Captain Kirk

Microsoft heeft een testversie van Windows 11 gelanceerd die extra beveiliging voor ingelogde admins introduceert. Administrator Protection werd eind vorig jaar door het techbedrijf aangekondigd en zorgt ervoor dat admin-gebruikers met standaard gebruikersrechten werken. Wanneer er een systeemaanpassing is vereist of er een applicatie moet worden geïnstalleerd zal de gebruiker dit via een aparte prompt en Windows Hello moeten autoriseren. Windows maakt dan een tijdelijk, geïsoleerd admintoken aan om de taak uit te voeren. Dit token wordt na het uitvoeren van de taak meteen verwijderd, zodat de adminrechten niet blijven en de ingelogde admin gewoon weer standaard gebruikersrechten krijgt. Bij de aankondiging afgelopen jaar stelde Microsoft dat Administrator Protection ervoor zorgt dat gebruikers de controle over het systeem blijven houden en dat aanvallers niet automatisch, directe toegang tot de kernel of belangrijke systeembeveiliging hebben. "Standaard gebruikersrechten bieden betere security. Gebruikerstoegang tot belangrijke systeemmiddelen is standaard geblokkeerd en het voorkomt dat malware of apps stilletjes de configuratie aanpassen. Standaardrechten zijn echter frustrerend voor gebruikers omdat ze bepaalde gewone taken, zoals het aanpassen van de tijd of installeren van applicaties niet kunnen doen, omdat een standaard gebruiker in veel gevallen geen admin-inloggegevens heeft", aldus Microsoft. Het standaard draaien met admin-rechten neemt weer allerlei risico's met zich mee als het systeem met malware besmet raakt, omdat de malware dan directe toegang tot belangrijke systeembronnen heeft, voegt Microsoft toe. Administrator Protection zou ervoor moeten zorgen dat admin-rechten beter zijn beschermd. De feature staat standaard uitgeschakeld en is beschikbaar voor zowel zakelijke omgevingen als thuisgebruikers. De feature is nu te proberen in Windows 11 Insider Preview Build 27774. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt zal eind dit jaar tls-certificaten gaan uitgeven die zes dagen geldig zijn. Volgens Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt, zijn certificaten met een korte levensduur goed voor security. "Wanneer de private key van een certificaat is gecompromitteerd, is het advies om het certificaat in te trekken zodat mensen weten het niet te gebruiken. Helaas werkt het intrekken van certificaten niet erg goed", stelt Aas. Certificaten met een gecompromitteerde key kunnen daardoor worden gebruikt totdat ze zijn verlopen. Hoe langer de levensduur van een certificaat, hoe meer kans op misbruik. Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het certificaat worden ingetrokken. Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen, merkt Aas op. "Dit verkleint de noodzaak voor het intrekken van certificaten, wat historisch gezien onbetrouwbaar is." De certificaten die Let's Encrypt gaat uitgeven en zes dagen geldig zijn beschikken niet over OCSP of CRL. Wanneer een certificaat is ingetrokken moet dit aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren. Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Let's Encrypt liet eerder al weten dat het met de ondersteuning van OCSP gaat stoppen. Let's Encrypt is van plan om volgende maand het eerste 'short-lived' certificaat voor zichzelf uit te geven. Rond april zullen de certificaten voor een kleine groep early adopters beschikbaar komen. Eind dit jaar zouden de certificaten met een levensduur van zes dagen voor iedereen beschikbaar moeten zijn. Het zal vooralsnog mogelijk blijven om certificaten met een levensduur van negentig dagen te kiezen. bron: https://www.security.nl

