevallen terug tot 2009. De congrescommissie voor Energie en Handel wil nu opheldering van Google. “De potentiële gevolgen voor de privacy van consumenten zijn vergaand en zorgwekkend als het doel van de Sensorvault-database wordt bekeken en hoe exacte locatiegegevens met derde partijen kunnen worden gedeeld”, aldus de commissie. “We willen weten waarvoor Google de Sensorvault-database gebruikt en in hoeverre Google exacte locatiegegevens uit deze database met derde partijen deelt.”

De commissie wil onder andere weten welke gegevens Google in de database opslaat en voor welk doel, of er andere databases met exacte locatiegegevens worden beheerd, wie de database kan benaderen, hoe nauwkeurig de locatiegegevens zijn, hoe lang de gegevens bewaard blijven, of Google gegevens uit de database verkoopt of deelt en via welke bronnen de gegevens worden verzameld. Google heeft tot 7 mei de tijd gekregen om de vragen te beantwoorden.

“De data in kwestie wordt gebruikt voor locatiegeschiedenis en staat standaard uitgeschakeld. Als een gebruiker ervoor kiest om het in te schakelen, kunnen we bruikbare informatie bieden, zoals realtime gegevens om het verkeer op de weg van werk naar huis te omzeilen. Ze kunnen hun locatiegeschiedenisdata op elk moment verwijderen of het product in z’n geheel uitschakelen”, aldus een woordvoerder van Google tegenover persbureau Reuters.

https://www.security.nl/posting/606424/Congrescommissie+VS+ondervraagt+Google+over+locatiedatabase?channel=rss

doorSecuratis

Vingerafdrukken 228.000 Deense paspoorten verkeerd opgeslagen

Door een fout van een it-leverancier zijn de vingerafdrukken van 228.000 Denen omgekeerd in de chip van hun paspoort opgeslagen, zo heeft de Deense rijkspolitie bekendgemaakt. Door de fout is de vingerafdruk van de linkerhand als rechterhand opgeslagen en vice versa.

Het gaat om paspoorten die tussen 2014 en 2017 zijn uitgegeven. Een Deense burger ontdekte het probleem bij toeval in de herfst van 2017, aldus een Deense overheidsfunctionaris tegenover Deense media. Na ontdekking van de fout in 2017 zijn er geen nieuwe paspoorten uitgegeven waarop de vingerafdrukken verkeerd waren opgeslagen. Volgens de it-leverancier in kwestie zou de fout geen gevolgen voor reizigers hebben gehad en ook de rijkspolitie stelt dat de paspoorten gewoon nog geldig zijn.

In 2016 maakte de toenmalige minister van Binnenlandse Zaken Plasterk bekend dat door een fout de vingerafdrukken in zo’n 10 tot 15 procent van alle Nederlandse paspoorten omgekeerd in de chip was opgenomen. De minister liet toen weten dat de fout geen directe gevolgen voor burgers had, omdat de vingerafdrukken in het paspoort niet werden gebruikt en het onbekend was wanneer dit wel het geval zou zijn.

https://www.security.nl/posting/606417/Vingerafdrukken+228_000+Deense+paspoorten+verkeerd+opgeslagen?channel=rss

doorSecuratis

Gegevens 1,7 miljoen spelers Club Penguin Rewritten gestolen

Vorig jaar zijn de gegevens van 1,7 miljoen spelers van het online kinderspel Club Penguin Rewritten gestolen. Het gaat om e-mailadressen, ip-adressen, gebruikersnamen en via bcrypt gehashte wachtwoorden. Club Penguin Rewritten is een remake van Disneys massively multiplayer online role-playing game Club Penguin.

Het datalek is nooit in de media verschenen, maar de ontwikkelaars achter Club Penguin Rewritten stellen dat alle getroffen gebruikers zijn gewaarschuwd. De e-mailadressen van deze gebruikers zijn aan Have I Been Pwned toegevoegd, een zoekmachine waarmee gebruikers in meer dan 7,8 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. Van de 1,7 miljoen gelekte e-mailadressen was 41 procent al via een ander datalek bij Have I Been Pwned bekend.

https://www.security.nl/posting/606267/Gegevens+1%2C7+miljoen+spelers+Club+Penguin+Rewritten+gestolen?channel=rss

doorSecuratis

Vingerafdrukscanner Nokia 9 met pakje kauwgum te omzeilen

De vingerafdrukscanner van de Nokia 9 PureView is sinds de laatste update met een pakje kauwgum, muntstuk of de vinger van iemand anders te omzeilen, zo hebben gebruikers ontdekt. Op Reddit en Twitter klaagden tal van gebruikers hoe hun telefoon op allerlei manieren zonder de vinger van de eigenaar is te ontgrendelen.

