Maandelijks archief maart 2020

doorSecuratis

Amsterdam zet cameratoezicht in tegen groepsvorming

De gemeente Amsterdam zet mobiel cameratoezicht in om eerder aangekondigde coronamaatregelen te handhaven en groepsvorming tegen te gaan. Dat heeft burgemeester Halsema aan de gemeenteraad laten weten. De camera’s worden ingezet op het Piet Mondriaanplein, het Henrick de Keijserplein en de Oetgensstraat. Het camerabesluit geldt van 31 maart tot en met 1 juni.

Op 25 maart kondigde de gemeente Amsterdam extra maatregelen aan tegen de verspreiding van het coronavirus. “Op plekken waar zorgen bestaan over aanhoudende drukte kan cameratoezicht worden ingesteld. Als het nodig is dan worden ook op die locaties aanvullende maatregelen genomen”, zo liet de gemeente vorige week weten.

In het vandaag gepubliceerde camerabesluit stelt Halsema dat de locaties op en rondom het Piet Mondriaanplein, het Henrick de Keijserplein en de Oetgensstraat momenteel een aantal van de drukste plekken in de stad zijn. “Er is in de afgelopen dagen sprake geweest van onwenselijke groepsvorming door groepen jongeren en de vrees bestaat dat personen zich op deze locaties niet zullen houden aan de noodverordening die is ingesteld ten behoeve van het voorkomen van verspreiding van het coronavirus”, aldus de burgemeester (pdf).

Halsema kan op grond van de Algemene Plaatselijke Verordening (APV) besluiten om camera’s te plaatsen als dat volgens haar noodzakelijk is in het belang van de handhaving van de openbare orde. “Het inzetten van cameratoezicht is in aanvulling op de bestaande maatregelen noodzakelijk ter handhaving van de openbare orde”, schrijft ze in het camerabesluit.

Daarin maakt de burgemeester ook duidelijk dat ze de handhaving van de openbare orde en de gevolgen voor de privacy tegen elkaar heeft afgewogen. “In die afweging moet aan het algemene belang om de verstoring van de openbare orde te herstellen meer gewicht worden toegekend dan aan het belang om geen inmenging te dulden in de privacy”, stelt Halsema. Wanneer de camera’s niet meer nodig zijn voor het handhaven van de openbare orde zal het besluit tot het instellen van cameratoezicht “onmiddellijk” worden ingetrokken.

https://www.security.nl/posting/650208/Amsterdam+zet+cameratoezicht+in+tegen+groepsvorming?channel=rss

doorSecuratis

Cloudflare publiceert privacyonderzoek dns-dienst 1.1.1.1

Twee jaar geleden lanceerde internetbedrijf Cloudflare een eigen gratis dns-dienst met de naam 1.1.1.1 die claimde de privacy van gebruikers voorop te stellen. Cloudflare heeft accountancybedrijf KPMG de gemaakte privacyclaims laten onderzoeken en het onderzoeksrapport is nu openbaar gemaakt (pdf).

Het domain name system (dns) vertaalt onder andere domeinnamen naar ip-adressen. Dns-verzoeken worden door een dns-server verstuurd en bevatten informatie over de op te vragen website. De meeste internetgebruikers maken gebruik van de dns-server van hun internetprovider. Volgens Cloudflare is dit een privacyprobleem omdat providers via de dns-verzoeken precies kunnen zien welke websites hun gebruikers bezoeken.

Het internetbedrijf stelt dat de eigen dns-dienst 1.1.1.1 de privacy van gebruikers respecteert. Zo zegt de dienst geen ip-adressen van gebruikers op te slaan en worden alle logbestanden binnen 24 uur verwijderd. Ook zou er niet worden bijgehouden welke websites individuen bezoeken en wordt er geen persoonlijke data verkocht. “We wisten dat er sceptici zouden zijn. Veel mensen denken dat als ze niet voor een product betalen ze het product zijn. We vinden dat dit niet zo hoeft te zijn. Daarom hebben we een accountancybedrijf ingeschakeld om de privacybeloftes van onze 1.1.1.1-server te onderzoeken”, zegt John Graham-Cumming van Cloudflare in een blogposting.

