Laat ik hier beginnen met een security-issue waar mijn oud-collega Martijn mee kwam. Vorige week mijn "5 januari 2026: securityzaken" gedeeld, een redelijke lijst met hacks en andere narigheid. Zijn reactie was "Je hebt de grootste hack gemist. MongoDB alle versies van de afgelopen 10 jaar lekken gegevens uit ram door de content length in je bson data aan te passen 🤭". Hoewel dit niet iets is wat niet bij andere software voorkomt (daar heb ik waarschijnlijk wel eens een artikel over gedeeld of het gelezen), als dat bij MongoDB gebeurt: dat is wel major nieuws. Ik ontvang redelijk wat mails op basis waarvan ik deze wekelijkse blogpost samenstel. Daar had dit dan toch wel even in genoemd mogen worden!
Mocht je meer over dat issue willen lezen, het security-team van MongoDB heeft het lek zelf gevonden (publiek bericht), iets meer technische details kun je hier in het CVE Record bekijken.
1. In plaats van je fysieke bankpas je Android-telefoon gebruiken? Toch maar even niet..., via esecurityplanet.com, 9 januari 2026
Via een linkje, phishing-bericht of iets anders, installeer je een app op je Android-mobiel omdat je denkt dat het je bank-app bijgewerkt moet worden. Denk je. Deze aanvaltechniek, Ghost Tapped genoemd, gebruikt jouw NFC chip om betalingen te doen, er zit namelijk malware in de app. De hackers zijn ook in het bezit van (gestolen of overgenomen) PIN-apparaten, die de actie als een geldige actie zien. Volgens de onderzoekers van GROUP-IB heeft een POS-leverancier geconstateerd dat er in de periode van november 2024 tot augustus 2025 aan 355.000 dollar aan illegale transacties doorgesluisd is: link.
2. Dat mailtje van je baas... komt niet van je baas!, via microsoft.com, 6 januari 2026
Om mails te sturen en te ontvangen moeten zaken ingericht worden. Om spam tegen te gaan worden vaak zaken als DKIM en DMARC gebruikt. Maar Microsoft waarschuwt dat bepaalde hackers via slimme acties ervoor kunnen zorgen dat mails van je collega, leidinggevende of directeur afkomstig zijn, maar dat dus niet zijn. Interessant om te lezen. En als je flink naar beneden scrollt krijg je ook een lijst met acties te zien waarmee je dit type misbruik tegen kunt gaan. In de mail die ik ontving stonden nog een aantal links, die misschien handig "ter referentie" kunnen zijn: wat is DMARC, wat is DKIM, wat is SPF. Met een mooie afsluitende zin: "In other words, treat your DNS like a firewall, not a suggestion".
3. Datalek bij Brightspeed (de Amerikaanse Ziggo), mogelijk gegevens van 1 miljoen klanten gelekt, via esecurityplanet.com, 7 januari 2026
Hackerscollectief Crimson Collective beweert dat ze deze data hebben kunnen bemachtigen. Deze groep heeft eerder een hack bij Redhat uitgevoerd, waardoor de gegevens van 21.000 klanten van Nissan gelekt zijn.
4. CES 2026: je deurbel wordt nog slimmer!, via eweek.com, 7 januari 2026
Als er een iets afwijkend is kan je Ring deurbel je een bericht sturen. Niet elke keer als dezelfde auto die het hele afgelopen jaar al langs je huis reed melden, maar deze keer die vage klusjesman die met een grote gereedschapskoffer voor de voordeur staat. Met computer-vision kan Ring je nu een audio-appje sturen.
5. Google extensies sturen jouw ChatGPT en DeepSeek berichten door, via techrepublic.com, 7 januari 2026
De extensies deden zich voor als de wel legitieme AITOPIA. Ook kreeg één van de extensies van Google de "featured"-badge... tot dat Google erachter kwam dat er malware in zat. De extensies zijn verwijderd, maar als je ze geïnstalleerd hebt, zul je ze zelf moeten verwijderen. Ga hiervoor in je Chrome-browser naar chrome://extensions
ox.security heeft dit lek gevonden, op hun blog leggen ze uit dat het om de extensies "Chat GPT for Chrome with GPT-5 & DeepSeek AI" and "AI Sidebar with DeepSeek, ChatGPT, Claude & more gaat. Google Chrome biedt een bepaalde API aan waardoor je wijzigingen in tabbladen als extensie kunt zien, de extensie kan ook bij het DOM-model (dus de HTML van de pagina). Voor legitieme extensies heb je dit ook vaak nodig, maar hier is het misbruikt om te detecteren dat er ergens "interessante informatie" is en om die data door te sturen naar de servers van de "bad guys". Lees hier het blog van ox.security.