Eén gebruiker met het alias Decoded Pixel plaatste op Twitter een filmpje dat laat zien hoe de vingerafdrukscanner van de Nokia 9 een pakje kauwgum accepteert om het toestel te ontgrendelen. Het probleem ontstond na de installatie van de april-update, herkenbaar aan versienummer 4.22. Deze update zou de prestaties van de vingerafdrukscanner moeten verbeteren. Nokia heeft nog niet op de claims gereageerd. Gebruikers krijgen het advies om in afwachting van een update de telefoon op een andere manier te ontgrendelen, bijvoorbeeld via een wachtwoord of patroon.

Image

https://www.security.nl/posting/606260/Vingerafdrukscanner+Nokia+9+met+pakje+kauwgum+te+omzeilen?channel=rss

doorSecuratis

Adblock Plus-update voor beveiligingslek in filterlijsten

De populaire adblocker Adblock Plus heeft een update uitgebracht vanwege een beveiligingslek waardoor malafide filterlijsten kwaadaardige code hadden kunnen uitvoeren op websites die gebruikers bezoeken. Meerdere adblockers maken gebruik van filterlijsten voor het blokkeren van advertenties.

Sommige filterlijsten maken daarbij gebruik van een zogeheten rewrite-filteroptie om trackingdata te verwijderen en advertenties op websites te blokkeren. In bepaalde gevallen is het mogelijk voor filterlijsten die de rewrite-optie toepassen om kwaadaardige scripts op bezochte websites uit te voeren. Onderzoeker Armin Sebastian die het probleem ontdekte stelde dat Adblock Plus, AdBlock en uBlock kwetsbaar zijn.

In een reactie verklaarde Eyeo, het bedrijf achter Adblock Plus, dat zowel filterlijsten als hun auteurs worden gecontroleerd, waardoor de kans op misbruik onwaarschijnlijk zou zijn. Om misbruik uit te sluiten is er echter een nieuwe versie verschenen. Die is te downloaden via de browsers add-on store of adblockplus.org. Sebastian liet eerder al weten dat het probleem niet speelde bij uBlock Origin.

https://www.security.nl/posting/606201/Adblock+Plus-update+voor+beveiligingslek+in+filterlijsten?channel=rss

doorSecuratis

Firefox pakt pushnotificaties van malafide websites aan

Mozilla heeft een nieuwe maatregel aan een testversie van Firefox toegevoegd om pushnotificaties van malafide websites aan te pakken. Websites kunnen gebruikers toestemming vragen om pushnotificaties te tonen. Deze notificaties kunnen ook worden getoond als de gebruiker de website heeft verlaten.

Onlangs liet Mozilla weten dat websites elke maand miljoenen keren aan Firefoxgebruikers toestemming vragen om pushnotificaties te versturen. Minder dan 3 procent van deze verzoeken wordt echter geaccepteerd. De browserontwikkelaar kondigde daarom maatregelen aan om deze “permission notification spam” tegen te gaan.

Een van deze maatregelen is nu aan de nieuwste versie van Firefox Nightly toegevoegd, een testversie van de browser. Sommige malafide websites lieten gebruikers in het verleden een notificatieverzoek zien. Zodra de gebruiker dit weigerde verscheen er een nieuw notificatieverzoek, alleen vanaf een ander subdomein. Gebruikers werden op deze manier letterlijk met verzoeken gespamd totdat ze het versturen van pushnotificaties toestonden of de website verlieten, aldus Mozilla.

Om deze vorm van spam te blokkeren geldt de beslissing van een gebruiker om een pushnotificatie nu voor het gehele domein. Verzoeken die van een subdomein afkomstig zijn worden zo ook geblokkeerd als de gebruiker tegen het eerst verzoek van de website nee heeft gezegd. De maatregel is nu aan Firefox Nightly 68 toegevoegd en zal later in de definitieve versie van de browser verschijnen.

https://www.security.nl/posting/606200/Firefox+pakt+pushnotificaties+van+malafide+websites+aan?channel=rss

doorSecuratis

5 jaar cel voor verspreiden naaktfoto’s uit gehackte cloudaccounts

De titel klopt niet. In de VS krijg je geen 5 jaar cel voor het verspreiden van naaktfoto’s. Inbreken in computers wordt daar wel zwaar bestraft.

In de link staat ook duidelijk:

Farrell pleaded guilty on Dec. 7, 2018 to an accusation charging him with second-degree computer theft.

Dus voornamelijk de diefstal en niet het verspreiden.https://www.security.nl/posting/606167/5+jaar+cel+voor+verspreiden+naaktfoto%27s+uit+gehackte+cloudaccounts?channel=rss

doorSecuratis

Britse WannaCry-onderzoeker bekent schrijven van malware

Een Britse beveiligingsonderzoeker die een domeinnaam registreerde waarmee de beruchte WannaCry-ransomware werd gestopt heeft in de Verenigde Staten bekend schuldig te zijn aan het schrijven van malware. In een verklaring op zijn eigen website betuigt de onderzoeker spijt en zegt verantwoordelijkheid voor zijn acties te zullen nemen.

