Veel Nederlandse bedrijven hebben hun ICT niet op orde, daardoor zijn 100.000 computers vatbaar voor datalekken. Dat vertellen ICT-experts in een video die YouTuber Sven van der Meulen vrijdag op YouTube heeft gezet.
Door een beveiligingsissue in Windows-computers kan “de gemiddelde ICT-student op het mbo” inbreken in de computers.
Van der Meulen voerde het onderzoek uit in samenwerking met cybersecuritybedrijf Dyna-Tech. Een ICT-expert van dat bedrijf vertelt in de video dat een fout in het besturingssysteem van Windows maanden geleden is ontdekt. Een fout die volgens de experts makkelijk te herstellen is, ware het niet dat veel bedrijven op ICT-gebied “hun zaken niet op orde hebben”.
Daar komt bij dat de kwetsbaarheden van de computers openbaar te vinden zijn op het internet. “Elke zolderhacker kan al maanden eenvoudig toegang krijgen tot deze computers, met alle gevolgen van dien”, vertelt een ander cybersecuritybedrijf, Fox-IT, in de video.
Om aan te tonen hoe slecht het gesteld is met de beveiliging bij bedrijven ging de YouTuber op bezoek bij een bibliotheek, waar hij een hacker opdracht gaf op een “ludieke manier” het systeem binnen te komen. De hacker printte vanuit het systeem het logo van Van der Meukens YouTube-kanaal Vrije Vogels via een printer van de bieb.
Daarnaast zocht hij contact met een abortuskliniek die ook de beveiliging van het systeem niet op orde had. De twee bedrijven hebben hun systeem inmiddels beter beveiligd.
Ziekenhuizen en abortusklinieken
Volgens de experts blijven nog steeds 100.000 computers over waarbij hackers makkelijk toegang kunnen krijgen tot alle data in het systeem, waaronder persoonsgegevens. Het gaat hierbij ook om computers van ziekenhuizen en abortusklinieken.
ICT-specialist Joost Pol legt in de video uit dat het probleem vaak is dat bedrijven hun software niet updaten. “Een van de meest basale dingen om de computer veilig te houden, het updaten van de software, gebeurt nog steeds niet vaak genoeg.”
“YOU’VE BEEN HACKED!”, rolt er plotseling uit je printer. Dat is schrikken. Het overkwam vorige week 50.000 mensen wereldwijd. Hun printer was echt gehacked. Door ethical hacker TheHackerGiraffe. Met een iets andere tekst.
TheHackerGiraffe liet de printer van zijn slachtoffers de opmerkelijke tekst “ATTENTION PewDiePie is in trouble and needs your help to defeat T-series”, afdrukken.
PewDiePie is een zeer populaire vlogger op YouTube. De af en toe controversiële PewDiePie strijdt momenteel met het YouTubekanaal T-series om de eerste plek op YouTube. T-Series, een kanaal van een Indiase muziekproducent, heeft PewDiePie in korte tijd van de eerste plaats verdrongen.
Op Twitter reageerden mensen die de opmerkelijke oproep om PewDiePie uit hun printer zagen rollen verward.
Bij security awareness trainingen wordt er wel vaak aandacht aan besteed dat printers beveiligd moeten worden met een wachtwoord.
Dat je moet voorkomen dat prints onbeheerd op de printer kunnen blijven liggen, waar ze door onbevoegden zouden kunnen worden gezien.
Dat je niet eenvoudig op de repeatknop moet kunnen drukken om de laatste print te herhalen.
En dat je er bij oude printers die worden afgedankt er aan moet denken dat je het geheugen van de printer wist.
TheHackerGiraffe maakt met zijn actie duidelijk dat iedereen die zijn printer aangesloten heeft op het internet de beveiliging moet na lopen. Zorg er voor dat de firmware van je printer up-to-date is.
Het is praktisch dat je vanaf iedere locatie met elk apparaat dat je gebruikt een printopdracht kunt geven, maar dat brengt wel risico’s met zich mee als je de printer niet op de juiste manier beveiligt. Of als je een onveilige printer gebruikt.
Volgens TheHackerGiraffe zijn er in totaal ongeveer 800.000 printers die eenvoudig gehacked kunnen worden.
Hij vond zijn slachtoffers op Shodan.io, een zoekmachine voor onbeveiligde, op het internet aangesloten apparaten.
