Voor velen is het herfstvakantie en vliegt de tijd weer veel te snel voorbij. Dan heb ik slecht nieuws, want met onze nieuwste Rootsec blog vliegt de tijd nog sneller voorbij. Maar toch gaat u er geen nee tegen zeggen want u weet zelf ook wel dat uw week niet compleet is zonder de laatste updates op het gebied van IT security. Waar we het deze week over hebben? Wat dacht u van Equifax, een van de drie grootste rapportagebureaus voor consumentenkrediet. Daarnaast kijken we ook bij Avast en hun paradepaardje CCleaner en sluiten we af met een flink lek in een reserveringssysteem.

Equifax gives zero ‘fax’

Equifax, wellicht zegt de naam u iets en misschien ook niet. Maar de kans dat u de naam voorbij heeft zien komen in het nieuws deze week is groot. Er kwamen namelijk wat saillante details naar voren aangaande de grote cyberaanval waar het bedrijf slachtoffer van werd in 2017. Hierbij werden persoonlijke gegevens buit gemaakt van ruim 147 miljoen Amerikanen. Hiermee werd het ook gelijk een van de grootste aanvallen in de geschiedenis. Ze zullen er vast geen prijs voor hebben ontvangen. Inmiddels zijn we twee jaar verder en heeft Equifax geschikt met de gedupeerden voor een bedrag van in totaal 575 miljoen Amerikaanse dollars. Maar hoe heeft dit kunnen gebeuren? Nou, het bleek dat elke huis-tuin en keuken hacker dit voor elkaar had kunnen krijgen.

Laten we beginnen met het meest pijnlijke feit. Het portaal, van waaruit de gegevens gestolen werden, was beveiligd met een gebruikersnaam en wachtwoord. Prima, zou je zeggen. Maar niets is minder waar wanneer je in beide gevallen het woord admin gebruikt. Met andere woorden, het standaard wachtwoord dat ingesteld wordt voor gebruikers (admins) om ze toegang te verlenen tot een nieuwe omgeving. Daarna word je geacht om dit te wijzigen. Maar waarom zou je ook. De hackers maakten tevens gebruik van een kwetsbaarheid in Apache Struts omdat Equifax de meest recente patch(es) niet had geïnstalleerd.  En als u dacht, dit zal alles wel zijn. Helaas.

• Certificaat voor het inspecteren van versleuteld verkeer al tien maanden verlopen
• Het bedrijf gebruik van een verouderde mailinglist waardoor niet alle beheerders over de Struts-update werden geïnformeerd.
• Gegevens van honderden miljoenen Amerikanen niet versleuteld opgeslagen en verstuurd
• De gegevens die wel versleuteld werden stonden op dezelfde server als de sleutels om te ontsleutelen
• Zwakke wachtwoorden en beveiligingsvragen waren toegestaan
• Was er geen tot nauwelijks monitoring op het netwerk
• En werden security audits (welke deze problemen aan het licht stelden) niet serieus genomen.

Wilt u het volledige document inzien? Of misschien wilt u het als voorbeeld gebruiken wat er kan gebeuren als je de zaken niet op orde hebt? Klik dan hier!

Avast staat steevast achter paradepaardje Ccleaner

De kans dat de naam Avast u wat zegt is aanwezig. Maar de kans dat Ccleaner u wat zegt is vrij groot. Deze software van maker Avast kwam deze week in het nieuws omdat er wederom een succesvolle aanval was geweest. Hierbij hebben de kwaadwillenden, volgens Avast de Chinezen, geprobeerd om de nieuwe release van Ccleaner te comprimeren. De aanvallers kwamen binnen omdat ze VPN credentials van een medewerker in handen hadden gekregen. Hiermee hadden ze toegang tot een VPN profiel zonder 2FA authenticatie en dit zorgde ervoor dat ze op Avast’s netwerk terecht kwamen.

Deze tweede hack heeft bij veel gebruikers de reactie teweeg gebracht dat Avast Ccleaner moet opdoeken omdat het simpelweg als magneet fungeert voor ‘overheid gesponsorde aanvallen’ om data te verkrijgen. Hier is iets voor te zeggen want Ccleaner is inmiddels 2.5 miljard keer gedownload. Dat is toch aardig wat data en als overheid zijnde kan je hier wel wat mee. Maar Avast weigert om gehoor te geven aan deze oproep en gaat door met het verder ontwikkelen van de software. Ondanks dat het bedrijft claimt dat er nooit een malafide release van de software is geweest heb ik toch zojuist wel even mijn Ccleaner geüpdatet. En ik overweeg nog om het te verwijderen.

“Hoe de Amerikaanse overheid over de zeik te krijgen; les 1”

Het is herfstvakantie en dat betekent ook vaak dat Nederland er en masse op uit gaat. Hartstikke gezellig natuurlijk, maar ook dit betekent vaak weer het invoeren van veel data bij onder andere autoverhuur bedrijven, verzekeringsmaatschappijen en hotels. En dat er veel data opgeslagen wordt, werd wel duidelijk uit een bericht van afgelopen maandag. Een reserveringssysteem dat door tal van hotels, reisbureaus en accommodaties wordt gebruikt heeft via een open database 179GB aan data van hotelgasten en reizigers gelekt. De database, die miljoenen records bevatten heeft onder andere naam, geboortedatum, adresgegevens, telefoonnummer, datums, reiskosten, gemaskeerde creditcardgegevens, kamernummers en inchecktijd gelekt. Daarnaast verwachten wij dat dit bedrijf nog wel een belletje uit Washington mag verwachten want eén van de platformen die op de database is aangesloten is van een bedrijf dat de reisplannen van de Amerikaanse overheid en militair personeel beheert, alsmede onafhankelijke aannemers die voor Amerikaanse defensie- en veiligheidsdiensten werken. Na wat speurwerk werden inderdaad gegevens van van Amerikaanse generaals, waaronder hun e-mailadressen, telefoonnummers en andere gevoelige persoonlijke data gevonden. Wij wensen Autoclerck, de beheerder van de database(s) veel succes en sterkte de komende tijd.