De Brit wordt beschuldigd van het ontwikkelen en verspreiden van de Kronos banking Trojan, waarmee criminelen gegevens voor internetbankieren kunnen stelen om die vervolgens voor fraude te gebruiken. Ook wordt hij verdacht van het maken en verspreiden van de UPAS Kit-malware, die allerlei persoonlijke gegevens van computers kan stelen.

De onderzoeker, die op Twitter actief is onder het alias MalwareTechBlog, werd in 2017 wereldbekend doordat hij een domeinnaam registreerde die als killswitch voor de WannaCry-ransomware fungeerde. WannaCry probeerde op besmette systemen verbinding met een .com-domein te maken. Als de verbinding succesvol was stopte de ransomware met werken en werden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. De onderzoeker wist echter niet dat dit het geval was toen hij de domeinnaam registreerde.

In augustus 2017 werd de Brit door de FBI aangehouden toen hij terug naar Groot-Brittannië wilde vliegen. Hij was in de Verenigde Staten voor het bezoeken van twee hackerconferenties. De Amerikaanse openbaar aanklager had tien de onderzoeker voor tien vergrijpen aangeklaagd, waarvan hij er nu twee over het schrijven van malware heeft bekend (pdf). Op elke aanklacht staat een maximale gevangenisstraf van 5 jaar en een boete van 250.000 dollar. Het gaat hier echter om een zogeheten “plea deal”, waardoor de straf waarschijnlijk lager zal uitvallen. De Brit werd kort na zijn aanhouding op borgtocht vrijgelaten.

https://www.security.nl/posting/606165/Britse+WannaCry-onderzoeker+bekent+schrijven+van+malware?channel=rss

doorSecuratis

Onderzoeker vindt lek in WhatsApp-alternatief Franse overheid

Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt in Tchap, de nieuwe chat-app van de Franse overheid, waardoor hij van de dienst gebruik kon maken. De Franse overheid lanceerde Tchap deze week als alternatief voor de versleutelde chatdiensten Telegram en WhatsApp.

Via de dienst kunnen Franse ambtenaren met elkaar communiceren. Tchap, een fork van de beveiligde chat-app Riot, is alleen te gebruiken voor mensen met een .gouv of soortgelijk e-mailadres. Deze gebruikers ontvangen op hun e-mailadres een bericht om hun account te valideren. De Franse beveiligingsonderzoeker met het alias fs0c131y ontdekte dat de controle van het e-mailadres niet waterdicht was.

Door het opgeven van het e-mailadres “fs0c131y@protonmail.com@presidence@elysee.fr” kon hij namelijk zijn account valideren en zo inloggen als een medewerker van het Élysée. Op deze manier had hij toegang tot allerlei publieke chatgroepen die door de verschillende ministeries waren aangemaakt. De onderzoeker waarschuwde de ontwikkelaars van Riot, die met een beveiligingsupdate kwamen. Ook informeerde hij de Franse overheid. Nadat het probleem was verholpen publiceerde hij een blogposting met details over de kwetsbaarheid.

https://www.security.nl/posting/606058/Onderzoeker+vindt+lek+in+WhatsApp-alternatief+Franse+overheid?channel=rss

doorSecuratis

90 maanden cel voor beheerder cybercrime-marktplaats

Een 32-jarige man uit Macedonië die een website beheerde waarop gestolen creditcardgegevens en inloggegevens voor internetbankieren werden verhandeld is in de Verenigde Staten veroordeeld tot een gevangenisstraf van 90 maanden. Samen met zijn handlangers beheerde de man van augustus 2010 tot januari 2014 de online marktplaats Codeshop.

Door in te breken op de databases van financiële instellingen en bedrijven en het versturen van phishingmails wisten ze allerlei gegevens te stelen, die vervolgens via de marktplaats aan andere criminelen werden verkocht. Criminelen gebruikten de gestolen gegevens om online producten te kopen of plaatsten de creditcardgegevens op lege plastic kaarten, waarmee geld bij pinautomaten kon worden opgenomen.

Gedurende de operatie zou de Macedoniër de gegevens van meer dan 1,3 miljoen creditcards hebben verkregen en verkocht. Volgens de openbare aanklager gebruikte de man allerlei partijen die online geld omwisselden en digitale valuta om de opbrengsten van de marktplaats te verzilveren. De Macedoniër werd in 2016 in Slovenië aangehouden en aan de Verenigde Staten uitgeleverd.

https://www.security.nl/posting/606057/90+maanden+cel+voor+beheerder+cybercrime-marktplaats?channel=rss