TheHackerGiraffe verstuurde het bericht met behulp van een tool die bekend staat als PRET of Printer Exploitation Toolkit.
Volgens de GitHub-pagina voor de tool, staat PRET aanvallers toe om “leuke dingen te doen zoals het vastleggen of manipuleren van printopdrachten, toegang tot het bestandssysteem en het geheugen van de printer of zelfs fysieke schade aan het apparaat veroorzaken”.
Waarom verstuurde hij het opmerkelijke bericht over PewDiePie?
“Ik ben om te beginnen eerlijk gezegd een grote fan van kerkbanken, maar ik wilde een lichtvoetige boodschap versturen die me zou vermenselijken in plaats van alleen maar een grote enge ‘YOU’VE BEEN HACKED’ te drukken,” reageert TheHackerGiraffe. “Ik ben een grote fan van PewDiePie en dacht dat het hem een klein voordeel zou kunnen geven in zijn strijd om de nummer één op YouTube te blijven.”
Uit angst voor pedofielen kopen veel ouders tegenwoordig een GPS-horloge voor hun kinderen. Zo kunnen ze hun kroost overal volgen. Maar de kinderlokkers waar ze de kinderen juist voor willen beschermen kunnen dat ook. Het hacken van zo’n smartwatch met GPS-tracker en microfoon blijkt namelijk een fluitje van een cent.
De software van veel merken relatief goedkope kinderhorloges kan volgens de Britse ethical hackers Ken Munro en Alan Monie van Pen Test Partners heel eenvoudig op afstand worden gekraakt. Veel producenten maken gebruik van dezelfde standaard software.
De app waarmee de locatie van de kinderhorloges op smartphones kan worden uitgelezen is volgens de ethical hackers van Pen Test Partners zo slecht geprogrammeerd dat het voor een hacker een klein kunstje is om in te breken op het online account waarmee de smartwatch in verbinding staat.
Veel ouders hebben een gerust gevoel als ze op ieder moment van de dag weten waar hun kind is. De smartwatch voor kinderen maakt dat mogelijk. Het is eigenlijk een nieuw soort mobiele babyfoon waarmee je niet alleen de kinderkamer live kunt meeluisteren, maar overal waar het kind zich bevindt. Zonder dat de omgeving het weet.
Volgens de Algemene Verordening Gegevensbescherming (AVG) mag dat niet, maar het gebeurt wel. Als er kinderen met zo‘n smartwatch in de buurt zijn weet je nu dus dat je moet oppassen waar je over praat. Big papa en big mama are watching you…
Maar wat mama en papa kunnen, kan een kinderlokker ook. En dan wordt die smartphone een modern paard van Troje. De kindersmartphone kan een nachtmerrie worden.
Kwaadwillenden kunnen kinderen met zo’n horloge dankzij de GPS-tracker ook volgen. Ze weten ook exact waar de kinderen zich bevinden. En via de ingebouwde microfoon kunnen ze dus de kinderen en hun omgeving live afluisteren. Dat is handig als je de rollen omdraait.
Kinderlokkers weten zo dus ook of kinderen alleen zijn. Als ze een kind langer volgen kunnen ze gedragspatronen registreren. Ze kennen de routes waarlangs kinderen dagelijks lopen en fietsen. Waar ze spelen.
En ze weten dat mama en papa kunnen zien waar hun kind is en ook kunnen meeluisteren. Als ze het kind dus willen ontvoeren weten ze dat ze het horloge meteen af moeten doen en weggooien. En dan is het ‘veilige’ kind meteen van de radar van mama en papa verdwenen. Misschien hebben ze nog net de laatste woorden van hun zoontje of dochtertje kunnen horen… Horror! Je moet er niet aan denken.
Ach, zo‘n vaart zal het niet lopen, denken sommige mensen nu. Maar volgens Pen Test Partners is het naief om zo te denken. Helemaal als je zoals deze professionele ethical hackers weet hoe cybercriminelen dagelijks dankbaar misbruik maken van de fouten van slordige slechte programmeurs.
De verbinding die de smartwatch en de app voor smartphones maken met het internet blijkt tot afgrijzen van de ethical hackers onversleuteld te zijn. „Geen encryptie – wat is dit, de jaren negentig?“
Vrijwel alle gegevens worden in platte tekst verstuurd. Iedereen heeft daardoor toegang tot de gegevens.