Het onderzoeksrapport van KPMG laat weten dat de dns-dienst van 1 februari 2019 tot 31 oktober 2019 aan de gestelde privacybeloftes voldeed. Zo werden dns-gegevens geanonimiseerd en worden logbestanden verwijderd. Dit gebeurt echter binnen 25 uur en niet 24 uur zoals Cloudflare aangaf. Cloudflare erkent verder dat tijdens het onderzoek werd ontdekt dat routers van het bedrijf 0,05 procent van alle ontvangen verzoeken blijken op te slaan, waaronder het ip-adres van gebruikers.

In een verklaring stelt het internetbedrijf dat dit voor al het verkeer wordt gedaan dat Cloudflare verwerkt. De tijdelijk opgeslagen gegevens worden gebruikt voor het verhelpen van problemen en voorkomen van dos-aanvallen. Daarop heeft Cloudflare besloten om de privacybelofte aan te passen zodat de opslag van deze gegevens wordt vermeld.

Image

https://www.security.nl/posting/650190/Cloudflare+publiceert+privacyonderzoek+dns-dienst+1_1_1_1?channel=rss

doorSecuratis

Burgemeesters willen experimenteren met internetverbod

Burgemeesters van de regio Zwolle en Deventer willen experimenteren met het opleggen van een internetverbod. “Ik kan een gebiedsverbod afgeven, ik kan een huisverbod afgeven. Maar kan ik ook een internetverbod opleggen? Die mogelijkheden moeten we onderzoeken”, zegt Rob Bats tegenover De Stentor.

Bats is burgemeester van Steenwijkerland en gaat over digitale veiligheid in de regio IJsselland, waaronder Deventer en Zwolle vallen. Samen met de Veiligheidsregio IJsselland wil hij zich ook op de aanpak van cybercrime richten. “We zijn heel erg afhankelijk van digitale middelen”, merkt hij op. Om cybercrime aan te kunnen pakken moet er volgens Bats ook naar de bevoegdheden van burgemeesters worden gekeken.

Die kunnen op dit moment gebieds- en huisverboden afgeven, maar of ook een internetverbod tot de mogelijkheden behoort is onduidelijk. Burgemeesters in de regio IJsselland willen hiermee gaan experimenteren. De rechter zou zich er dan over kunnen buigen of het wel is toegestaan of niet. “Natuurlijk wil je weten of je een maatregel kunt inzetten of niet. Misschien is soms simpelweg nieuwe wetgeving nodig. Dat kost tijd, dat weet je”, aldus Bats. In mei praten de burgemeesters uit de regio verder over de mogelijkheden die er zijn.

https://www.security.nl/posting/649999/Burgemeesters+willen+experimenteren+met+internetverbod?channel=rss

doorSecuratis

Duits instituut werkt aan bluetooth traceer-app tegen corona

Het Duitse Heinrich Hertz Instituut (HHI), onderdeel van het bekende Fraunhofer Instituut, werkt aan een smartphone-app waarmee alle personen zijn te traceren die in contact met een door corona besmet persoon zijn gekomen. Dat laat de instantie tegenover persbureau Reuters weten.

Onlangs werd een soortgelijke app al in Singapore gelanceerd. Deze app, TraceTogether, maakt gebruik van bluetooth. Zodra gebruikers die de app hebben geïnstalleerd bij elkaar in de buurt komen, wordt er een geanonimiseerd id uitgewisseld. Dit id wordt vervolgens versleuteld op de telefoon opgeslagen. De app verzamelt geen locatiegegevens of andere persoonlijke data, alleen telefoonnummers worden opgeslagen.

