6 juli 2026: securityzaken

Ingediend door Dirk Hornstra op 08-jul-2026 20:35

1. De vloedgolf aan security-issues en de impact daarvan op de database van Github, via github.blog, 29 juni 2026

Dit artikel kwam bij mij in beeld doordat mijn oud-klasgenoot Dirk Lemstra dit artikel van Madison Oliver Ficorilli deelde. Dit is iets wat (als het goed is) een gevoel van herkenning bij developers oplevert. Je bouwt een website met bijbehorende database, klanten, producten en orders worden opgeslagen en het werkt als een trein. Tot de website 5 jaar oud is en we exponentieel gegroeid zijn, die 50 klanten, 200 producten en 2.000 orders zijn inmiddels 250.000 klanten, 3.500.000 producten en 20.000.000 orders geworden, waarbij elke minuut er zo'n beetje 5 orders bij komen. En het systeem kan het niet meer bijbenen, klanten zitten lange tijd naar een wit scherm te kijken terwijl op de server de boel bijna begint te roken als data opgevraagd en opgeslagen wordt. Zo is het ook met security-issues. Er komt steeds meer software op de markt, codebibliotheken die overal en nergens gebruikt worden, met nieuwe technieken, nieuwe inzichten, AI is het nu mogelijk om beveiligingsgaten te vinden die al 20 jaar onopgemerkt zijn. Maar als iemand "iets meldt" moet nog steeds uitgezocht worden of de melding terecht is, welke versies het issue betreft, welke verbanden er zijn. Met Dependabot kun je zorgen dat er PR's voor projecten klaargezet worden om problemen te fixen, maar zoals Madison aangeeft kun je geen ijzer met je handen breken en zullen er dus ook keuzes gemaakt moeten worden, wat is relatief klein qua impact/risico en welke bevinding is dermate schadelijk, dat er eigenlijk per-direct een oplossing uitgebracht moet worden?

2. Apple's -Hide My Email- optie verbergt jouw gegevens niet altijd (goed), via techrepublic.com, 2 juli 2026

Als je iCloud+ hebt, dan kun je de optie "Hide My Email" activeren. Als je op een website een account aan moet maken en je wilt niet je eigen e-mailadres delen, dan kun je met een alias ervoor zorgen dat de website je kan mailen (je ontvangt de mails via deze alias in je normale inbox), maar de website heeft niet je "echte" e-mailadres en kan dus je niet gaan "profilen" door deze gegevens te combineren met andere data. Onderzoekers hebben echter meermalen bij Apple aangegeven dat er manieren zijn om hier omheen te werken, Apple heeft 2x patches doorgevoerd, maar volgens dit artikel is het nog steeds niet goed, bevestigd door 404media.co, die met eigen testen dit kon reproduceren.

3. Waarschuwing van 5 Eyes over cyberaanvallen binnen maanden, niet jaren, via techrepublic.com, 26 juni 2026

Veel bedrijven springen op de AI-wagen (of proberen erop te springen), want: als we geen AI doen, dan lopen we achter. Dat is geen verkeerde actie, maar wat daar wel bij komt is dat je ook mensen/een team moet hebben wat zich bezig gaat houden met security. Want met prompt-injection, phising-mails en andere "hacks" kan jouw bedrijfsdata naar buiten lekken, data waarvan je dacht dat het "op een veilige plek" stond en alleen de mensen erbij konden komen die daar toegang tot mogen hebben. In dit artikel gaat het over bedrijven in Australië, Canada, Nieuw Zeeland, Engeland en Amerika die waarschuwen dat AI binnen korte tijd een grote impact op security kan hebben. Mocht jouw bedrijf gebruik maken van AI, denk er eens over na: monitoren jullie welke input er gegeven wordt en welke output ontstaat? Zoals je in GIT kunt zien wie welke actie uitgevoerd heeft, in FTP-logs vanaf welk IP met welk account een connectie gemaakt is (en welke acties op bestanden uitgevoerd zijn), zo zou je ook willen zien dat AI binnen jouw bedrijf bepaalde input gebruikt heeft die afkomstig is uit "onbetrouwbare bronnen". Binnen bepaalde bedrijven lopen medewerkers warm voor de desktop-versie van AI, want dan "kan die makkelijk en snel door mijn mailbox lopen, afspraken inplannen en samenvattingen maken". Dat daar ook risico's aan verbonden zijn (verborgen acties in headers of binnen de inhoud van de mail wat niet zichtbaar is voor jou en mij, maar wel voor AI die de complete inhoud ontvangt, daar denkt niet iedereen over na.