Criminelen maken gebruik van malafide Google-advertenties om Google Ads-accounts te kapen, zo laat antivirusbedrijf Malwarebytes in een analyse weten. Google Ads is het advertentieplatform van Google waarmee adverteerders hun online advertenties via de zoekmachine van Google, websites, video's en apps kunnen beheren. Voor het uitvoeren van de phishingaanval maken de criminelen gebruik van advertenties die bij de zoekopdracht 'google ads' verschijnen. Google zal de advertentie bovenaan de zoekresultaten plaatsen. De malafide advertentie doet zich voor als de officiële Google Ads-pagina. De advertentie linkt naar een bij Google Sites gehoste pagina die slachtoffers naar de uiteindelijke phishingpagina doorstuurt. Deze phishingpagina vraagt slachtoffers om met hun Google Ads-account in te loggen. De op de phishingsite ingevoerde inloggegevens worden vervolgens doorgestuurd naar de aanvallers, die ze gebruiken voor het toevoegen van een malafide admin-account. Hierna kan de aanvaller op kosten van het slachtoffer allerlei advertenties plaatsen die weer naar andere scams en malware wijzen. Doordat de aanvallers het domein bij sites.google.com hosten kunnen ze in de advertentie doen alsof de link van de advertentie naar ads.google.com wijst. Google staat dit toe omdat sites.google.com en ads.google.com hetzelfde hoofddomein hebben. bron: https://www.security.nl

Een kwetsbaarheid in een bootloader-applicatie maakt het mogelijk voor aanvallers om UEFI Secure Boot te omzeilen en zo het systeem te compromitteren. Het probleem is inmiddels door de betrokken leveranciers verholpen en de kwetsbare binaries zijn afgelopen dinsdag door Microsoft ingetrokken. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen, nog voor het besturingssysteem. UEFI Secure Boot kan UEFI-applicaties uitvoeren die meestal door de Microsoft UEFI Certificate Authority (CA) zijn gesigneerd. De UEFI-bootloader is een UEFI-applicatie die verantwoordelijk is voor boot management en het laden van bestanden van het besturingssysteem. Deze bootloaders kunnen tijdens het opstartproces aanvullende software uitvoeren en drivers laden. De Howyar Reloader UEFI-applicatie is een UEFI-bootloader die een kwetsbaarheid (CVE-2024-7344) bevat waardoor arbitrary code execution mogelijk is. Een aanvaller kan hier misbruik van maken door niet-gesigneerde third-party software tijdens het begin van de opstartfase uit te voeren en UEFI Secure Boot te omzeilen. Deze software draait dan met verhoogde rechten binnen de UEFI-context. Doordat de Howyar Reloader-applicatie gesigneerd is door de vertrouwde Microsoft UEFI CA, is het op elk systeem te installeren dat UEFI ondersteunt. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt dat een aanvaller via de kwetsbaarheid malafide kernel-extensies kan installeren die zowel een herstart als het opnieuw installeren van het besturingssysteem kunnen overleven. Daarnaast zou de malware OS-gebaseerde beveiligingsmaatregelen en endpoint detection en response kunnen omzeilen. De kwetsbare UEFI-applicatie is onderdeel van verschillende realtime systeemherstelsoftwarepakketten van bedrijven als Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System en Signal Computer. "Misbruik van deze kwetsbaarheid is niet beperkt tot systemen waarop de getroffen herstelsoftware is geïnstalleerd. Aanvallers kunnen hun eigen kopie van de kwetsbare binary meenemen naar elk UEFI-systeem dat gebruikmaakt van het Microsoft derde-partijscertificaat", aldus antivirusbedrijf ESET dat het probleem ontdekte. Om de kwetsbaarheid te verhelpen is er een update voor de Reloader-applicatie beschikbaar. Daarnaast is het ook belangrijk dat alle UEFI compliant computers hun Secure Boot Forbidden Signature Database (DBX of Revocation List) bijwerken, zo adviseert het CERT/CC. bron: https://www.security.nl