Wanneer een gebruiker met het coronavirus besmet raakt krijgt die het verzoek om de overheid toegang tot de opgeslagen id’s te geven. De gebruiker kan dit doen door de data te uploaden. Het Singaporese ministerie van Volksgezondheid ontsleutelt vervolgens de gegevens en krijgt zo een overzicht van mobiele telefoonnummers van mensen die in de buurt van de besmette gebruiker zijn gekomen.

Hoe de app van het HHI er precies komt uit te zien is nog onbekend. Het instituut denkt dat die in de komende weken gelanceerd kan worden. “De voorwaarde van een dergelijke applicatie is dat die volledig aan de Duitse databeschermingswetgeving voldoet en het gebruik op vrijwillige basis is”, zo laat een woordvoerder van het HHI weten.

Privacyvriendelijk

Academici Johannes Abeler en Matthias Baecker en privacyactivist Ulf Buermeyer stellen via Netzpolitik.org dat coronatracking niet tot meer surveillance hoeft te leiden en op een privacyvriendelijke manier kan worden gedaan. “We denken dat het mogelijk is om het tracken van contacten snel en efficiënt te doen, zonder veel data in een centrale database op te slaan”, aldus het drietal. Een belangrijke voorwaarde is wel dat de gegevens op de telefoon van de gebruiker worden verwerkt en opgeslagen. Alleen de waarschuwing over een infectie zou centraal moeten worden verstuurd.

Het is volgens Abeler, Baecker en Buermeyer ook niet belangrijk waar een infectie zich heeft voorgedaan, alleen dat de mensen die dicht bij elkaar zijn gekomen kunnen worden gewaarschuwd. Via het gebruik van bluetooth kan dit worden gemeten. “Het nadeel van bluetooth dat het alleen op een afstand van een paar meter verbinding kan maken is hier een voordeel”, stellen de drie. Wel moeten genoeg mensen de app installeren om het systeem te laten werken. Vorige week vond er een onderzoek onder meer dan duizend Duitsers plaats over de installatie van een dergelijke bluetooth-app. De angst om te worden “gehackt” via de app was een belangrijke reden om die niet te installeren.

Hoewel er in de huidige crisis meer inbreuken op fundamentele rechten plaatsvinden is het volgens de drie belangrijk dat er oplossingen worden ontwikkeld die zo vrij en economisch als mogelijk zijn. “Dat geldt voor het juridische raamwerk voor de huidige lockdown alsmede het verwerken van gegevens.” Afsluitend merken Abeler, Baecker en Buermeyer op dat alleen een systeem dat mensen kunnen vertrouwen omdat het hen niet bespioneert of straft de grootste kans van slagen heeft.

Image

https://www.security.nl/posting/649994/Duits+instituut+werkt+aan+bluetooth+traceer-app+tegen+corona?channel=rss

doorSecuratis

Zerodaylekken in Draytek-routers sinds december aangevallen

Twee zerodaylekken in routers van Draytek zijn zeker al sinds december gebruikt voor het afluisteren van het netwerkverkeer van organisaties en het installeren van backdoors. De netwerkfabrikant heeft inmiddels beveiligingsupdates uitgebracht. Dat meldt securitybedrijf Qihoo 360.

Onderzoekers van het bedrijf ontdekten op 4 december de eerste zeroday-aanvallen. Die maakten gebruik van een kwetsbaarheid in de Vigor3900-, Vigor2960- en Vigor300B-routers waardoor ongeautoriseerde gebruikers op afstand commando’s op de netwerkapparatuur konden uitvoeren. Op 28 januari werd er een tweede zerodaylek ontdekt dat actief door aanvallers werd gebruikt en ook het op afstand uitvoeren van commando’s mogelijk maakte.

