Marriott International lijdt 500m Record Data Breach
Er gebeurt elke maand zoveel in de wereld van cybersecurity, online privacy en gegevensbescherming. Het is moeilijk om bij te houden!
Met onze maandelijkse beveiligingsoverzicht kunt u elke maand het belangrijkste beveiligings- en privacynieuws bijhouden. Dit is wat er gebeurde in november.
1. Marriott International lijdt 500m Record Data Breach
Zoals altijd, is een van de grootste stukjes beveiligingsnieuws aan het einde van de maand.
November eindigde met de Marriott International hotelgroep die een enorme datalek onthulde. Er wordt gedacht dat 500 miljoen klantrecords worden aangetast omdat de aanvaller sinds 2014 toegang heeft tot het netwerk van de Marriott International Starwood-divisie.
Marriott International heeft Starwood in 2016 overgenomen om de grootste hotelketen ter wereld te creëren, met meer dan 5800 woningen.
Het lek betekent verschillende dingen voor verschillende gebruikers. De informatie voor elke gebruiker bevat echter een combinatie van:
- Naam
- Adres
- Telefoonnummer
- E-mailadres
- Paspoortnummer
- Account Informatie
- Geboortedatum
- Geslacht
- Informatie over aankomst en vertrek
Misschien wel het belangrijkste is de openbaring van Marriott sommige records bevatten versleutelde kaartinformatie, maar ook kon niet worden uitgesloten dat ook de privésleutels waren gestolen.
De lange en de kleine is: als je in een Marriott Starwood hotel verblijft, inclusief timeshare-eigendommen, vóór 10 september 2018, is je informatie mogelijk in gevaar gebracht.
Marriott neemt maatregelen om potentieel getroffen gebruikers te beschermen door een jaar lang een gratis abonnement op WebWatcher aan te bieden. Amerikaanse burgers zullen ook gratis een gratis fraudeverklaring en vergoeding krijgen. Op dit moment zijn er drie registratiesites:
- Verenigde Staten
- Canada
- Verenigd Koninkrijk
Bekijk anders deze drie eenvoudige manieren om uw gegevens te beschermen: Gegevens overtreden: 3 eenvoudige manieren om uw gegevens te beschermen Hoe u inbreuken op gegevens kunt tegengaan: 3 eenvoudige manieren om uw gegevens te beschermen Gegevensdoorlatingen raken niet alleen de aandelenkoersen en de overheidsdienst budgetten. Wat moet je doen als nieuws over een schending toeslaat? Lees Meer na een grote overtreding.
2. Event-Stream JavaScript-bibliotheek geïnjecteerd met crypto-stelen van malware
Een JavaScript-bibliotheek die meer dan 2 miljoen downloads per week ontvangt, werd geïnjecteerd met schadelijke code die is ontworpen om cryptocurrencies te stelen.
De Event-Stream-repository, een JavaScript-pakket dat het werken met Node.js-streamingmodules vereenvoudigt, bleek versluierde code te bevatten. Toen onderzoekers de code scherper maakten, werd duidelijk dat het doel was bitcoin-diefstal.
Analyse suggereert de codetargets-bibliotheken die zijn geassocieerd met de Copay bitcoin-portemonnee voor mobiel en desktop. Als de Copay-portefeuille aanwezig is op een systeem, probeert de schadelijke code de inhoud van de portefeuille te stelen. Vervolgens probeert het verbinding te maken met een Maleisisch IP-adres.
De schadelijke code is geüpload naar de Event-Stream-repository nadat de originele ontwikkelaar, Dominic Tarr, de controle over de bibliotheek overhandigde aan een andere ontwikkelaar, right9ctrl.
Right9ctrl uploadde een nieuwe versie van de bibliotheek bijna zodra het beheer was overgedragen, de nieuwe versie met de kwaadaardige code gericht op Copay-portefeuilles.
Sinds die tijd heeft right9ctrl echter nog een nieuwe versie van de bibliotheek geüpload, zonder enige schadelijke code. De nieuwe upload valt ook samen met Copay die hun mobiele en desktop-portemonnee-pakketten bijwerkt om het gebruik van de JavaScript-bibliotheken met de schadelijke code te verwijderen.
3. Amazon lijdt data overbreuk dagen voor Black Friday
Slechts enkele dagen voor de grootste winkeldag van het jaar (bar China's Single's Day, uiteraard) ondervond Amazon een datalek.