Configuraties en vpn-wachtwoorden 15.000 Fortinet-firewalls online gezet Op internet zijn de configuratiegegevens en vpn-wachtwoorden van 15.000 Fortinet FortiGate-firewalls gepubliceerd, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. Het gaat om ip-adressen van firewalls, alsmede een configuratiedump en een lijst met wachtwoorden van vpn-gebruikers. Naast firewalling bieden de FortiGate-apparaten ook vpn-functionaliteit. Volgens Beaumont zijn de gegevens al in 2022 verzameld door middel van een kwetsbaarheid aangeduid als CVE-2022–40684. Fortinet kwam in oktober 2022 met beveiligingsupdates voor het probleem. Vanwege het feit dat een aanvaller op afstand misbruik van het lek kan maken en er geen inloggegevens zijn vereist verzocht Fortinet klanten om de beveiligingsupdate meteen te installeren. Een aantal dagen na het uitkomen van de update waarschuwde Fortinet voor actief misbruik van de kwetsbaarheid. Niet veel later werd door securitybedrijven grootschalig misbruik van de kwetsbaarheid gemeld. Veel van de firewalls die in het overzicht staan vermeld zijn nog steeds online en bereikbaar, laat Beaumont op Mastodon weten. De onderzoeker voegt toe dat zelfs wanneer de firewall inmiddels gepatcht is, aanvallers ook over configuratiegegevens kunnen beschikken, zoals firewall rules. Beaumont is van plan om een lijst met ip-adressen te delen zodat beheerders van de betreffende firewalls actie kunnen ondernemen. In het verleden hebben aanvallers vaker gegevens van kwetsbare en gecompromitteerde Fortinet-apparaten online gepubliceerd. bron: https://www.security.nl

De populaire back-up- en synchronisatiesoftware rsync bevat zes verschillende kwetsbaarheden die een aanvaller in het ergste geval willekeurige code op een rsync-server laten uitvoeren. Gebruikers en organisaties die van rsync gebruikmaken worden door het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit opgeroepen om zo snel mogelijk naar versie 3.4.0 te updaten. De gevaarlijkste rsync-kwetsbaarheid is CVE-2024-12084, een heap-buffer-overflow. Gecombineerd met CVE-2024-12085, een informatielek, kan een client willekeurige code uitvoeren op systemen waarop een rsync-server draait. De enige vereiste is dat de client anonieme lees-toegang tot de server heeft, zoals bij publieke mirrors het geval is. "Vergeet niet dat de standaard rsyncd configuratie van rsync anonieme bestandssynchronisatie toestaat, wat ook risico door deze kwetsbaarheid loopt. Anders heeft een aanvaller geldig inloggegevens voor servers nodig die authenticatie vereisen", aldus Red Hat. Dat heeft de impact van CVE-2024-12084 op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het CERT/CC waarschuwt dat aanvallers ook via een malafide server willekeurige bestanden van elke verbonden client kunnen lezen/schrijven. "Gevoelige data, zoals SSH keys, kunnen worden achterhaald, en malafide code kan worden uitgevoerd door bestanden zoals ~/.bashrc of ~/.popt te overschrijven." Veel back-upsoftware, zoals Rclone, DeltaCopy en ChronoSync, maakt gebruik van rsync als backend voor het synchroniseren van bestanden. Rsync wordt ook door allerlei publieke mirrors gebruikt voor het synchroniseren en distribueren van bestanden over meerdere servers. bron: https://www.security.nl

Een kritieke kwetsbaarheid in Windows maakt remote code execution mogelijk als Outlook-gebruikers een speciaal geprepareerde e-mail openen of wanneer het bericht via de previewfunctie wordt weergegeven. Microsoft heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te dichten en adviseert Outlook-gebruikers als workaround het plain text weergeven van e-mail. Het techbedrijf verwacht dat aanvallers binnenkort misbruik van het beveiligingslek zullen maken. De kwetsbaarheid (CVE-2025-21298) bevindt zich in Windows OLE. Object Linking and Embedding (OLE) is een door Microsoft ontwikkelde technologie die het mogelijk maakt om documenten en andere objecten te embedden en linken. Het beveiligingslek is via e-mail te misbruiken. Een aanvaller zou het doelwit een speciaal geprepareerde e-mail kunnen sturen. Het doelwit moet de e-mail openen of Outlook moet een preview van het bericht weergeven. Vervolgens kan de aanvaller code op het systeem uitvoeren, zo laat Microsoft weten. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Als workaround adviseert Microsoft het instellen van Outlook zodat e-mail in plain text wordt weergegeven. Dit kan echter wel gevolgen hebben als het gaat om het weergeven van bijvoorbeeld afbeeldingen, animaties en bepaalde fonts. "Als een mitigatie kun je Outlook instellen om standaard alle e-mail als plain text weer te geven, maar gebruikers zullen waarschijnlijk tegen een dergelijke instelling in verzet komen. De beste optie is om deze patch snel te testen en uit te rollen", aldus Dustin Childs van securitybedrijf Zero Day Initiative (ZDI). Het ZDI rapporteerde de kwetsbaarheid bij Microsoft. Het techbedrijf stelt dat aanvallers nog geen misbruik van de kwetsbaarheid maken, maar stelt voor de toekomst dat 'exploitation more likely' is. bron: https://www.security.nl

