9 juni 2025: securityzaken

Ingediend door Dirk Hornstra op 11-jun-2025 21:25

1. Microsoft helpt Europese overheden met de strijd tegen AI cyberattacks, via techrepublic.com, 5 juni 2025

Microsoft heeft hiervoor een site opgericht, overheden kunnen daar zo te zien de broncode van Microsoft producten bekijken om zo te kunnen bepalen of "het veilig genoeg is" om gebruik te maken van producten van Microsoft. In het artikel staat ook nog een referentie naar een artikel over Lumma malware, actief vanaf 2022. Deze malware wordt te koop aangeboden, hiermee kunnen kopers op Windows systemen crypto-wallets kraken e.d. Samen met het Amerikaanse ministerie van Justitie is Microsoft bezig dit te bestrijden.

2. 2FA, two-factor-authenticatie, welke tools zijn er, via techrepublic.com, 5 juni 2025

Inloggen op een site met alleen gebruikersnaam en wachtwoord is eigenlijk niet veilig. Want met brute-force acties of het lekken van wachtwoorden kan iemand anders "redelijk simpel" inloggen als jou.... En dan ben je de pineut. Daarom gebruiken veel sites een aanvullende code die je moet invoeren en die kan alleen jij weten, omdat je een bepaalde app hiervoor gebruikt. Op deze pagina van techrepublic kun je lezen welke 6 stuks de auteur "de beste vindt". 


In het artikel staat dat je voor Authy 5 cent per validatie moet betalen. Dat is alleen als je als ontwikkelaar gebruik maakt van Authy. Als jij de app gebruikt om met 2FA in te loggen, dan is installatie en gebruik gewoon gratis.

3. Vishing-attack op bedrijven met SalesForce, via techrepublic.com, 5 juni 2025

Ik dacht eerst dat het een typefout was, maar vishing staat dus voor voice phishing. Medewerkers van bedrijven worden telefonisch benaderd om in Salesforce een plug-in te activeren. De plug-in, Data Loader, is een plug-in van Salesforce zelf om handig data te exporteren, importeren. Alleen wordt je (natuurlijk) naar een andere variant geleidt die ervoor zorgt dat data uit Salesforce naar de hackers gevoerd wordt. Volgens het artikel zijn inmiddels 20 bedrijven hierdoor geraakt. Vaak werd IT support om de tuin geleid, vaak omdat deze meer privileges hebben en daardoor zonder problemen de plug-in kunnen installeren.

4. Meta en Yandex bespieden al jaren hun gebruikers op Android, via techrepublic.com, 4 juni 2025

Eerst een stukje chauvinisme: een Nederlander heeft dit ontdekt! Günes Acar van de Radboud Universiteit heeft uitgezocht hoe Meta en Yandex via cookies en andere acties gebruikers in de gaten konden houden. Daar zat ook de mogelijkheid bij om te zien welke sites in "private mode" bezocht werden. Dus ook de mensen die zeggen "ik heb niets te verbergen.." omdat ze denken dat wat ze in een private browservenster bezoeken toch nooit openbaar wordt... toch wel dus! Op deze Github-pagina kun je nalezen wat het probleem is en hoe het onderzocht is. 

5. Heb je zonnepanelen op het dak? Met zo'n handige webinterface? Check dan even dit artikel, via techrepublic.com, 4 juni 2025

Forescout is een security-partij, die is gaan onderzoeken wat voor zonnepaneelsystemen aangesloten zijn op het internet en of ze zwakke punten bevatten. Ze vonden 90 gaten in de beveiliging, waaronder 46 in producten van Sungrow, Growatt en SMA. Het is net als je computer/laptop/tablet: je moet regelmatig updates doorvoeren. Dat geldt dus ook voor de software van je zonnepanelen, firmware bijwerken e.d. 

Het rapport is hier na te lezen.

6. Onderzoekers van DomainTools waarschuwen voor Remote Access Trojans, via domaintools.com, 3 juni 2025

De onderzoekers zijn op sites gestuit waarbij je als bezoeker gevraagd wordt om bepaalde Powershell-scripts uit te voeren. Dat zou al alarmbellen moeten laten rinkelen, maar als je op zoek bent naar een script en dat is een Powershell-script, dan zou je mogelijk "in de val kunnen trappen". Op deze pagina wordt uitgebreid uitgelegd wat er gedaan wordt. Zo ook hoe letters 13 posities in het alfabet worden "opgeschoven" om de tekst te verhullen. Met wat instructies wordt dat weer teruggezet en zo worden kwaadaardige codes uitgevoerd. In het artikel staat een referentie naar dit CSV-bestand, deze bevat een lijst met websites die je beter niet kunt bezoeken.