Aanvallers gebruiken de kwetsbaarheden voor het installeren van scripts waarmee al het e-mail- en ftp-verkeer op poorten 21, 25, 143 en 110 wordt onderschept. Tevens installeren de aanvallers verschillende backdoors en maken ook backdoor-accounts aan. Onderzoekers van Qihoo 360 waarschuwden Draytek op 8 december vorig jaar voor het eerste zerodaylek, maar ontdekten later pas dat het communicatiekanaal niet bleek te werken.

Op 25 december verstrekte Qihoo 360 wat details over de aanvallen op Twitter, zonder de naam van Draytek te noemen. Uiteindelijk kwam Draytek op 10 februari met beveiligingsupdates. Daarop hebben de onderzoekers nu de details over de kwetsbaarheden openbaar gemaakt. Organisaties krijgen het advies om de firmware-updates te installeren en te controleren dat hun netwerkapparaten niet zijn gecompromitteerd. Op het moment dat de eerste aanvallen werden ontdekt waren er volgens Qihoo 360 zo’n 100.000 kwetsbare Draytek-routers online.

Image

https://www.security.nl/posting/649788/Zerodaylekken+in+Draytek-routers+sinds+december+aangevallen?channel=rss

doorSecuratis

FBI waarschuwt voor criminelen die usb-sticks rondsturen

De FBI heeft organisaties gewaarschuwd voor criminelen die malafide usb-sticks via de post rondsturen en malware installeren. In sommige gevallen worden ook cadeaubonnen of teddyberen meegestuurd. Onlangs waarschuwde ook al een securitybedrijf dat het een aanval had ontdekt waarbij er een usb-stick naar een bedrijf was gestuurd.

Hoewel het apparaat op een usb-stick lijkt is het in werkelijkheid een usb-apparaat dat een usb-toetsenbord emuleert. De computer denkt in dit geval dat het aangesloten usb-apparaat een toetsenbord is. Dit nep-toetsenbord kan allerlei commando’s op het systeem uitvoeren, zoals het downloaden van malware.

“Recentelijk heeft de FIN7-groep, bekend voor het aanvallen van bedrijven via phishingmails, een nieuwe tactiek toegepast door usb-apparaten via de post te versturen. De verstuurde pakketjes bevatten soms voorwerpen zoals teddyberen of cadeaubonnen en zijn gericht aan medewerkers van de aangevallen bedrijven die in human resources, it of het hoger management werken”, aldus de FBI-waarschuwing waar Bleeping Computer over bericht.

FIN7 staat ook bekend als Carbanak en wordt verdacht van het inbreken bij meer dan honderd banken wereldwijd, waarbij 1 miljard euro zou zijn gestolen. Ook wordt de groep verantwoordelijk gehouden voor het aanvallen van meer dan honderd Amerikaanse bedrijven en het stelen van miljoenen creditcardgegevens die vervolgens werden doorverkocht aan andere criminelen.

In het geval van de nu ontdekte usb-apparaten installeren die de Griffon-malware die de groep in het verleden vaker heeft gebruikt. Volgens de FBI heeft de groep de usb-apparaten naar bedrijven in de horecasector gemaild, alsmede winkelketens. De usb-apparaatjes die groep gebruikt zijn voor een paar euro online verkrijgbaar. Deze week kwam ook securitybedrijf Trustwave met een analyse van een usb-apparaat dat naar een aangevallen organisatie was verstuurd.

Image

https://www.security.nl/posting/649786/FBI+waarschuwt+voor+criminelen+die+usb-sticks+rondsturen?channel=rss

doorSecuratis

FTC keurt schikking met aanbieder “stalking-apps” goed

De Amerikaanse toezichthouder FTC heeft een schikking met een aanbieder van “stalking-apps” goedgekeurd. Het bedrijf besloot in maart 2018 al met alle activiteiten te stoppen en klanten hun geld terug te geven. Het is wel voor het eerst dat de FTC een aanbieder van “stalking-apps” aanpakt.