4. Security-zaken in juni 2026, via esecurityplanet.com, 26 juni 2026

ESecurity vat hier een aantal zaken samen uit de afgelopen maand. Zo was er een bevinding in FFmpeg, als je een "gehackte" video bewerkte met FFmpeg, op het moment dat er een thumbnail van de video gemaakt werd, kan code uitgevoerd worden. Gauw updaten dus! Apple had een security-exploit, waarbij code uitgevoerd kon worden, voordat de security-software van Apple opgestart was. DataDog die zag dat er actief "phishing" op AWS-gebruikers uitgevoerd werd. Uitleg over hoe dat gaat (en hoe ze ook de MFA omzeilen) kun je hier nalezen. En oude D-Link routers die geïnfecteerd zijn, AryStinger botnet kan jouw oude router zo aanpassen dat ie als proxy voor "malicious traffic" gebruikt kan worden. Tijd om te kijken of je router al "End-of-Life" is, zo ja, dan wordt het tijd om 'm te vervangen.

5. Malware die via Github verspreid wordt, via orchidfiles.com, 18 juni 2026

Dit artikel stond als één van de items bij punt 4, maar ik vond het de moeite waard om dit issue los te bespreken. De auteur van dit blog kwam een kopie van een eigen repository tegen, zag dat zaken identiek waren, maar alleen dat er regelmatig een commit uitgevoerd wordt "Update README.md", die commit wordt later weer verwijderd, later wordt de commit weer uitgevoerd. Waarbij er elke keer een link naar een .ZIP-bestand in de README.md wordt opgenomen - die verwijst naar een .ZIP-bestand waar een trojan in zit... Hij vond op exacte match zo'n 10.000 repositories. Ook als daar nog wat "false positives" tussen zitten, dan is het nog steeds iets waarbij je nekhaar recht overeind gaat staan. Het is in ieder geval een "reminder" om niet klakkeloos linkjes aan te klikken van repositories waarvan de code "er goed uit ziet", het "een handige tool is". En de terechte opmerking van de auteur dat Github hier zelf veel meer actie op zou moeten ondernemen. Hier de link naar de repo van de auteur met uitleg hoe hij de repo's gevonden heeft en een lijst met repo's die hij op deze manier gevonden heeft.

6. Je gebruikt een "trusted MCP tool", maar lekt toch data, via microsoft.com, 30 juni 2026

Het voorbeeld van Microsoft gaat over de afdeling "Financiën". Deze afdeling heeft een 3-tal koppelingen met MCP-servers om facturen correct af te handelen. Een externe tool die daarbij gebruikt wordt, is goedgekeurd door de afdeling die daarover gaat. Er is echter recent een update op die tool doorgevoerd, de tekstuele omschrijving van de MCP server is aangepast. De MCP server doet nog steeds hetzelfde, maar vraagt ook om de onbetaalde facturen van de afgelopen 30 dagen, deze samen te vatten en deze samenvatting mee te sturen, deze actie is om "fraude uit te kunnen sluiten". Voor "jouw agent" die de routering met de MCP-servers uitvoert kan dat als een geldig argument klinken en zal dat uitvoeren. Maar dit is (natuurlijk) iets wat jij absoluut niet wilt: als iemand je zou bellen en zou vragen om even de gegevens van de laatste onbetaalde facturen aan hem door te geven zou je meteen weten: fraudeur/oplichter, ophangen! Omdat de input en output "gelijk" is aan hoe de tool "vroeger" werkte, is de kans groot dat je nergens ziet dat er extra data het pand verlaten heeft. Via thehackernews.com kun je lezen dat dit geen theoretisch verhaal is, maar de bittere werkelijkheid. Invariant Labs die een proof of concept van een calculatie-tool maakte, de Cursor editor die deze tool gebruikte en ook maar even een SSH-key doorstuurde naar de MCP-server... MCPTox benchmark is gaan onderzoeken of live MCP servers te beïnvloeden zijn en kwam op een succes-rate van 72.8 procent...zorgelijk dus!

