Auteur archief Securatis

doorSecuratis

Malafide apps met verborgen cryptominer in Microsoft Store

Onderzoekers hebben in de Microsoft Store acht malafide apps ontdekt die de rekenkracht van computers gebruikten voor het delven van cryptovaluta. Dat laat anti-virusbedrijf Symantec weten. Het gaat om apps die zich voordeden als vpn, YouTube-downloader, opschoontool en zoek-app.

Na de installatie werd er door de apps een JavaScript-library gedownload en uitgevoerd. Het bleek om de Coinhive-library te gaan die computers naar de cryptovaluta Monera laat delven. De apps waren tussen april en december vorig jaar in de Microsoft Store gepubliceerd. “Hoewel de apps een relatief korte periode in de Store stonden, heeft mogelijk een groot aantal gebruikers ze gedownload”, aldus de onderzoekers. Na te zijn ingelicht heeft Microsoft de malafide apps uit de Store verwijderd.

Image

https://www.security.nl/posting/597974/Malafide+apps+met+verborgen+cryptominer+in+Microsoft+Store?channel=rss

doorSecuratis

Facebook volgt gebruikers die het als bedreiging beschouwt

Facebook maakt gebruik van de eigen apps om gebruikers te volgen waarvan het denkt dat die een bedreiging voor het eigen personeel of kantoren vormen. Het gaat dan om mensen die dreigementen tegen de sociale netwerksite hebben geuit. Ook voormalige medewerkers zouden op de lijst staan.

Dat laten verschillende voormalige medewerkers tegenover CNBC weten. Volgens de ex-medewerkers zoekt Facebook op het eigen platform naar dreigementen en in sommige gevallen maakt het gebruik van de eigen apps om de locatie van mensen te volgen waarvan het denkt dat die een dreiging vormen. Verdachte personen worden op een “be on lookout” of “BOLO” lijst geplaatst, die eenmaal per week wordt bijgewerkt. Op de lijst zouden honderden mensen staan vermeld, zonder dat die dit weten.

Facebook waarschuwt beveiligingsbeambten elke keer dat een nieuw persoon aan de BOLO-lijst wordt toegevoegd. Er wordt dan informatie over de persoon verstuurd, zoals naam, foto, algemene locatie en een korte omschrijving waarom die is toegevoegd. Het beveiligingsteam van Facebook had zelfs een grote monitor waarop de gezichten te zien waren van mensen die op de lijst stonden, zo blijkt uit een foto die CNBC te zien kreeg.

Volgens een ex-medewerker kunnen gebruikers voor een opmerking als “Fuck you, Mark” en “Fuck Facebook” op de lijst terechtkomen. Een andere voormalige medewerker laat weten dat er geen duidelijke standaarden zijn om te bepalen wanneer iemand aan de lijst moet worden toegevoegd en dat dit per zaak wordt bekeken. Facebook ontkent dit en stelt dat mensen alleen worden toegevoegd waarvan is vastgesteld dat het om een geldige dreiging gaat.

Naast gebruikers zouden ook medewerkers op de lijst worden geplaatst. Drie bronnen stellen tegenover CNBC dat bijna alle ontslagen Facebookmedewerkers als BOLO worden bestempeld. Facebook kan BOLO-gebruikers volgen via de locatiegegevens die via de Facebook-app worden verzameld, of het ip-adres van de gebruiker dat via de website wordt verzameld. Een ex-medewerker merkt op dat Facebook alleen BOLO-gebruikers volgt die het als serieuze dreiging ziet. Wanneer een dergelijke gebruiker in de buurt is wordt zijn locatie in de gaten gehouden en andere teams geïnformeerd.

Facebook laat in een reactie weten dat het standaard maatregelen toepast om dreigingen tegen het personeel en bedrijf te beoordelen. “We hebben strenge processen om de privacy van mensen te beschermen en voldoen aan alle privacywetten en algemene voorwaarden van Facebook. Suggesties die stellen dat ons beveiligingsteam grenzen heeft overtreden kloppen niet.”

https://www.security.nl/posting/597967/Facebook+volgt+gebruikers+die+het+als+bedreiging+beschouwt?channel=rss

doorSecuratis

Lek in WordPressplug-in Cost Estimation actief aangevallen

Opnieuw zijn websites met een commerciële WordPressplug-in het doelwit van aanvallers geworden. Afgelopen dinsdag werd gewaarschuwd voor aanvallen op de plug-in Simple Social Buttons. Nu blijkt dat ook WordPress-sites met de plug-in Cost Estimation & Payment Forms Builder het doelwit van aanvallen zijn. Via de plug-in kunnen websites allerlei berekeningsformulieren toevoegen.