Het hacken van een ‘slimme’ kinderhorloge blijkt bijzonder eenvoudig. Het gebruikers-ID-nummer kan eenvoudig onderschept worden. Een hacker die een smartwatch voor kinderen koopt kan aan de hand van de inloggegevens van die ene smartwatch inbreken in miljoenen andere smartwatches.
De hacker hoeft enkel te analyseren hoe zijn gekochte smartwatch verbinding maakt met de cloudomgeving. Nadat de onversleutelde communicatie tussen de smartwatch, de app en de backendserver in de cloud met standaard hackersoftware onderschept is hoeft de hacker alleen het ID-nummer te wijzigen om vervolgens toegang te krijgen tot de foto, de verblijfplaats en andere gegevens van een willekeurig kind van dat ID.
Als er miljoenen smartwatches zijn is de kans klein dat ze net die van jouw kind er uitpikken… denken sommige mensen nu. Verkeerd gedacht. Het is heel simpel om kinderen in een bepaalde omgeving te traceren. Kinderlokkers kunnen de smartwatch voor kinderen eenvoudig gebruiken als een soort buienradar voor kinderen. Een online catalogus voor pedofielen.
Ethical hacker Monro van Pen Test Partners zegt dat hij met een eenvoudig zelfgeprogrammeerd C#-programma automatisch de accounts van 12.000 MiSafe horloges had kunnen bekijken en ook een foto van elk kind kon downloaden, plus hun naam, andere persoonlijke gegevens, evenals het telefoonnummer van de ouders en van het horloge zelf.
Munro vertelde de BBC dat een pedofiel met behulp van gemakkelijk verkrijgbare software zich kan voordoen als een van ouders van het kind en rechtstreeks kan communiceren.
“Zodra een hacker het telefoonnummer van de ouder heeft achterhaald kan hij zich voordoen als papa of mama. Hij kan rechtstreeks contact opnemen met het kind en het overtuigen het huis of de speelplaats te verlaten en naar een bepaalde locatie te gaan. Het kind denkt dat papa of mama het zegt en zal de opdracht klakkeloos uitvoeren.”
Pen Test Partners zegt geprobeerd te hebben om met de fabrikant van de MiSafe Kids Watch Plus in contact te komen. Dat is niet gelukt. Het is volgens Pen Test Partners onwaarschijnlijk dat er ooit een beveiligingsupdate voor de kinderhorloges zal komen.
De fabrikant kwam in februari ook al in opspraak vanwege een datalek bij populaire babyfoons.
De kindersmartwatches zijn in Noorwegen inmiddels verboden. De Britse consumentenbond pleit ook voor een verbod.
Advies van de ethical hackers aan ouders die zo’n smartwatch voor hun kinderen hebben gekocht: verwijder de app van je smartphone en vernietig de smartwatch met een hamer of een baksteen.
Hacken is kinderspel. Een fluitje van een cent. Iedereen kan het. Zelfs mensen zonder ICT-opleiding. Zelfs huismoeders die om financiele redenen besluiten cybercrimineel te worden. Toch onderschatten veel mensen de risico’s.
Dat blijkt uit onderzoek van de Oostenrijkse Donau-universiteit Krems. De onderzoekers analyseerden alle rechtbankdossiers van het Strafhof Wenen van strafzaken die te maken hadden cybercriminaliteit in de periode van 2006 tot 2016.
“Meer dan 60 procent van de strafbare feiten die onder “cybercriminaliteit” betreffen identiteitsdiefstal”, vertelde Edith Huber van de Donau-universiteit tijdens een discussie tijdens de Berlijnse wetenschapsweek. Het betreft volgens haar vaak kleine criminelen die grote schade kunnen aanrichten.
De onderzoekers hebben drie daderprofielen geïdentificeerd:
Meer dan 50 procent en daarmee de grootste groep aanvallers heeft geen ICT-opleiding.
De tweede groep is beter opgeleid en gesitueerd en handelt vaak uit persoonlijke motivatie om het bedrijf terug te betalen.
De derde, iets kleinere groep betreft vrouwen die voornamelijk om financiële redenen cybercrimineel worden.