7. Gebruik je Hewlett Packard Enterprise StoreOnce Software? Zo snel mogelijk updaten! Via techrepublic.com, 3 juni 2025

Authenticatie kan omzeild worden, remote execution kan uitgevoerd worden en directory traversal (je zit in een bepaalde map, maar krijgt het voor elkaar om een map hoger te komen, nog een map hoger en uiteindelijk op het hoofdniveau van de partitie). Uitleg van HP staat hier. En wil je weten wat StoreOnce is, dat wordt hier uitgelegd.

8. Geef een hackergroep 1 naam. Initiatief van Google(Alphabet), Microsoft, CrowdStrike, Palo Alto, via reuters.com, 2 juni 2025

Verschillende bedrijven/organisaties geven dezelfde hackergroep soms een andere naam. Dat is verwarrend. Daarom is dit initiatief opgestart om te zorgen dat er "maar 1 naam per groep" gegeven wordt. Zo kun je op deze pagina lezen hoe Microsoft hun namen geeft aan bepaalde groepen.

9. Zero-day probleem in Google Chrome, update je browser! Via thehackernews.com, 3 juni 2025

Door zwakke punten in de  V8 Javascript-engine en in de WebAssembly engine kon via bepaalde HTML-instructies "heap corruption" uitgevoerd worden. Oftewel, je geheugen kon gehusseld worden, waardoor ook gegevens die anders niet inzichtelijk zijn, wel bekeken konden worden. Zorg dus dat je minimaal versie 137.0.7151.68 geïnstalleerd hebt.

10. Waarschuwing van Microsoft over AiTM aanvallen die MFA negeren, via microsoft.com, 29 mei 2025

Naast de phishing-aanvallen op gebruikers die alleen gebruikersnaam en wachtwoord gebruiken, lopen hackers er nu tegenaan dat veel mensen MFA gebruiken. Alleen, met AiTM (Adversary-in-the-middle) kom je nu op een site die geldig lijkt en je krijgt ook een pop-up voor MFA die goed lijkt te zijn. Maar met bepaalde frameworks, zit er een soort proxy tussen jou en de fake site en die kan vervolgens vervelende dingen doen. Microsoft ziet dat uit onderzoek toenemen. Hun advies is om naast MFA (multi factor authenticatie) ook conditionele access policies toe te passen. Extra controle op IP-adressen, type devices. Ook het gebruik van passkeys zou een oplossing kunnen zijn (die werken alleen vanaf een bepaald device, op een bepaalde URL en is gebruiker specifiek, want je moet nog wat extra doen (vingerafdruk,pin)). In dit blog kun je daar meer over lezen.

11. Recruiter e-mail aan de baas, met een bijlage in de mail..., via thehackernews.com, 2 juni 2025

De e-mail lijkt afkomstig te zijn van een recruiter van Rothschild en Co. De PDF die je opent toont een CAPTCHA die je op moet lossen, lukt dat, dan wordt er een zip-bestand gedownload, zaken uitgevoerd en vervolgens staat je computer "open naar buiten". Hierbij wordt gebruik gemaakt van Netbird, een pakket wat gebruikt wordt om VPN connecties e.d. op te zetten (een geldig pakket wat iedereen kan/mag gebruiken), maar op deze manier dus misbruikt wordt.

12. Everest hackers bemachtigen gegevens van Coca Cola werknemers, via darkreading.com, 30 mei 2025

Volgens het artikel zijn ze in het bezit daarvan gekomen door zich binnen te hacken in de SAP HR tool. Coca Cola kan er niet zoveel aan doen, het ligt hier dus meer bij SAP... In dit artikel van hackread.com kun je lezen dat de groep (een deel?) van de data online heeft gezet als bewijs dat ze het gedaan hebben.