“We nemen contact met u op om u te laten weten dat onze website per ongeluk uw naam en e-mailadres heeft bekendgemaakt vanwege een technische fout. Het probleem is opgelost. Dit is niet het gevolg van wat u hebt gedaan en u hoeft uw wachtwoord niet te wijzigen of andere stappen te ondernemen.”
Het is moeilijk om de exacte details van de overtreding te peilen, omdat Amazon het niet vertelt. Amazon-gebruikers in het Verenigd Koninkrijk, de Verenigde Staten, Zuid-Korea en Nederland meldden echter allemaal dat ze een e-mail van Amazon hadden ontvangen met betrekking tot de inbreuk, dus het was een tamelijk wereldwijd probleem..
Gebruikers kunnen enige troost putten uit het feit dat het een technisch probleem met Amazon was dat leidde tot de datalek in plaats van een aanval op Amazon. Het vrijgeven van informatie bevat ook geen bankinformatie.
Het bericht van Amazon dat er geen noodzaak is voor getroffen gebruikers om hun wachtwoord te wijzigen, is echter volkomen verkeerd. Als u bent getroffen door de gegevensbreuk van Amazon, wijzigt u uw accountwachtwoord.
4. Zelf-codering van Samsung en Cruciale SSD-beveiligingslekken
Beveiligingsonderzoekers hebben meerdere kritieke kwetsbaarheden in Samsung en cruciale, zelfversleutelende SSD's blootgelegd. Het onderzoeksteam heeft drie Cruciale SSD's en vier Samsung SSD's getest, waarbij ze bij elk getest model kritieke problemen hebben gevonden.
Carlo Meijer en Bernard van Gastel, beveiligingsonderzoekers van de Radboud Universiteit in Nederland, identificeerden kwetsbaarheden [PDF] in de implementatie van ATA-beveiliging door de schijven en TCG Opal, twee specificaties voor het implementeren van codering op SSD's die op hardware gebaseerde codering gebruiken.
Er zijn verschillende problemen:
- Gebrek aan cryptografische binding tussen wachtwoord en gegevenscoderingssleutel betekent dat een aanvaller stations kan ontgrendelen door het wachtwoordvalidatieproces te wijzigen.
- De Crucial MX300 heeft een hoofdwachtwoord dat is ingesteld door de fabrikant. Dit wachtwoord is een lege tekenreeks, er is er bijvoorbeeld geen.
- Herstel van Samsung-gegevenscoderingssleutels door de exploitatie van SSD-slijtage-nivellering.
Op verontrustende wijze stellen de onderzoekers dat deze kwetsbaarheden heel goed van toepassing kunnen zijn op andere modellen en op verschillende SSD-fabrikanten.
Vraagt u zich af hoe u uw schijven kunt beschermen? Hier leest u hoe u uw gegevens beschermt met behulp van de open-source coderingshulpprogramma, VeraCrypt Hoe uw gegevens en bestanden te versleutelen en te beschermen VeraCrypt gebruiken Hoe uw gegevens en bestanden te versleutelen en beschermen met VeraCrypt VeraCrypt is een gratis opensource-coderingstool die u kunt gebruiken om uw waardevolle persoonlijke gegevens in Windows te coderen en te beschermen. Lees verder .
5. Apple Pay Malvertising-campagne streeft naar iPhone-gebruikers
iPhone-gebruikers zijn het doelwit van een voortdurende malvertisingcampagne met Apple Pay.
De campagne probeert gebruikers van hun Apple Pay-inloggegevens om te leiden en op te lichten met behulp van twee phishing-pop-ups, waarbij de aanval afkomstig is van een reeks premium kranten en tijdschriften wanneer deze via iOS wordt benaderd..
De malware, bekend als PayLeak, levert nietsvermoedende iPhone-gebruikers die op de kwaadwillende advertentie klikken naar een Chinees-geregistreerd domein.
Wanneer de gebruiker bij het domein aankomt, controleert de malware een reeks referenties, waaronder apparaatbeweging, het apparaattype (Android of iPhone) en of de apparaatbrowser Linux x86_64, Win32 of MacIntel is.
Bovendien controleert de malware het apparaat op antivirus- of antimalware-apps.
Als aan de juiste voorwaarden is voldaan, worden Android-gebruikers omgeleid naar een phishing-site die claimt dat de gebruiker een Amazon-cadeaubon heeft gewonnen.