En dan zijn er daarnaast nog de ‘professionele’ cybercriminelen die met financiele ondersteuning van landen als China, Iran, Noord-Korea en Rusland proberen in te breken in bedrijfsnetwerken.
91 hackergroepen die in opdracht van overheden werken
Volgens een analyse van Cambridge Analytics zijn 91 hackergroepen bekend die in opdracht van overheden – uiteraard nooit officieel – systemen hacken. Hun belangrijkste doelwitten zijn spionage of het manipuleren van informatie. Op internationaal niveau wordt de hackergroep “APT 28” (“Cozy Bear”) beschouwd als de meest actieve op dit gebied.
Thomas Stubbings van het Cyber Security Platform Oostenrijk denkt dat het een illusie is om te denken dat organisaties zich met alleen technische maatregelen kunnen beschermen tegen cybercriminaliteit.
Absolute ICT-beveiliging bestaat niet
“Absolute ICT-beveiliging bestaat niet”, zegt Stubbings. “Het creëren van veilige ICT-systemen om kritieke infrastructuur te beschermen is misschien een nobel doel, maar het is een ontoereikende aanpak.”
Er is volgens Stubbings behoefte aan een paradigmaverschuiving van pure preventie naar een snelle reactie op cyberaanvallen.
Preventieve inzet van professionele ethical hackers
Volgens de deskundigen is een nieuwe strategie nodig. “We moeten het spel van onze aanvallers spelen”, legt Stubbings uit. Aan de ene kant betekent dit investeren in systemen die aanvallen en risico’s onmiddellijk kunnen identificeren en niet alleen wanneer het te laat is. Stubbings ziet de inzet van ethical hackers die proberen de eigen ICT-systemen te kraken als een belangrijke preventieve maatregel.
Moet alles echt aan het netwerk gekoppeld worden?
Een van de belangrijkste problemen om de IT-beveiliging te waarborgen is de enorme complexiteit van de systemen. Dit is precies waar Lutz Prechelt van de Freie Universität Berlin zou beginnen. “Men kan er in ieder geval van uitgaan dat er geen 100 procent IT-beveiliging is. Dit roept de vraag op naar de organisatie van de systemen: Moet alles wat genetwerkt is echt genetwerkt worden?”
Privacy Awareness trainingen van groot belang
Alle wetenschappers zijn het over één ding eens. Wie zich wapenen wil tegen cybercriminaliteit moet beginnen met het plannen van regelmatige privacy awareness trainingen voor medewerkers. Het is het beste om te beginnen met het vergroten van het bewustzijn van IT-risico’s.
Digitale ‘Fukushima’ ramp
De onderzoekers zijn bang dat er eerst een digitale ‘Fukushima’ ramp moet komen voor dat dat doordringt bij organisaties en bedrijven. De enorme risico’s die we als moderne ICT-afhankelijke samenleving lopen worden onderschat. Ook omdat veel mensen het technische jargon van ICT-ers en hackers niet begrijpen. ICT-ers spreken een eigen taal en dat ook nog eens in het Engels.
“Ga een keer de straat op en vraag het iemand: Heb je ooit een phishing-aanval gehad?”
De Berlijnse wetenschapsweek is een internationaal evenement waarbij wetenschappers hun onderwerpen aan het publiek presenteren in ongeveer 100 evenementen van 1 tot 10 november. Veel van deze discussies kunnen via een livestream gevolgd worden.
Een datalek kan fataal zijn voor iedere organisatie. Dat weten criminelen nu ook. De politie is er in geslaagd om de versleutelde criminele chatdienst IronChat te kraken.
De politie heeft toegang weten te krijgen tot de server waarmee de communicatie plaatsvond en kon de berichten ontsleutelen.
De recherche kon 265.000 berichten van criminelen lezen. De politie kon het chatverkeer live volgen.
De criminelen maakten gebruik van zogeheten cryptofoons die duizenden euro’s kosten. Ze dachten versleuteld te kunnen communiceren met de applicatie IronChat.
De server waarover de versleutelde communicatie plaatsvond, is ontdekt nadat de politie in Oost-Nederland, in een onderzoek naar witwassen, een leverancier van de cryptofoons op het spoor kwam.