13. 47.5 GB database stond online open, 184 miljoen logins en passwords, via websiteplanet.com, 1 juni 2025

Onderzoeker Jeremiah Fowler vond deze Elasticsearch database die volledig open stond. Het is dus niet bekend hoe lang de gegevens al te raadplegen waren. Zijn uitspraken over e-mail vond ik nog wel even de moeite waard om hier te delen, want ook ik heb een aantal mailboxen vol met data. Betaalde facturen e.d. Wat dan mogelijk weer een ingang is voor iemand die in mijn mailbox kan komen om zo mijn IBAN-nummer te vinden en te misbruiken.



Many people unknowingly treat their email accounts like free cloud storage and keep years’ worth of sensitive documents, such as tax forms, medical records, contracts, and passwords without considering how sensitive they are.
This could create serious security and privacy risks if criminals were to gain access to thousands or even millions of email accounts.
 

14. Problemen met de website van Victoria's Secrets, via drapersonline.com, 29 mei 2025

Victoria's Secret is bekend van de mooie modellen, maar ook bij dit bedrijf speelt IT een belangrijke rol. Namelijk voor de website en volgens het artikel ook voor bepaalde "in store zaken". Omdat er een "security incident" was, is de site "even" down gebracht en ook sommige zaken in de winkel zijn uitgeschakeld. Na deze aankondiging daalde het aandeel met 7%, dus het heeft ook direct financiële impact.

15. Kaiser Permanente (healthcare Amerika) had last van "netwerkproblemen", via cybernews.com, 30 mei 2025

Je afspraken niet in kunnen zien, je dossiers over je gezondheid niet in kunnen zien, klantenservice die niet werkt, de apotheken die niet in de systemen kunnen komen (en met pen en papier werken), radiologie, laboratoriumtesten. We worden met zijn allen steeds meer een "digitale samenleving", dit is één van de partijen waarbij dat eigenlijk 100% zou moeten werken en nooit last van storingen zou mogen krijgen. In april was dit bedrijf al getroffen door een hack. In het artikel kun je lezen dat een ander bedrijf, Kettering Health, ook door ransomware getroffen is.

16. MATLAB getroffen door ransomware, via bleepingcomputer.com, 27 mei 2025

Volgens mij heb ik ooit naar matlab gekeken, door een uitzending van .NET Rocks over functioneel programmeren o.i.d. Matlab wordt gebruikt voor analyse, bepalen van algoritmes. Ik kan me voorstellen dat als je als bedrijf afhankelijk bent van deze diensten, het niet beschikbaar zijn zo kort mogelijk moet duren.

17. ChatGPT en andere web-applicaties kunnen bij je volledige OneDrive komen, via oasis.security, 28 mei 2025

Microsoft stimuleert het gebruik van OneDrive. Dus als je met ChatGPT bezig bent en een document gaat uploaden, dan is dat vaak vanaf OneDrive. Er zat een bug in de OneDrive File Picker, waardoor de applicatie ook bij je andere bestanden op je OneDrive kon komen.

18. Gitlab DUO, de AI-tool voor Gitlab kon je private code naar buiten smokkelen, via techrepublic.com, 27 mei 2025

De prompt kon gemanipuleerd worden. Met trucs als verborgen merge-requests, witte tekst, unicode karakters, base16 encoding en zaken in afbeeldingen (<img -tags) te zetten konden kwaadwilligen ervoor zorgen dat code die "private" zou moeten zijn, toch naar buiten kon komen.

19. Neem een MAC, stuk veiliger dan Windows. Of toch niet?, via cybersecuritynews.com, 16 mei 2025

Ook macOS ligt de laatste tijd behoorlijk onder vuur, in dit artikel een kort overzicht van wat er de afgelopen maanden speelde, zoals het "uit de sandbox van je browser kunnen komen", dat is iets wat je absoluut niet wilt.

20. Krijg je een berichtje: ik heb thuiswerk voor je? 99% kans dat het een scam is, via esecurityplanet.com, 21 mei 2025

Berichten via SMS, Whatsapp, mail of Telegram van onbekenden. Die een aanbod voor je hebben. Ik verwijder/blokkeer deze berichten standaard. Maar (helaas) trappen er toch nog mensen in. In dit artikel kun je daar over lezen. Ook nog met een link naar een site om "scams te zoeken", dus als je een berichtje krijgt en je twijfelt, dan kun je hier nog even zoeken of daar al iets van gemeld is. Ook deze blogs op de site van Identity Theft Resource Center zijn de moeite waard om te lezen.