7. Silent Swap steelt jouw crypto, via esecurityplanet.com, 30 juni 2026

Siltent Swap is een Chrome-extensie die zich voordoet als "Google Notes extensie". Bij het overmaken van crypto wordt on the fly het ontvangende adres aangepast: daar gaat je geld. Volledige uitleg op de site van Mc Afee. Daarbij ook de tip (die je altijd zou moeten toepassen) is dat je altijd voor bevestigen de eerste en de laatste 6 karakters moet controleren.

8. AirDrop en Quick Share (Android) laten je device crashen, via thehackernews.com, 30 juni 2026

De omschrijving is niet helemaal correct. Bij de AirDrop bevinding kan iemand ervoor zorgen dat je AirDrop geen andere verzoeken meer kan uitvoeren, zet die optie dus ook uit of alleen op "Contacts only". De Quick Share voor Android liet verkeer toe, voordat er een beveiligde verbinding opgezet was. Het andere issue was dat Quick Share voor Windows een stuk geheugen hergebruikte wat al vrijgegeven was, dat zijn acties die meestal misbruikt worden om systemen te hacken, ransomware te installeren, Google heeft hier een bounty voor betaald en is nog bezig met met een CVE er een fix voor te vinden.

9. Simple-Help, ook "simpele hulp" voor de hacker, via bleepingcomputer.com, 29 juni 2026

Simple-Help is een softwarepakket wat een alternatief kan zijn voor TeamViewer en LogMeIn. In dit artikel kun je lezen dat er een security-issue in dit pakket zat, waardoor een "bad actor" malware kon installeren. DJin is "stealer malware", die gaat op zoek naar credentials op systemen en stuurt het door naar de hackende partij.

10. AdBlock for Youtube Chrome-plug-in was niet veilig, via thehackernews.com, 25 juni 2026

Deze plug-in doet wat het belooft, je bent je adds kwijt op YouTube. Alleen... onderzoekers kwamen erachter dat deze plug-in naast "heel veel bevoegdheden" (wat niet vreemd is bij een ad-blocker) ook de validatie niet goed was, er werd gekeken of er youtube.com in de URL stond: dit hoefde niet perse het domein te zijn. Dus als je naar rabobank.nl/?ref=youtube.com zou gaan, dan zou de plug-in actief worden en zou er mogelijk Javascript in de pagina geplaatst en uitgevoerd kunnen worden. De auteur van de plug-in heeft contact opgenomen met Hackernews, de huidige versie controleert wel netjes op het domein. 

11. Gaslight, malware voor de MAC, via infosecurity-magazine.com, 24 juni 2026

Malware wil graag weten of het uitgevoerd wordt "op een echte pc", of binnen een sandbox of virtuele machine. Want in die laatste 2 gevallen houdt de malware zich rustig, doet alsof er niets aan de hand is. Onderzoekers hebben een achterdeurtje gevonden wat gerelateerd lijkt aan Noord Korea. De output die gegenereerd werd, dat kon teruggebracht worden naar 38 "nep" systeemberichten die teruggegeven worden. Meldingen over tokens die verlopen zijn, geheugen- en schijffouten, alles om te zorgen dat de AI het onderzoek zou stoppen of zou weigeren om verder onderzoek uit te voeren.