Retina-X Studios was aanbieder van onder andere Mobile Spy en PhoneSheriff. De apps werden aangeboden als manier voor ouders en werkgevers om het telefoongebruik van respectievelijk kinderen en werknemers te monitoren. Volgens de FTC compromitteerden de apps, die alleen voor Android beschikbaar waren, de veiligheid van telefoons omdat gebruikers de beperkingen van telefoonfabrikanten moesten omzeilen. De apps waren niet in de Google Play Store beschikbaar. Om ze toch te installeren moesten gebruikers het installeren vanuit onbetrouwbare bronnen inschakelen.

Daarnaast kreeg het bedrijf de afgelopen jaren met meerdere datalekken te maken. Aanvallers wisten daarbij allerlei gegevens te stelen. Bij de laatste inbraak werden foto’s van TeenShield- en PhoneSheriff-klanten gestolen. In een verklaring op de eigen website meldde Retina-X Studios dat het na de laatste inbraak met onmiddellijke ingang en voorgoed stopte met het aanbieden van PhoneSheriff, TeenShield, SniperSpy en Mobile Spy. Alle klanten met een abonnement zouden hun geld terugkrijgen.

Volgens de FTC had Retina-X geen maatregelen getroffen om misbruik van de apps tegen te gaan. Het bedrijf stelde dat de apps waren bedoeld om werknemers en kinderen te monitoren. Er waren echter geen maatregelen genomen om ervoor te zorgen dat de apps alleen voor deze doeleinden werden ingezet. Zo werden de apps ook gebruikt door personen die hun partner of ex-partner wilden monitoren. Tevens had het bedrijf gegevens die via de apps werden verzameld onvoldoende beveiligd. Desondanks stelde Retina-X dat gegevens veilig waren. Doordat ook gegevens van kinderen niet goed waren beschermd heeft het bedrijf de Amerikaanse COPPA-wetgeving overtreden.

Als onderdeel van de schikking mag Retina-X en diens eigenaar geen apps meer verkopen of verspreiden die smartphones monitoren, tenzij er maatregelen worden genomen om misbruik tegen te gaan. Ook mogen ze geen apps aanbieden of verkopen waarbij de veiligheidsmaatregelen van de telefoon moeten worden omzeild om de app te installeren. Tevens moeten alle gegevens die via de stalking-apps zijn verzameld worden verwijderd en moet er een uitgebreid beveiligingsbeleid worden geïmplementeerd om verzamelde persoonlijke informatie te beschermen.

Het is echter de vraag in hoeverre de schikking nog van toepassing is, aangezien het bedrijf al twee jaar geen producten meer verkoopt.

https://www.security.nl/posting/649733/FTC+keurt+schikking+met+aanbieder+%22stalking-apps%22+goed?channel=rss

doorSecuratis

Ministerraad akkoord met wetsvoorstel digitale besluitvorming

vrijdag 27 maart 2020, 15:58 door Redactie, 1 reacties

Laatst bijgewerkt: Vandaag, 17:04

De ministerraad is vandaag akkoord gegaan met het spoedwetsvoorstel digitale besluitvorming, dat gemeenten, provincies en waterschappen tijdelijk de mogelijkheid geeft om naast digitaal te vergaderen ook digitaal besluiten te nemen. Door het wetsvoorstel moet lokaal bestuur als gevolg van het coronavirus zoveel mogelijk kunnen blijven functioneren.

Op dit moment is digitale besluitvorming juridisch niet mogelijk. Het wetsvoorstel regelt een tijdelijke uitzondering hierop zolang een openbare fysieke vergadering niet of niet goed mogelijk is. Voorwaarde is wel dat de openbaarheid van vergaderingen behouden blijft via een openbare videoverbinding. Daarvoor moet het systeem dat een orgaan gebruikt bij alle leden beschikbaar zijn en moeten de leden voor de voorzitter, elkaar en het publiek herkenbaar zijn.