IPhone-gebruikers ontvangen echter twee pop-ups. De eerste is een waarschuwing dat de iPhone moet worden bijgewerkt, terwijl de tweede de gebruiker informeert dat zijn Apple Pay-app ook moet worden bijgewerkt. De tweede waarschuwing deelt de Apple Pay-creditcardgegevens met een externe opdracht- en besturingsserver.
6. One Million Children's Tracker Watches kwetsbaar
Minstens een miljoen GPS-enabled trackershorloges voor kinderen worden verkocht aan ouders die vol zitten met kwetsbaarheden.
Het onderzoek van Pen Test Partners detailleerde een reeks beveiligingsproblemen met het uiterst populaire MiSafe-kinderbeveiligingshorloge. De horloges met GPS-functie zijn zo ontworpen dat een ouder de locatie van zijn kind te allen tijde kan volgen.
De beveiligingsonderzoekers ontdekten echter dat apparaat-ID-nummers - en dus het gebruikersaccount - toegankelijk waren.
Toegang tot het account stelde het beveiligingsteam in staat om het kind te lokaliseren, een foto van het kind te bekijken, te luisteren naar gesprekken tussen het kind en hun ouder, of externe oproep of het kind zelf te bellen.
“Ons onderzoek is uitgevoerd op horloges van 'Misafes kids watcher' en lijkt tot 30.000 horloges te beïnvloeden. We hebben echter ten minste 53 andere trackerwatch-merken voor kinderen ontdekt die worden beïnvloed door identieke of bijna identieke beveiligingsproblemen.”
Kwetsbaarheden in slimme apparaten gericht op kinderen zijn geen nieuwe kwestie Nieuwe gevallen van hackers Targeting Verbonden speelgoed Bewijzen dat ze onveilig blijven Nieuwe gevallen van hackers Targeting Verbonden speelgoed bewijzen dat ze onveilig blijven Meer lezen. Het blijft echter zorgelijk.
“Dus hoe koop je veilig slim speelgoed voor je kinderen? Jij niet,” zegt Aaron Zander, IT-ingenieur bij Hacker One. “Maar als dat moet, ga dan niet voor de goedkoopste opties en probeer de mogelijkheden zoals video, wifi en Bluetooth te minimaliseren. En als je een apparaat hebt en het heeft een beveiligingsfout, neem dan contact op met je overheidsvertegenwoordigers, schrijf je regelorganen, maak er een stank van, het is de enige manier waarop het beter wordt.”
Beveiligingsnieuwsupdate november
Dat zijn zes van de beste beveiligingsverhalen van november 2018. Maar er is veel meer gebeurd; we hebben gewoon geen ruimte om alles in detail op te sommen. Hier zijn nog vijf interessante beveiligingsverhalen die vorige maand verschenen:
- Het Japanse plaatsvervangend hoofd van de cybersecurity-strategie heeft onthuld dat hij nog nooit een computer heeft gebruikt.
- Nation-state malware Stuxnet valt faciliteiten en organisaties in Iran aan (opnieuw).
- Hackers vinden zero-day exploits op iPhone X-, Samsung Galaxy S9- en Xiaomi Mi6-apparaten.
- Microsoft patches een Windows zero-day exploit gebruikt in meerdere aanvallen door verschillende hackgroepen.
- De geavanceerde spyware van Pegasus wordt gebruikt om onderzoeksjournalisten in Mexico te targeten.
Weer een wervelwind van cyberbeveiligingsnieuws. De wereld van cybersecurity verandert voortdurend en het bijhouden van de nieuwste inbreuken, malware en privacykwesties is een strijd.
Daarom verzamelen we elke maand de belangrijkste en interessantste nieuwtjes voor je.
Kom terug aan het begin van de volgende maand - het begin van een nieuw jaar en niet minder - voor uw beveiligingsronde van december 2018. Volgende maand zal ook het MakeUseOf 2018-jaar in de veiligheidsroutup verschijnen. Bekijk ondertussen deze vijf tips en trucs voor het beveiligen van uw slimme apparaten. 5 Tips voor het beveiligen van uw slimme apparaten en IoT-apparaten 5 Tips voor het beveiligen van uw slimme apparaten en IoT-apparaten Slimme huisapparatuur is onderdeel van het internet der dingen, maar hoe veilig is uw netwerk met deze apparaten verbonden? Lees verder .
Afbeelding: Karlis Dambrans / Flickr
Ontdek meer over: Amazon, Apple Pay, Black Friday, Computerbeveiliging, Cryptocurrency, Malvertising, Security Breach, Solid State Drive, Toys.