Met de cryptofoons, die duizenden euro’s kosten, kunnen alleen chatberichten worden verstuurd. Door het gebruik van een eigen computerserver die de communicatie versleutelde, werd het dataverkeer onzichtbaar voor de autoriteiten.
De eigenaar van het bedrijf, een 46-jarige man uit Lingewaard, en zijn compagnon, een 52-jarige man uit Boxtel, zijn aangehouden. Zij worden verdacht van witwassen en deelname aan een criminele organisatie.
Hun woningen en het bedrijf zijn doorzocht. Er zijn op diverse plekken in het land doorzoekingen gedaan.
Unieke inkijk
“Deze operatie heeft ons een unieke inkijk in de criminele wereld gegeven waarin vrijuit werd gecommuniceerd over strafbare feiten”, zegt Aart Garssen, Hoofd van de Dienst Regionale Recherche in Oost-Nederland.
“Uiteraard heeft dit ook tot een aantal resultaten geleid. Zo hebben we een drugslab opgerold in Enschede. Ook hebben we in verschillende acties meer dan € 90.000 aan contant geld aangetroffen, automatische wapens en grote hoeveelheden harddrugs (o.a. MDMA en cocaïne). Daarnaast kregen we een op handen zijnde vergeldingsactie in het criminele circuit van Twente mee. Vanmorgen zijn daarvoor vier aanhoudingen verricht. Hiermee komt het totaal aantal aanhoudingen vandaag op 14”, aldus Garssen.
Toen criminelen naar aanleiding van arrestaties argwaan kregen en vermoedens van een lek onder de criminelen kregen, ontstond volgens de politie de kans op vergeldingen. „Dit hebben we in de kiem gesmoord. We hebben fors geweld kunnen voorkomen.”
Op de website van de Autoriteit Persoonsgegevens (AP) kun je veel informatie vinden over de Algemene Verordening Gegevensbescherming (AVG). Ook op vaksites als PrivacyZone wordt regelmatig veel uitleg gegeven over de Europese privacywet. En nu komt er ook een gratis handboek.
Het Belgische multichannel marketing en communicatiebedrijf Group Joos stelt voor iedereen in de Benelux een gratis GDPR-handboek beschikbaar.
Het Grote GDPR Handboek
In Het Grote GDPR Handboek komen de 99 artikelen aan bod uit de officiële publicatie van de GDPR.
Het handboek is geschreven door Viktor D’Huys en Peter Witsenburg. Viktor D’Huys is cio van Group Joos en co-auteur Peter Witsenburg is naast Computable-expert in België, cloudmakelaar en information security officer ook eigenaar van Witsenburg Consultancy.
Belgische staatssecretarisch voor privacy
De Belgisch staatssecretaris voor privacy Philippe De Backer schreef het voorwoord voor het boek.
Beide schrijvers proberen de abstracte regelgeving van de AVG / GDPR te vertalen naar nuttige en praktische tips die voor iedereen te begrijpen zijn.
Misverstanden over privacyregels
Viktor D’Huys en Peter Witsenburg stellen vast dat er nog altijd veel misverstanden bestaan binnen de kleine en middelgrote ondernemingen als het erom gaat de regelgeving in de praktijk te brengen.
Volgens de schrijvers is er nood aan een soort van leidraad of stappenplan waarin duidelijk vermeld staat wat men te doen staat om aan de GDPR te voldoen.
Digitale versie Grote GDPR Handboek gratis beschikbaar
De digitale versie van het boek is inmiddels gratis beschikbaar. Op 1 november 2018 komt er ook een hardcopy van het boek. Dat wordt dan uitgedeeld wordt op aan bezoekers van de GDPR-discussie in Computable Café tijdens de vakbeurzen Infosecurity.nl en Data & Cloud Expo.
Aan die nood willen de auteurs met Het Grote GDPR Handboek tegemoet komen.
Ethical hacker Geert de Graaf uit Assen heeft de AsserPas gekraakt. Met deze pas kunnen inwoners van de Drentse hoofdstad boeken lenen in de bibliotheek, hun auto parkeren en vuil storten.
De pas is vrij eenvoudig te hacken, zegt De Graaf bij de regionale omroep RTV Drenthe.
Zelfde chip als in eerste OC-chipkaart
In de pas zit volgens De Graaf dezelfde chip als in de eerste OV-chipkaart die in 2011 al werd gekraakt.