“Met het oog op de vele gewichtige maatschappelijke opgaven is het van groot belang dat het openbaar bestuur zoveel mogelijk blijft functioneren. Afgaande op de eerste signalen vorige week, heb ik de voorbereidingen voor een tijdelijke voorziening direct ter hand genomen. Een daartoe strekkend wetsvoorstel zal Uw Kamer zo spoedig mogelijk bereiken”, aldus minister Knops van Binnenlandse Zaken in een antwoord op Kamervragen over digitale besluitvorming (pdf).

Het wetsvoorstel regelt dat voor benoemingen van wethouders en gedeputeerden gebruik kan worden gemaakt van een vorm van briefstemmen. Dit in verband met de geheimhouding. De wet moet gaan gelden voor gemeenteraden, Provinciale Staten, algemene besturen van waterschappen en besturen van gemeenschappelijke regelingen. De Raad van State is gevraagd om met spoed over het wetsvoorstel te adviseren. Daarna zal het aan de Tweede Kamer worden aangeboden. Het is de bedoeling dat het wetsvoorstel op korte termijn in werking treedt.

“Ik wil Uw Kamer verzoeken het wetsvoorstel met de grootst mogelijke spoed te behandelen en indien mogelijk hier reeds woensdag 1 april over te stemmen. Het is van het grootste belang dat het wetsvoorstel op de kortst mogelijk termijn in werking kan treden, zodat ook de decentrale volksvertegenwoordigingen kunnen doen waarvoor zij gekozen zijn: het nemen van besluiten in het algemeen belang”, schrijft Knops in een brief aan de Tweede Kamer over het wetsvoorstel.

https://www.security.nl/posting/649728/Ministerraad+akkoord+met+wetsvoorstel+digitale+besluitvorming?channel=rss

doorSecuratis

DNB: cashloze maatschappij op termijn voorstelbaar

Door Anoniem:

Door The FOSS: Zeer goede zaak! Contant geld is zo ouderwets en belastend voor het milieu. (t.g.v. Metaal, papier, transport, beveiliging, etc.)

Want al die pin betalingen worden vanzelfsprekend met groene photonen naar een klimaat neutraal datacenter verstuurd, alwaar ze zonder enige milieubelasting tot in de eeuwigheid bewaard zullen worden. Bovendien vereist de productie van al die servers en opslag totaal geen zeldzame metalen.

Maar die servers en infrastructuur zijn er toch al! Die server en infrastructuur zijn er toch al! Voor andere en algemene doeleinden.

Door Anoniem: Begrijp me niet verkeerd, het zal ongetwijfeld beter zijn vergeleken met cash betalingen. Maar laten we de andere externe effecten van pinnen (privacy, data handel, uitsluiting van specifieke groepen) niet vergeten en ook niet doen alsof dit zo’n enorme klimaatklapper gaat zijn (in vergelijking tot zeg het sluiten van een kolencentrale).

Maar wel significant. Als je doorrekent met wat er allemaal bij komt kijken, bij cash van productie tot transport en gebruik.

Door Anoniem: Nee, doe mij maar cash. Of in ieder geval tot ik met een privacy vriendelijke cryptocurrency kan betalen.

Los van de klimaatvoordelen vind ik het erg omslachtig en knullig om al dat papier en metaal mee te dragen en uit te tellen bij betaling.

Door Anoniem: Cashloos is niet milieu vriendelijk (Metalen winning, papier, transport, beveiliging, slaven arbeid, energie opwekken, etc, …)

Natuurlijk wel want jouw voorbeelden worden niet specifiek voor cashloos ingezet. De infrastructuur en apparatuur is er immers al voor algemeen en ander gebruik. Enne, ‘slaven arbeid’ [sic]?

Door Anoniem: En dan is er een storing. …. …. … ….. ….. ….
Dan is cash opeens wel handig. Niet?
Niet al je eieren in een mandje willen leggen. Levensgevaarlijk.