Adobe Photoshop bevat twee kritieke kwetsbaarheden die een aanvaller willekeurige code op het systeem laten uitvoeren als de gebruiker een malafide bestand opent. Ook twee kritieke beveiligingslekken in Adobe Illustrator voor iPad maken 'arbitrary code execution' mogelijk. Adobe heeft voor beide programma's updates uitgebracht om de problemen te verhelpen. In het geval van Adobe Photoshop wordt aangeraden om te updaten naar Photoshop 2024 versie 25.12.1 of Photoshop 2025 versie 26.2. Het gaat zowel om de macOS- als Windows-versies. Voor gebruikers van Adobe Illustrator is versie 3.0.8 verschenen. Drie van de vier verholpen kwetsbaarheden betreffen een 'integer underflow' met een maximale impactscore van 7.8 op een schaal van 1 tot en met 10. Adobe adviseert beheerders om de updates te installeren als het hen uitkomt. Adobe werkt als het om de installatie van beveiligingsupdates gaat met een prioriteitsbeoordeling. In het geval van Photoshop en Illustrator krijgen beide producten prioriteit 3 toegekend, omdat beide producten in het verleden geen doelwit van aanvallers zijn geweest, zo laat Adobe weten. bron: https://www.security.nl

Softwarebedrijf Ivanti waarschuwt klanten voor kritieke path traversal-kwetsbaarheden in Ivanti Endpoint Manager waardoor een ongeauthenticeerde aanvaller op afstand gevoelige informatie van organisaties en bedrijven kan stelen. Er zijn updates uitgebracht om de problemen te verhelpen. Via Ivanti Endpoint Manager (EPM) kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Het product bevat vier kritieke path traversal-kwetsbaarheden waardoor het mogelijk is voor een aanvaller om op afstand gevoelige informatie buit te maken (CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 en CVE-2024-13159). De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Bij path traversal krijgt een aanvaller door het aanpassen van gebruikersinvoer toegang tot directories en bestanden waar hij eigenlijk geen toegang toe zou moeten hebben. Path traversal is al een zeer oud en bekend probleem. De FBI en het Amerikaanse cyberagentschap CISA riepen softwareontwikkelaars vorig jaar op om een einde aan path traversal te maken. De afgelopen jaren zijn meerdere kwetsbaarheden in Ivanti Endpoint Manager actief misbruikt bij aanvallen, zo laat blijkt uit de Known Exploited Vulnerabilities Catalog van het CISA. Volgens Ivanti wordt er nog geen misbruik gemaakt van de nu verholpen path traversal-lekken. bron: https://www.security.nl

Drie kwetsbaarheden in Windows Hyper-V NT Kernel Integration VSP zijn actief misbruikt bij aanvallen, zo laat Microsoft weten, dat tevens beveiligingsupdates heeft uitgebracht om de problemen te verhelpen. VSP staat voor Virtualization Service Provider en is een onderdeel van het Hyper-V virtualisatieplatform op Windows. De tool fungeert als een brug tussen de Hyper-V hypervisor en de Windows NT-kernel en zorgt voor communicatie en beheer van de virtual machine die op het host-systeem draaien. De drie actief aangevallen kwetsbaarheden (CVE-2025-21333, CVE-2025-21334 en CVE-2025-21335) maken het mogelijk voor een aanvaller die toegang tot het systeem heeft om zijn rechten te verhogen naar die van SYSTEM. De impact van de drie beveiligingslekken is op een schaal van 1 tot. en met 10 beoordeeld met een 7.8. Microsoft geeft geen details over de aanvallen, zoals hoe die plaatsvinden en sinds wanneer. Eén van de kwetsbaarheden werd door een niet nader genoemde externe onderzoeker aan Microsoft gemeld. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een actief misbruikte kwetsbaarheid in FortiOS en FortiProxy waardoor aanvallers kwetsbare apparaten op afstand kunnen overnemen. Fortinet heeft updates uitgebracht om het probleem te verhelpen. De impact van de kwetsbaarheid (CVE-2024-55591) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. CVE-2024-55591 betreft een 'authentication bypass'. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de Node.js websocket module 'super-admin privileges' krijgen. Fortinet adviseert klanten om de update te installeren. Als workaround wordt aangeraden om de HTTP/HTTPS admin-interface uit te schakelen of toegang hiertoe te beperken. Fortinet heeft nog geen details over de aanvallen gegeven. Fortinet geeft wel verschillende Indicators of Compromise, zoals door de aanvallers gebruikte ip-adressen. Daarmee kunnen organisaties kijken of ze zijn gecompromitteerd. Een aantal van de ip-adressen die Fortinet noemt verschenen vorige week in een blogposting van securitybedrijf Arctic Wolf. Dat schrijft over een campagne gericht tegen Fortinet FortiGate-firewalls die sinds halverwege november plaatsvindt. Arctic Wolf zegt de gebruikte aanvalsvector niet te kennen, maar stelt dat grootschalig misbruik van een zerodaylek waarschijnlijk is. bron: https://www.security.nl

