Ik ben er even tussenuit geweest, maar de security-issues blijven maar doorgaan.
1. Ethische hacker pakt boefjes terug, via inti.io, 9 maart 2026
Ik zag dit artikel via Tweakers voorbij komen. Naast het feit dat ik het een interessant artikel vond, leer je ook weer wat nieuwe tools kennen. Inti noemt namelijk Burp Suite, tools waarmee je zaken kunt testen/faken.
2. Data van LexisNexis gelekt, via bleepingcomputer.com, 3 maart 2026
Via een lek konden hackers bij 2 GB aan bestanden komen, die zijn ook (deels) gedeeld via forums en sites. Het lek ontstond doordat er een frontend React app gebruikt werd. Deze was (nog) niet bijgewerkt om een recente bevinding, de react2shell bug, te fixen. Meer informatie daarover kun je hier nalezen.
3. MS-Agent, een lichtgewicht AI framework kan ongewenste acties uitvoeren, via esecurityplanet.com, 4 maart 2026
Als iets met MS begint, denk je eerst aan Microsoft. Maar deze tools is van ModelScope. Onderzoekers vonden de resultaten behoorlijk schokkend, door wat zaken in documenten te configureren kon redelijk simpel acties uitgevoerd worden die ongewenst waren. Met wat regex-controles "na de tijd", waarbij die actie te laat is en ook nog eens niet uitgebreid genoeg. Uitleg kun je op deze pagina nalezen.
4. Paypal lekt van 100 personen gevoelige data, via techrepublic.com, 20 februari 2026
Zoals je in het artikel kunt lezen is er code bijgewerkt. Als er iets fout ging, werden (te) veel gegevens zichtbaar die niet zichtbaar zouden mogen zijn. Hoewel het hier om "maar" 100 personen gaat, is het wel goed om te weten, want zoiets zou "ook" gewoon in het normale deel van Paypal, waar wij gebruik van maken voor kunnen komen. Hopelijk is het dan wel sneller zichtbaar (hier heeft het 6 maanden geduurd).
5. Gegevens 38 miljoen klanten gelekt, via bleepingcomputer.com, 26 februari 2026
Ik ken ManoMano niet en dat kan kloppen: bij de keuze van landen op de website staat Nederland er niet bij, wel Duitsland. Gegevens van klanten zijn via een "contractor" gelekt. Zoals je in het artikel kunt lezen mogelijk een klantenservice-afdeling in Tunesië, die gebruik maken van Zendesk.
6. Installeer de Google update van maart, via techrepublic.com, 4 maart 2026
In deze update worden 129 foutjes gefixt en ook een "zero day" security-issue wordt hiermee opgelost. Toen ik dit las heb ik op mijn eigen Androids ook maar even het scherm open getrokken, via Instellingen, Security & Privacy, System Updates zag ik dat er bij mij ook een update stond te wachten. Meteen doorgevoerd, 867 MB downloaden en installeren.
7. Installeer ook je Apple updates, via wired.com, 3 maart 2026
Coruna, een exploit kit die door de Amerikaanse overheid gebruikt zou worden om toegang te krijgen tot iPhones is nu ook in gebruik bij de Russen (voor spionage in Oekraïne) en de Chinezen (hackers die crypto-wallets leeg halen). Bij iOS versie 13 tot 17.2.1 is het openen van een foutieve website al voldoende om die acties uit te kunnen voeren. iOS 17.3 is al uitgebracht op 22 januari 2024, maar niet iedereen update zijn/haar device. Of je moet een oudere telefoon hebben, de iPhone X (uitgebracht in 2017) en ouder, daar kan 17.3 niet op geïnstalleerd worden.
8. Ray-Ban brillen van Meta lekken data, via gizmodo.com, 3 maart 2026
Om "hun brillen" slimmer te maken, stuurt Meta een deel van de data die via de bril waargenomen wordt naar een soort callcenter in Kenia, waar handmatig zaken gelabeld worden. Maar nu blijkt dat daar ook beelden tussen zitten waarvan de gebruiker niet de intentie gehad heeft dat "andere mensen" die informatie ook kunnen zien. Je vrouw die zich aan het omkleden is, je creditcard die je bekijkt en dan de achterkant ook bekijkt (je hebt dan alle info die je nodig hebt). Het uitgebreide verslag kun je lezen in het Zweedse Dagblad.
9. Perplexity Browser deelt documenten van jouw pc en wachtwoorde uit 1Password met hackers, via theregister.com, 3 maart 2026
Wederom een security-issue met Perplexity, een AI browser. In de week van 24 november 2025 was er een issue met de MCP server, in dit geval lijk je een normale kalender-invite te ontvangen. Niet dus, want er zitten een soort "verborgen instructies" in. Waarbij in je browser iets als een view-source:[bestand op schijf] uitgevoerd wordt, waardoor bepaalde bestanden op je schijf dus externe gedeeld kunnen worden. En als je gebruik maakt van 1Password (en die had je "open staan", omdat je bijvoorbeeld daarmee in je browser ingelogd bent in Outlook of Gmail, of een andere site waarvan je het wachtwoord uit 1Password haalt), op dat moment kon je browser ook door jouw "1Password" heen browsen. Het bericht van 1Password over dit issue kun je hier nalezen. De conclusie in de mail die ik ontvang is duidelijk: "kun je een AI browser veilig gebruiken voor persoonlijk of zakelijk gebruik?" - NEE. Experts benadrukken dat je een zero-trust instelling moet hebben, automatisch inloggen moet uitschakelen, extensies "locken".
10. BYOVD misbruikt om ransomware te installeren, via esecurityplanet.com, 2 maart 2026
BYOVD staat voor Bring Your Own Vulnerable Driver. Voor meerdere zaken op je pc zijn "drivers" nodig om zaken te laten werken. Ook voor sommige applicaties. "Nieuwe" drivers zijn ondertekend door Microsoft en zouden in theorie veilig moeten zijn, maar je zit met "oudere software, systemen" die moeten blijven werken. Het voorbeeld wat gegeven wordt is het spel Genshim Impact. Dit spel uit 2020 laadt een bepaalde driver om te voorkomen dat spelers valsspelen. Maar die driver is dus "buggy", software van hackers maakt daar misbruik van, activeert dat om te zorgen dat anti-virus inactief wordt en installeert dan de ransomware op het systeem.