Bij een storing werken de elektonische kassa’s vaak ook niet en soms zelfs de toegangsdeur van de winkel niet. En storing of niet, je geld blijft gewoon bij de bank staan, zodat je als de storing voorbij is gewoon weer verder kan.

Door Anoniem: allemaal een device of een plastic kaart dat in allerlij devices bij winkels en kantines enzv enzv nodig zijn, die drukken niet op het milieu? de stroom die nodig is daarvoor? weet je wat mij nu telkens stoort; als iets al eeuwen door de mensen in gebruik is met een of ander vlug technisch foefje argument, van een hedendaags mens die alleen zichzelf ‘ in scope ‘ heeft, te pareren.

Dat drukt veel minder op het milieu want een plastic kaartje of zelfs geen bij gebruik mobiele telefoon is heel iets anders dan die bergen papieren geld en munten. En het is geen ‘foefje’, het is de vooruitgang. Er zullen altijd mensen blijven die uit onbegrip of angst alle innovatie proberen tegen te houden [1]. Men heeft ooit geprobeerd de boekdrukkunst tegen te houden, elektriciteit, etc.

Door Anoniem: Zodra ik een argument ‘beter voor het milieu’ hoor weet ik dat er onzin verkocht is.

Dat is geen inhoudelijke weerlegging! Je ventileert hiermee alleen maar jouw buikgevoel. Dat geeft meteen zo’n PVV-vibe.

[1] https://numrush.nl/de-geschiedenis-blijft-zichzelf-herhalen-bij-iedere-nieuwe-innovatie-weer/

https://www.security.nl/posting/649722/DNB%3A+cashloze+maatschappij+op+termijn+voorstelbaar?channel=rss

doorSecuratis

Onderzoek: bedrijven negeren risico van wachtwoordresets via sms

Het is niet veilig om gebruikers hun wachtwoord via sms te laten resetten en via sms aanvullende inlogcodes te versturen, toch blijven veel bedrijven en websites deze optie aanbieden, ook wanneer ze over het risico zijn gewaarschuwd. Dat stellen onderzoekers van Princeton University op basis van eigen onderzoek. Ze vonden zeventien websites die sms-gebaseerde multifactorauthenticatie (MFA) aanbieden en gelijktijdig gebruikers hun wachtwoord via sms laten resetten.

En dat is door sim-swapping een beveiligingsrisico, aldus de onderzoekers. Bij sim-swapping weten oplichters een telecomprovider zover te krijgen om het mobiele telefoonnummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. Zodra een aanvaller het telefoonnummer heeft overgenomen kan die via sms het wachtwoord resetten en vervolgens met de via sms verkregen MFA-code inloggen.

Het probleem speelt en speelde bij allerlei grote partijen, zoals Microsoft, PayPal, Amazon, Adobe, eBay, Snapchat en Blizzard. De onderzoekers waarschuwden de zeventien bedrijven. “Adobe, Snapchat en eBay reageerden snel en verhielpen de kwetsbaarheden die we rapporteerden”, aldus de onderzoekers. “In drie gevallen, Blizzard, Microsoft en Taxact, leverde onze bugmelding niet het bedoelde effect op.” Na zestig dagen bleken de bedrijven de problemen te hebben verholpen, alleen zonder dat de onderzoekers waren geïnformeerd.

Uit het overzicht van de onderzoekers blijkt dat zeven van de zeventien gewaarschuwde bedrijven maatregelen hebben genomen en tien er nog kwetsbaar zijn. “Er lijkt een algemeen gebrek aan kennis over kwetsbaarheden te zijn die ontstaan door zwak authenticatiebeleid”, merken de onderzoekers op. Daarnaast stellen ze dat bedrijven het eenvoudig moeten maken om kwetsbaarheden te rapporteren.

Image

https://www.security.nl/posting/649718/Onderzoek%3A+bedrijven+negeren+risico+van+wachtwoordresets+via+sms?channel=rss

Secured By miniOrange