Met een telefoon, een speciale app en een blanco pas is de kaart in een paar handelingen te kopiëren. “Met een handleiding van mij er bij zou iedereen dit moeten kunnen”, zegt De Graaf.
Hij kwam het lek op het spoor doordat hij zelf vaak de AsserPas vergat. Hij zou hem liever aan zijn sleutelbos vastmaken en dat is inmiddels gelukt door de kaart naar een zogenaamde key-fob te kopiëren.
Ook heeft hij een ring met een chip erin die inmiddels dienst doet als AsserPas.
Pas van iemand anders kopieren
“Als je kwaad zou willen, dan kan je een pas van iemand anders kopiëren en dan kan je afval wegbrengen, waar je anders voor moet betalen. Of boeken halen bij de bibliotheek en parkeren op iemand anders naam.”
De kans dat er op grote schaal misbruik van de kaart wordt gemaakt lijkt klein, maar het gaat volgens De Graaf ook om het principe. “De gemeente Assen had grote plannen met de kaart. Mensen konden bijvoorbeeld ook kortingen krijgen in winkels. Het kan best zijn dat door dit lek dat allemaal niet door gaat.”
De Graaf heeft al zijn informatie gebundeld in een onderzoek, dat vorig jaar september aan de gemeente werd overhandigd. Tot nu toe kreeg hij daar maar weinig respons op.
“Pas twee weken geleden ben ik daar over gebeld. Terwijl ik inmiddels nog meer heb ontdekt over de pas, dat staat niet in mijn onderzoek.”
De gemeente Assen laat weten op de hoogte te zijn van de problemen met de AsserPas. Het onderzoek van De Graaf wordt binnen een paar weken besproken in het college van Assen.
In het kader van privacybeleid lijkt het voorlopig verstandig om geen Amazon Echo of Google Home spraakassistent op kantoor te plaatsen. Amerikaanse onderzoekers hebben namelijk een nieuwe techniek ontdekt waarmee de spraakassistent gehackt kan worden: Voice Squatting.
Met deze hackmethode kunnen Google Home of Amazon Echo geprogrammeerd worden om als stille spion alles wat er in de directe omgeving wordt gezegd af te luisteren of phishingaanvallen uit te voeren.
Verborgen commando’s in muziek
Eerder lieten onderzoekers van de Universiteit van Californië zien hoe ze verborgen commando’s konden integreren in muziekopnames of gesproken tekst om vervolgens acties uit te voeren op een Amazon Echo.
Voice Squatting werd ontdekt door een groep onderzoekers van de Indiana University, Bloomington, de Universiteit van Virginia en de Chinese Academie van Wetenschappen.
Geheime opnamefunctionaliteit
Om geheime opnamefunctionaliteit toe te voegen, gebruikten de academici de “reprompt”-functie. Deze functie zorgt ervoor dat een vaardigheid kan blijven draaien wanneer deze geen antwoord ontvangt, zolang de gebruikers hiervan op de hoogte worden gesteld via een audio- of tekstbestand.
De onderzoekers misbruikten dit door een lang, stil audiobestand te maken als een reprompt, zodat de gebruiker geen merkbare waarschuwing zou krijgen dat de microfoon nog aan het opnemen was.
Phishingaanval via Google Home of Amazon Echo
De spraakassistent zou ook via spraakcommando’s kunnen worden geprogrammeerd om phishing-aanvallen uit te voeren. Google Home of Amazon Echo kunnen dan doen alsof ze een bankdienst uitvoeren en gebruikers vragen om hun wachtwoord door te geven.
Reacties Google en Amazon
Zowel Amazon als Google zeggen dat ze al beveiliging hebben die kwaadaardige vaardigheden proberen op te sporen.
De onderzoekers hebben hun ontdekking in april aan zowel Amazon als Google voorgelegd.
Ze zijn sceptisch of er momenteel echt effectieve beveiligingsmaatregelen zijn. “We weten dat Amazon en Google zich niet tegen de aanvallen konden verdedigen toen we onze studie aan hen rapporteerden en we weten niet zeker of ze dat nu wel kunnen”, aldus onderzoeker XiaoFeng Wang van de Indiana University.