6. Hack NordVPN was geen "productie-hack", via esecuritydata, 5 januari 2026
Deze "sandbox" was een omgeving bij een andere leverancier, waar NordVPN een proefabonnement had om zaken te testen. De data was "dummy-data". Het is in ieder geval een "wake-up call" voor een ieder, gebruik nooit productie-data in zulk soort omgevingen (ja, maar de klant zegt dat ze dit wel willen, omdat ze dan concrete voorbeelden kunnen testen), zorg dat jouw leverancier (of jezelf) de boel "dicht timmert", zodat deze omgevingen niet open staan voor de rest van het Internet. En als zoiets "niet meer gebruikt wordt", omdat bijvoorbeeld de testperiode afgelopen is, ruim dan ook zaken op en vertrouw er niet op dat de leverancier "dit wel zal gaan doen".
7. WordPress-admins, wees op je hoede... phishingmails!, via esecurityplanet.com, 6 januari 2026
Hackers zijn weer bezig, met "algemene e-mails" die je op een dwingende manier duidelijk maken dat bepaalde diensten die je afneemt bijna verlopen en je die dus moet vernieuwen, sturen je naar een site met een Wordpress-look, domein wat begint met soyfix. Nadat je door de creditcardbetaling heen gegaan bent, worden die gegevens naar een Telegram-bots gestuurd, waarna er misbruik wordt gemaakt van je creditcard. Vervolgens krijg je een soort 2FA stap, waar je moet authenticeren. Elke keer krijg je "verification failed", maar ondertussen worden die geldige codes doorgestuurd naar de Telegram-bots om hun aankopen succesvol af te ronden. Ingenieus, maar ook eng.
8. Dat mailtje van Google... komt van een Google domein, maar niet van Google!, via techrepublic.com, 5 januari 2026
Je ontvangt een mailtje wat van Google afkomstig lijkt (afzender noreply-application-integration@google.com), de link erin verwijst naar storage[punt]cloud[punt]google[punt]com. Omdat dit een geldig domein is, dit allemaal matcht, laten veel SPAM-filters deze mail door. Maar deze mail is niet onschuldig, als je doorklikt kom je op een Microsoft 365 inlogpagina. De oplettende IT-er zal hier stoppen. Maar de minder oplettende ontvanger van de mail, gaat hier eerst proberen in te loggen met zijn/haar credentials. En poef: dan is het te laat. De tip die in de mail staat lijkt mij inderdaad de beste optie, maak jij/jouw bedrijf geen gebruik van applicatie-integratie zaken van Google, stuur mailtjes met deze afzender meteen naar de SPAM-map (of hou ze in een soort quarantaine). De onderzoekers van ravenmail.io hebben het uitgezocht, op deze pagina kun je daar een uitgebreid verslag van lezen.
9. Kimwolf botnet gebruikt fotolijstjes en TV-boxen om DDOS-aanvallen uit te voeren, via esecurityplanet.com, 7 januari 2026
Leuk die digitale fotolijstjes en tv-boxen die je vakantiefoto's tonen, waar je tv-series op kijkt, maar die bepaalde poorten open kunnen hebben staan, en waarbij ook nog ADB actief is (even je android debuggen). Deze botnet dringt binnen, bemachtigt root-rechten en probeert de rest van de wereld te infecteren. Op krebsonsecurity.com staat ook een uitgebreid blog over Kimwolf. De technische flow, lees dan dit blog van synthient.com. Heb je een device (fotolijstje, android apparaat) en ben je bang dat je gehackt bent? Synthient heeft een lijstje met IP's, dus door op deze link te klikken kun je checken of je daar in staat. Bouw thuis een gastnetwerk op om deze devices op te laten draaien. Patch je router naar de meest recente versie en zorg dat ADB uit staat.
10. Microsoft maakt je Teams weer een stuk veiliger vanaf januari 2026, via techrepublic.com, 31 december 2025
Heb je problemen om een link te delen, een bestand met je collega te delen via Teams? Dat kan hierdoor komen. Microsoft ziet dat er veel AI-misbruik is, dus bij het delen van bestanden worden "onveilige bestanden geblokkeerd". Het delen van een executable-bestand via Teams was natuurlijk nooit een goed idee ;) Als je een link deelt die bij Microsoft bekend is als een onveilig domein, dan krijg je er een waarschuwing bij te zien. En ook Microsoft kan het fout hebben. Dus je kunt ook aangeven dat bepaalde blokkades onterecht waren, waardoor het algoritme de volgende keer het beter zou moeten doen.
11. Laat AI jouw systeem testen, via eweek.com, 31 december 2025
Bij PEN-testen gebruik je vaak tooltjes en heb je bepaalde structuren om zaken te testen. Iets wat ook door AI gedaan zou kunnen worden. NeuroSploitv2 is een Penetration Testing Framework, op basis van AI. In het artikel kon ik zo geen link vinden, maar een korte zoekactie bracht mij op het Github-project, waar je de code kunt vinden.