Hier zijn we weer met het hoogtepunt van uw werkweek, de Rootsec blog. Net als onze dienstverlening is deze ook straight-to-the-point en legt het, soms beschamende, kwetsbaarheden bloot. Gaat u zodrekt nog lekker aan de VrijMiBo? Dan heeft u na het lezen van deze blog genoeg interessante verhalen te vertellen en zal uw baas verstelt staan van uw kennis over de ontwikkelingen binnen de IT-sec markt. We beginnen deze week met een lek in Whatsapp waar Whatsapp al een jaar lang van op de hoogte was. Vervolgens gaan we naar, bijna vaste klant in deze blog, Facebook en doen we ook Google nog even aan. Het is haast alsof deze blog een bepaald thema bevat..
Legt u wel eens woorden in de mond van uw partner, collega of vage kennis? Snappen we best, doen wij ook. Maar wat nou als je letterlijk woorden in de mond (of in de telefoon) kan leggen van iemand met wie je een Whatsapp gesprek hebt. Veiligheidsonderzoekers van Check Point Software Technologies (vanaf nu CPST..) ontdekte dat hackers nepberichten kunnen versturen namens gebruikers. Een heus lek in Whatsapp dus. Hierdoor lijkt het dus alsof u iets hebt gezegd, wat u nooit heeft verstuurd. Dus wil je die leuke dame of heer mee uit vragen maar ben je bang dat je nee te horen krijgt? Dat is niet langer het geval! Zijn of haar nee, daar maak jij gewoon een ja van. Ok, even serieus weer. De onderzoekers van CPST hebben de volgende drie manieren gevonden waarop de hack uitgevoerd kan worden:
1. Hackers veranderen de tekst van iemand in een groepsgesprek. Dit is dus letterlijk woorden in de mond van het slachtoffer leggen.
2. Hackers veranderen de identiteit van diegene die het originele bericht heeft verstuurd ( of de inhoud van het bericht). Op die manier kunnen ze mensen betichten van het niet nakomen van afspraken (die dus nooit gemaakt zijn).
3. Een hacker stuurt namens jou een privébericht naar een andere deelnemer van het groepsgesprek, maar eigenlijk is het een verkapt groepsbericht. Als het ‘slachtoffer’ dan reageert, is zijn/haar reactie voor iedereen in de groep zichtbaar. Kan nogal gênante situaties opleveren..
De onderzoekers van CPST hebben WhatsApp op de hoogte gebracht van dit lek in Whatsapp. Dit was echter, opvallend genoeg, geen nieuws voor WhatsApp. Deze kwetsbaarheid, welke zich volgens WhatsApp bevindt in het framework, was al bekend en een ieder die dit poogt te exploiteren kan een blokkering verwachten. Wij zeggen niks..
In een redelijk recente blog, afkomstig van het beste IT-sec bedrijf van Nederland, hebben we al aardig wat aandacht aan Mark Z. en zijn Facebook imperium besteed. Dat het een rommeltje is bij Facebook is geen nieuws meer, verre van. Dat het een enorme doofpot is, is eigenlijk ook geen nieuws meer. Maar toch kunnen we het niet laten om u op de hoogte te brengen van het volgende “oeps” momentje van Mark. In documenten welke in handen zijn gekomen bij Reuters staat namelijk geschreven dat Facebook zich bewust was van de beveiligingsrisico’s van de login-tokens die vorige jaar voor een enorm datalek zorgde. Weet u nog? De 30 miljoen gebruikers die getroffen werden zullen dit nog wel weten. Gedurende de documenten die tijdens de rechtszaak boven tafel kwamen bleek dat Mark wel zijn werknemers heeft gewaarschuwd maar zijn gebruikers niet. Door de kwetsbaarheid konden hackers inlog-tokens stelen en gebruiken om accounts van gebruikers over te nemen. Het is pijnlijk om te lezen dat Facebook zich bewust was van de risico’s maar nul stappen heeft ondernomen om het systeem veiliger te maken. We hebben zo’n vermoeden dat Mark zijn chequeboekje weer tevoorschijn kan gaan toveren.
U bent van onze blogs gewend dat we bedrijven op de pijnbank leggen. Dit doen we niet omdat we ons dan de stoerste kinderen van het schoolplein vinden, maar om gewaarwording te creëren onder u, de lezer. Maar soms, heel soms, moeten we ook u de lezer even een spiegel voorhouden. In de eerste maand van Google’s nieuwe extensie ” Password Checkup” zijn er van de 21 miljoen gecontroleerde wachtwoorden 316.000 als “gelekt” bestempeld door de extensie. Over deze nummers kunnen we niet zoveel zeggen nog, laten we de extensie (welke vanaf oktober een vast onderdeel wordt van Google) nog even tijd geven. Maar waar we wel wat over kunnen zeggen is het feit dat slechts 26% (!!) van de gelekte wachtwoorden zijn veranderd door de gebruikers. Dus 74% van u, de gebruikers, heeft een melding ontvangen met “uw wachtwoord is gelekt, verander deze nu” en heeft exact nul actie ondernomen. Wij vragen ons af of deze mensen misschien heel graag een keer gehackt willen worden? Bent u éen van deze mensen? Mogen wij u dan vragen om nog voor de VrijMiBo van start gaat uw wachtwoorden te veranderen? Op deze manier gaan zowel wij als u geruster het weekend in.