Het Duitse softwarebedrijf SAP waarschuwt klanten voor twee kritieke kwetsbaarheden in NetWeaver waardoor een aanvaller toegang tot systemen en afgeschermde informatie kan krijgen. Er zijn beveiligingsupdates voor de kwetsbaarheden uitgebracht, waarvan de impact op een schaal van 1 tot en met 10 met een 9.9 is beoordeeld. SAP Netweaver is een platform voor het draaien van SAP-applicaties. De SAP NetWeaver Application Server voor ABAP (Advanced Business Application Programming) biedt de runtime omgeving en ontwikkelomgeving voor alle ABAP-programma's. Een probleem met de authenticatie (CVE-2025-0070) van de SAP NetWeaver ABAP Server en het ABAP Platform zorgt ervoor dat een geauthenticeerde aanvaller 'ongeoorloofde toegang' kan krijgen. De tweede kritieke kwetsbaarheid, CVE-2025-0066, bevindt zich in de SAP NetWeaver Application Server voor ABAP. Het beveiligingslek zorgt ervoor dat een aanvaller toegang tot 'restricted information' kan krijgen, wat grote gevolgen voor de vertrouwelijkheid en beschikbaarheid van een applicatie kan hebben, aldus de uitleg. Securitybedrijf Onapsis stelt dat SAP-klanten de kritieke kwetsbaarheden meteen moeten patchen. Kwetsbaarheden in NetWeaver zijn in het verleden actief misbruikt bij aanvallen. Het Amerikaanse cyberagentschap CISA houdt een database bij met actief aangevallen beveiligingslekken. Daarin staan acht NetWeaver-kwetsbaarheden. bron: https://www.security.nl

De Britse mededingingsautoriteit CMA is een onderzoek gestart naar de dominantie van Googles zoekmachines. Volgens de Competition and Markets Authority (CMA) is Google goed voor meer dan negentig procent van alle zoekopdrachten in het Verenigd Koninkrijk en maken meer dan tweehonderdduizend adverteerders gebruik van de advertentiediensten die Googles zoekmachine biedt. De CMA stelt dat zoeken op internet vitaal voor economische groei is. "Gegeven het belang van zoeken als essentiële digitale dienst voor mensen, bedrijven en de economie, is het essentieel dat concurrentie goed werkt", aldus de toezichthouder. Die gaat onderzoeken in hoeverre concurrentie op de zoekmachinemarkt mogelijk is en of er aanvullende verplichtingen moeten worden ingesteld. Zo wordt er specifiek gekeken of Google barrières opwerpt die het lastiger voor nieuwe partijen maken om de zoekmachinemarkt te betreden. Het gaat dan ook of Google de ontwikkeling van nieuwe AI-diensten en -interfaces kan bepalen op manieren die concurrentie voor de eigen zoekmachine lastiger maken. Tevens zal de CMA kijken of Google de eigen positie gebruikt om eigen diensten voor te trekken. De mededingingsautoriteit gaat ook onderzoeken of Google grote hoeveelheden persoonlijke gegevens van mensen gebruikt, zonder dat het hiervoor geïnformeerde toestemming heeft. Op basis van de uitkomsten kan Google bijvoorbeeld worden verplicht om de verzamelde data met andere bedrijven te delen. Het onderzoek van de CMA moet binnen negen maanden zijn afgerond. bron: https://www.security.nl

