28 juli 2025: securityzaken

Ingediend door Dirk Hornstra op 30-jul-2025 22:45

1. AI verwijdert productiedatabase en liegt, via eweek.com, 22 juli 2025

Ik had dit al ergens op LinkedIn voorbij zien komen. En ook de reacties daarop. Ik kan mij vinden in de reactie "dan heb je security-zaken niet goed ingeregeld in je bedrijf, je moet hier niet AI de schuld geven". Want dat klopt. Je moet niet vertrouwen op alleen een prompt waarin je zegt "je moet dit niet doen!", je moet ook in je Active Directory, database en andere omgevingen waar je RBAC (role-based access) toepast zorgen dat je AI-bot als de "nieuwe stagiair" binnenkomt: die mag misschien wel veel onderdelen bekijken, maar "echte acties" uitvoeren, daar moeten toch even wat extra checks op uitgevoerd worden.

2. Gebruik ook verschillende gebruikersnamen, via techrepublic.com, 22 juli 2025

Ik gebruik op best veel sites dezelfde gebruikersnaam. Vooral als een gebruikersnaam "eigenlijk" een e-mailadres is. Maar zoals in dit artikel wordt genoemd, het is 50% van je inlogproces, dus als er ergens een "data-breach" is, heeft een hacker dus al 50% van je data in handen. En omdat je e-mailadressen vaak kunt aanvullen met extra informatie via het + teken. Dus je geeft niet emailadres@provider.nl op, maar emailadres+willekeurigedata@provider.nl in en de mail komt nog steeds binnen op emailadres@provider.nl. Omdat gevalideerd wordt op het volledige e-mailadres heeft "de hacker" ook de +willekeurigedata nodig. Iets wat je in een password-manager kunt opslaan.

3. Hackers proberen je niet je firewall te hacken, ze komen binnen als werknemer X, via clouddatainsights.com, 24 juli 2025

Met bepaalde malware kunnen gegevens van je computer opgevraagd worden door een hacker en vervolgens via het Darkweb verkocht worden. En zo kan "iemand" die niets in jullie netwerk te zoeken heeft inloggen. Vaak wordt nog gedacht dat die firewall de boel wel buiten houdt, maar eigenlijk moet je dus uitgaan van het scenario: de aanvaller is al binnen. Je moet dus binnen je netwerk zorgen dat zaken goed van elkaar gescheiden zijn en eventueel aanvullende controles uitvoeren. Voor een medewerker kan het "irritant" zijn dat nogmaals het wachtwoord ingevoerd moet worden, maar het kan net de actie zijn die voorkomt dat de persoon die binnen is bij bepaalde vertrouwelijke informatie kan komen.

4. Engeland wil het betalen van ransomware verbieden, via techrepublic.com, 23 juli 2025

Ik had het al via LinkedIn voorbij zien komen. Het is ook het eerste wat je denkt: "je gaat toch ##$#%%% niet betalen!". Maar als je geen back-ups hebt, of al je back-ups zijn ook al geïnfecteerd, dus je hebt er niets aan (de hacker is al maanden binnen je netwerk actief), dan heb je vaak een groot probleem. En is "betalen" alsnog de enige oplossing. Het blijft iets met een dubbel gevoel, want natuurlijk zou je niet moeten betalen, maar zolang wij fixes bedenken, bedenken hackers weer nieuwe manieren om die te omzeilen.

5. Datalek bij Dior, via documentcloud.org, 18 juli 2025

Ook hier weer een goed voorbeeld van "hoe lang iemand binnen kan zijn, zonder dat iemand het merkt". Begin mei 2025 wordt geconstateerd dat er iets/iemand binnen de systemen dingen doet die niet horen. Als dan in de logs e.d. gekeken wordt, blijkt dat eind januari 2025 iets/iemand een database met klantgegevens benaderd heeft. NAW-gegevens, geboortedatum en mogelijk je paspoort of andere ID-nummer.

6. Security-issue met macOS: spotlight plug-ins die bij je Downloads-folder en meer kunnen komen, via microsoft.com, 28 juli 2025

De korte versie is dat je met Spotlight snel kunt zoeken. Je kunt je eigen plug-ins maken om de zoekfunctionaliteit uit te breiden. Maar schijnbaar is het mogelijk om dan "grenzen te overschrijden". Mooi dat Microsoft dit constateert, meldt bij Apple en dat Apple het vervolgens fixt. De fix is al uitgebracht in maart voor macOS Sequoia. De vraag blijft dan wel: als je een oudere versie hebt (bijvoorbeeld Montery, Big Sur), zit daar die bevinding dan ook in en wordt het dan niet gefixt?

7. Datalek bij Allianz, via techcrunch.com, 26 juli 2025

Gegevens van klanten van Allianz (volgens die artikel alleen Amerikanen) werden opgeslagen in een CRM in de cloud. Via "social engineering" heeft een (groep?) hackers toegang gekregen tot die data van 1.4 miljoen klanten.

8. Datalek bij Tea, dating-app voor vrouwen, via 404media.co, 25 juli 2025

Schijnbaar stond op een "oude server" nog allemaal data van klanten van 2 jaar geleden. Foto's van identiteitsbewijzen, selfies. Tevens zegt Tea in haar voorwaarden dat "na verificatie je foto's van ID's meteen verwijderd worden", wat dus niet zo is. Laat het een wake-up-call zijn voor een ieder, als je een scan van een rijbewijs, paspoort, ID-kaart of iets dergelijks moet aanleveren, doe het alleen als het echt nodig is, neem de dienst niet af als je twijfels hebt en als het dan echt moet: gebruik de KopieID-app om zoveel mogelijk data te blurren / af te schermen, zodat dit niet misbruikt kan worden.

9. Amazon AI coding agent krijgt "verwijder resources instructie", via 404media.co, 23 juli 2025

In versie 1.84 had een developer het voor elkaar gekregen om in de prompt de opdracht toe te voegen dat "de computer van de gebruiker gewist moet worden". En schijnbaar is dat ook gereleased. AWS kwam met een bericht om zo snel mogelijk te updaten naar 1.85. Wat ook weer een wake-up-call is, veel developers zijn op hun eigen computer "local admin", dus mogelijk had dit uitgevoerd kunnen worden. Met minder rechten krijg je vaker een pop-up en moet iemand met een admin-account zaken doorvoeren, maar het zorgt wel voor extra veiligheid.

10. Security-issues met Sharepoint (on-premise), via microsoft.com, 22 juli 2025

Naast het bij Microsoft "online" gebruiken van Sharepoint zijn er ook bedrijven die op hun eigen server Sharepoint hebben draaien. Recent is Microsoft erachter gekomen dat daar een patch op doorgevoerd moest worden, omdat er security-issues waren. In dit artikel laat Microsoft zien dat inmiddels hackers (uit China) bezig zijn om ransomware-hacks uit te voeren. Interessant om te lezen hoe ze dat doen, maar natuurlijk super vervelend als jij daardoor getroffen wordt. Blijft natuurlijk de vraag staan, als je een Nederlands bedrijf bent en alleen je Nederlandse (en/of Belgische/Duitse/Franse) collega's moeten toegang hebben tot deze Sharepoint-omgeving, waarom laat je alle verzoeken uit China en andere oosterse landen "zo ver komen" en kap je ze niet af bij binnenkomst in je firewall?