Een aantal maanden geleden werden verschillende kwetsbaarheden in de plug-in door de ontwikkelaar gepatcht. Destijds werd er echter geen melding van deze beveiligingslekken gemaakt. Eind januari ontdekten onderzoekers van securitybedrijf Wordfence dat aanvallers deze kwetsbaarheden gebruikten om WordPress-sites over te nemen. Tijdens het onderzoek naar de aanvallen ontdekten de onderzoekers ook een nieuw beveiligingslek in de plug-in.

De ontwikkelaar werd op 26 januari door de onderzoekers geïnformeerd en bracht op 31 januari een update uit. Beheerders van WordPress-sites die van Cost Estimation gebruikmaken krijgen het advies om naar de laatste versie te updaten. Volgens de website CodeCanyon, waarop de plug-in wordt aangeboden, is die bijna 12.000 keer verkocht.

https://www.security.nl/posting/597809/Lek+in+WordPressplug-in+Cost+Estimation+actief+aangevallen?channel=rss

doorSecuratis

Mozilla biedt persistente private browsing in Firefox voor iOS

Mozilla heeft een nieuwe versie van Firefox voor iOS uitgebracht die persistente private browsing biedt. Private browsing is een feature van de browser waardoor browsegedrag zoals cookies, wachtwoorden en bezochte websites automatisch worden gewist na het beëindigen van een sessie.

Ook blokkeert private browsing, of privénavigatie in het Nederlands, online trackers die worden gebruikt om internetgebruikers te volgen. Mozilla benadrukt dat de feature geen anonimiteit biedt en internetproviders, werkgever of websites nog steeds informatie over bezochte pagina’s kunnen verzamelen.

De nieuwste Firefox voor iOS beschikt over een optie waardoor private browsing-tabs over meerdere sessies zijn te gebruiken. Wanneer gebruikers een private browsing-tab openen en daarna Firefox sluiten, zal de browser de volgende keer dat die wordt geladen automatisch de privénavigatie starten en de laatst geopende pagina tonen. Verder is het beheren van tabs aangepast en is het eenvoudiger gemaakt om Firefox Home aan te passen. De nieuwste iOS-versie is te downloaden via de Apple App Store.

https://www.security.nl/posting/597798/Mozilla+biedt+persistente+private+browsing+in+Firefox+voor+iOS?channel=rss

doorSecuratis

FBI pakt verdachte op voor ddos-aanvallen en bommeldingen

De FBI heeft een 20-jarige verdachte opgepakt met het alias “WantedbyFeds” voor het uitvoeren van ddos-aanvallen en versturen van valse bommeldingen naar scholen. Volgens het Amerikaanse minister van Justitie was de man onderdeel van een groep genaamd Apophis Squad.

De groep verstuurde e-mails naar duizenden scholen in Groot-Brittannië en de Verenigde Staten waarin met bomaanslagen en schietpartijen werd gedreigd. Vanwege de bommeldingen besloten verschillende scholen tot ontruiming over te gaan. Verder voerde de groep ddos-aanvallen uit tegen de systemen van instellingen en bedrijven en wisten ze websites te defacen. De verdachte kan tot een gevangenisstraf van maximaal 80 jaar worden veroordeeld.

Daarnaast heeft de Amerikaanse openbare aanklager een 19-jarige Brit wegens de aanvallen aangeklaagd. De Brit werd afgelopen december in Groot-Brittannië veroordeeld tot een gevangenisstraf van 3 jaar. Na zijn gevangenisstraf daar moet hij zich ook voor de Amerikaanse rechter verantwoorden. In de VS kan hij een gevangenisstraf van maximaal 65 jaar krijgen.

https://www.security.nl/posting/597705/FBI+pakt+verdachte+op+voor+ddos-aanvallen+en+bommeldingen?channel=rss

doorSecuratis

Maltese bank haalt systemen en geldautomaten offline na aanval

De Maltese Bank of Valletta, de grootste bank van het land, heeft alle operaties stopgezet nadat het een cyberaanval ontdekte. Vanwege de aanval zijn alle kantoren gesloten en geldautomaten, mobiel bankieren, e-maildiensten en website offline gehaald.