Een aanvaller is erin geslaagd om een admin-account van de game Path of Exile 2 te kapen en zo accounts van tientallen spelers aan te vallen en over te nemen. Volgens spelontwikkelaar Grinding Gear Games (GGG) was de aanval mogelijk doordat een Steam-account dat aan het admin-account was gekoppeld door de aanvaller werd overgenomen. Dat liet GGG onlangs in een podcast weten. De aanvaller wist de supportafdeling van gamingplatform Steam zover te krijgen om de inloggegevens te wijzigen, waarschijnlijk door het geven van bepaalde informatie, zoals de laatste vier cijfers van de creditcard. Vervolgens kon de aanvaller via het admin-account de wachtwoorden van spelers resetten en als deze spelers in het spel inloggen. Zo was het mogelijk om allerlei items van deze spelers te stelen. Vermoedelijk heeft de aanvaller toegang tot de accounts van zeker 66 spelers gekregen. Wanneer een medewerker van GGG aanpassingen doorvoert wordt dit gelogd. Wanneer er een wachtwoord werd aangepast werd dit door een bug als 'notitie' opgeslagen en niet als gebeurtenis. Vervolgens kon de aanvaller de notitie verwijderen waarin stond dat het wachtwoord was gewijzigd. Hierdoor was het voor GGG niet meteen duidelijk wat er gebeurde. Uiteindelijk bleek dat er 66 notities waren verwijderd, maar GGG verwijdert logbestanden na dertig dagen. Voor een periode van vijf dagen is onduidelijk wat de aanvaller heeft gedaan. Op het forum van Path of Exile 2 klaagden tal van spelers dat hun accounts waren gekaapt. GGG heeft aangekondigd om voor alle support-accounts meteen tweefactorauthenticatie te implementeren. Daarnaast zijn er geen admin-accounts meer aan Steam-accounts gekoppeld. Er zijn nog geen plannen bekend over het compenseren van gedupeerde spelers. bron: https://www.security.nl

Datalekzoekmachine Have I Been Pwned heeft een dataset ontvangen met 167 miljoen unieke wachtwoorden die afkomstig zijn van computers besmet met infostealer-malware. Dit soort malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen. Aanvallers beschikken vaak over logbestanden met grote hoeveelheden gecompromitteerde accounts. De dataset die Have I Been Pwned (HIBP) ontving bestaat uit honderden tekstbestanden die bij elkaar meer dan honderd gigabyte groot zijn. Het gaat om 167 miljoen unieke wachtwoorden en 71 miljoen e-mailadressen van gecompromitteerde accounts. HIBP-oprichter Troy Hunt heeft een screenshot gedeeld van een logbestand waarop te zien is hoe de infostealer-malware allerlei inloggegevens heeft gestolen van een gebruiker die onder andere bij Amazon en Facebook inlogde. Eigenaren van de 71 miljoen e-mailaccounts kunnen nu via Have I Been Pwned zoeken welke accounts, die aan hun e-mailadres gekoppeld zijn, door infostealer-malware zijn gecompromitteerd. Via HIBP kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen e-mailaccounts was 72 procent al via een ander datalek bij de zoekmachine bekend. Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Van de 167 miljoen unieke wachtwoorden bleken er al 61 miljoen in de Pwned Passwords-lijst voor te komen. De overige 106 miljoen zijn nu aan de lijst toegevoegd. Naast gestolen inloggegevens geven de logbestanden ook een blik in iemands privéleven. Zo staan er tal van pornosites, politieke websites, religieuze websites en gezondheidsgerelateerde sites in de logbestanden. Dat maakt het volgens Hunt een gevoelig datalek en zijn door infostealer-malware gecompromitteerde accounts daarom niet door iedereen te doorzoeken, maar alleen door de eigenaar van het betreffende e-mailaccount, die eerst moet bevestigen de eigenaar van het account te zijn. bron: https://www.security.nl