In een verklaring laat de bank weten dat het geld van klanten geen gevaar loopt. Verdere details over de aanval zijn niet gegeven. Volgens de Times of Malta heeft de shutdown gevolgen voor verschillende lokale ondernemingen die afhankelijk zijn van de kassasystemen die de bank beheert om betalingen te verwerken. Ook kunnen kassasystemen die op de netwerken van concurrerende banken draaien geen betalingen verwerken van door Bank of Valletta uitgegeven bankpassen. Klanten kunnen bij getroffen winkels daardoor niet met hun bankpas betalen.

Image

https://www.security.nl/posting/597682/Maltese+bank+haalt+systemen+en+geldautomaten+offline+na+aanval?channel=rss

doorSecuratis

Slachtoffers datingfraude verloren 143 miljoen dollar in 2018

Slachtoffers van datingfraude zijn vorig jaar voor een bedrag van 143 miljoen dollar opgelicht, een sterke stijging ten opzichte van de 33 miljoen dollar in 2015. Dat heeft de Amerikaanse toezichthouder FTC bekendgemaakt. De cijfers zijn gebaseerd op meldingen die de FTC van slachtoffers ontving.

Bij datingfraude zoeken oplichters naar slachtoffers op datingsites, social media en dating-apps. De oplichters maken nepprofielen aan, vaak met foto’s van vreemden die op internet zijn te vinden. Vervolgens bouwen de oplichters een vertrouwensband met hun slachtoffers op, met als uiteindelijke doel het slachtoffer geld te laten overmaken.

Het aantal “romance scams” dat bij de FTC werd gemeld steeg van 8500 in 2015 naar meer dan 21.000 in 2018. De schade steeg van 33 miljoen dollar in 2015 naar 143 miljoen dollar vorig jaar. Het gemiddelde schadebedrag bedroeg 2600 dollar. Slachtoffers van 70 jaar en ouder verloren gemiddeld 10.000 dollar. Verder blijkt dat mensen tussen de 40 en 69 jaar twee keer vaker geld verliezen aan datingfraude dan mensen tussen de 20 en 30 jaar.

https://www.security.nl/posting/597582/Slachtoffers+datingfraude+verloren+143+miljoen+dollar+in+2018?channel=rss

doorSecuratis

ENISA publiceert richtlijnen voor veilige mobiele apps

Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) heeft richtlijnen gepubliceerd die ontwikkelaars kunnen gebruiken voor het ontwikkelen van veilige mobiele apps. De SMArtphone Secure developmeNt Guidelines (SMAShiNG) gaan in op verschillende maatregelen, zoals authenticatie, het correcte gebruik van biometrische sensoren, app-integriteit en het veilig verspreiden van software.

“SMAShiNG maakt het eenvoudiger voor ontwikkelaars om richtlijnen te volgen, door alleen die maatregelen te selecteren die relevant voor ze zijn”, aldus ENISA. De tool laat gebruikers de beveiligingsmaatregelen voor een bepaald domein selecteren, die vervolgens als checklist worden geëxporteerd. Deze checklist kan tijdens de ontwerpfase worden gevolgd.

Volgens ENISA is de lancering van SMAShiNG een belangrijk onderdeel van het werk van het agentschap om het “security-by-design” principe te bevorderen. Hierdoor wordt sterke cybersecurity al aan het ontwerp van een product toegevoegd, waardoor gebruikers minder moeite hoeven te doen om hun apparaten en producten te beveiligen.

Image

https://www.security.nl/posting/597578/ENISA+publiceert+richtlijnen+voor+veilige+mobiele+apps?channel=rss

doorSecuratis

Microsoft bevestigt privacy-update voor Office Pro Plus

Microsoft komt eind april met een privacy-update voor Office Pro Plus, nadat de Nederlandse overheid over de kantoorsoftware bij de softwaregigant had geklaagd. Het ministerie van Justitie liet de Haagse Privacy Company een onderzoek uitvoeren naar de gegevens die Windows 10 Enterprise en Microsoft Office over gebruikers verzamelen en opslaan.

Uit het onderzoek bleek dat diagnostische gegevens van en over de gebruiker worden verzameld en opgeslagen in een database in de Verenigde Staten, op een manier die hoge risico’s meebrengt voor de privacy van de gebruiker. Naar aanleiding van het onderzoek is de overheid met Microsoft in gesprek gegaan over een verbeterplan. Minister Grapperhaus liet in december weten dat Microsoft een instellingsmogelijkheid zal bieden om de diagnostische datastromen naar het bedrijf te beperken. Ook zal Microsoft volledige inzage in de resterende datastromen geven.

Politico meldt nu dat Microsoft de komst van een update voor Office Pro Plus heeft bevestigd. “In de komende weken nemen we aanvullende stappen die het eenvoudiger voor klanten maken om te begrijpen welke data naar Microsoft gaat om onze diensten te laten werken en waarom, en waar het delen van data optioneel is”, aldus Microsofts Julie Brill. Mochten de aanpassingen van Microsoft niet naar wens zijn, dan is volgens minister Grapperhaus ook de gang naar de Autoriteit Persoonsgegevens, met een verzoek voor een voorafgaande raadpleging en handhaving, een mogelijkheid.

In de tussentijd moeten er binnen de Rijksoverheid maatregelen worden genomen om het gebruik van Microsoft Office-software AVG-compliant in te richten. Deze maatregelen bestaan onder andere uit het beperken van de datastromen naar Microsoft. De overheid heeft hiervoor van Microsoft tijdelijke instellingen ontvangen, die binnen de Rijksoverheid zijn verspreid.

https://www.security.nl/posting/597423/Microsoft+bevestigt+privacy-update+voor+Office+Pro+Plus?channel=rss

doorSecuratis

Via LSP gedeelde patiëntgegevens niet end-to-end versleuteld

Patiëntgegevens die via het Landelijk Schakelpunt (LSP) worden gedeeld zijn niet end-to-end versleuteld, zo heeft minister Bruins voor Medische Zorg en Sport laten weten op vragen van de PvdD en SP. Het LSP is de infrastructuur voor het uitwisselen van vertrouwelijke medische patiëntgegevens.

Tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg stelde PvdD-Kamerlid Teunissen dat de data-uitwisseling tussen zorgverlener en patiënt, of zorgverleners onderling, van begin tot eind versleuteld zou moeten zijn. Het Kamerlid wilde van minister Bruins weten of het mogelijk is dat iemand tussen zorgverlener A en B, bijvoorbeeld de Amerikaanse operationeel beheerder CSC, inzage kan hebben in de medische gegevens van mensen.

Het Kamerlid vertelde dat er “geluiden” zijn dat de Amerikaanse beheerder CSC ertussen zou kunnen zitten. “Dit betekent dat gegevens die bij een zorgverlener liggen, weleens in handen van die beheerder kunnen komen. Dus het is cruciaal dat we weten of er momenteel sprake is van versleuteling. Zo niet, dan stelt mijn fractie voor om de NEN-normen aan te scherpen, zodat dit wel het geval is. Ik zou toch graag willen weten – misschien kan dit niet nu – of er sprake is van versleuteling”, aldus Teunissen.

Ook werd de minister gevraagd of hij kon bevestigen dat medische gegevens met het LSP niet van zorgverlener tot zorgverlener versleuteld zijn. “Is hij bereid de NEN-normen die de veiligheid van gegevensuitwisseling moeten regelen op dit punt aan te scherpen?”, aldus de vraag van het PvdD-Kamerlid. De minister laat nu weten dat er inderdaad geen end-to-end-encryptie wordt toegepast.

“Versleuteling is niet end-to-end, maar op de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor. Er zijn meerdere manieren om tot een sterke beveiliging te komen. De norm biedt die ruimte. De veiligheid is nu gewaarborgd via alle benodigde aanvullende maatregelen”, aldus Bruins (pdf). Wel zal de minister het Nederlands Normalisatie Instituut (NEN) vragen of het nodig is om de normen hierover aan te passen.

https://www.security.nl/posting/597386/Via+LSP+gedeelde+pati%C3%ABntgegevens+niet+end-to-end+versleuteld?channel=rss