Volgens de Volkskrant lopen 375.000 mkb-bedrijven in Nederland grote risico’s met hun websites. De websites blijken ronduit slecht beveiligd en kunnen relatief eenvoudig gehackt worden.
De websites van naar schatting 375.000 bedrijven in het midden- en kleinbedrijf (mkb) zijn slecht beveiligd, waardoor kwaadwillenden relatief eenvoudig gevoelige persoonsgegevens kunnen inzien.
Het gaat om drie kwart van de websites binnen het mkb die privacygevoelige informatie verwerken, schrijft de Volkskrant vrijdag. Van de slecht beveiligde websites bestaat bij een kwart zelfs het risico dat kwaadwillenden rechtstreeks toegang kunnen krijgen tot een database met gegevens. – via NU
De Rabobank stopt met de Rabo Scanner waarmee klanten online betalingen kunnen authoriseren, meldt de Telegraaf. Volgens de bank is het apparaatje niet langer nodig om veilig betalingsverkeer te kunnen garanderen.
Bart Leurs van digitale verandering bij Rabobank zegt tegen De Telegraaf dat online bankieren “net zo veilig” kan zonder een kaartlezer. Daarbij noemt hij vijfcijferige inlogcodes of het gebruiken van een vingerafdrukscanner in een telefoon.
Dat de Rabobank een 5-cijferige pincode veilig noemt is opmerkelijk.
Ethical hackers en de website Veiliginternetten.nl denken daar anders over.
Volgens ethical hackers kan een wachtwoord van 7 tekens binnen twee uur gekraakt worden.
Met 1 teken meer duurt het ongeveer twee maanden.
Wat nou als we twee tekens minder hebben? Hoe snel kan een pincode van 5 cijfers eigenlijk gekraakt worden.
“Het wachtwoord 12345 is supersnel gekraakt. Net als welkom01”, schrijft Veilignternetten.nl. ”Ze zijn beide te kort en bevatten te weinig verschillende tekens. Hoe zit dat met jouw wachtwoord(en)? Hoe snel hebben cybercriminelen toegang tot jouw persoonlijke en belangrijke gegevens?”
1, 2, 3, 4, 5 is inderdaad wel heel gemakkelijk. Maar een willekeurig getal van 5 cijfers is voor de meeste krakers net zo eenvoudig. Een peuleschil met de juiste hacksoftware en een snelle computer.
De uitleg van veiligheidsexpert Leurs staat ook haaks op de vele awareness trainingen die in het kader van de nieuwe privacywet AVG / GDPR overal in het land gegeven worden.
Iedere cursist wordt ingeprent om lange wachtwoorden te gebruiken met verschillende tekens.
Hoe zit dat dan met de pincodes van banken?
Eenvoudig. Als je je pincode drie keer fout invoert wordt je account geblokkeerd.
Hacken met een snelle computer heeft dan geen zin.
Maar hoe zit het dan met het menselijk brein? Iemand die je pincode afkijkt of aftroggelt? Veel mensen hebben al moeite om een viercijferige pincode te onthouden. Laat staan vijf cijfers.
De kans is groot dat veel mensen noodgedwongen hun pincode op een papiertje schrijven dat in de portemonnee of binnenzak wordt gestoken. Als geheugensteuntje. Niet verstandig, maat wat moet je als je geheugen je in de steek laat?
Hoe zit het met verborgen camera’s die meekijken als een pincode ingevoerd wordt?
Eigenlijk had de Rabo Scanner toch een functie. Dubbele opt-in.
De Rabobank moet toch net als andere organisaties bij de ontwikkeling van nieuwe producten wettelijk rekening houden met de GDPR eis ‘privacy by design’?
Dan vertrouw ik meer op de vingerafdruk beveiliging.
De meeste ondernemers kunnen zich nauwelijks voorstellen dat zij ooit slachtoffer zullen worden van cybercrime. Zeker ondernemers die denken dat zij nauwelijks online zakendoen. Vergeten wordt dat de mailbox onderdeel is van het moderne zakendoen. Zonder e-mail kan een moderne ondernemer feitelijk geen zaken doen.
De mailbox is meteen een van de grootste bronnen van datalekken. Mede dankzij menselijk handelen overigens.
Welke risico’s loop je met mail?
Wat kan er nou gebeuren als je mailbox gehackt wordt? Wat is het risico als je iets te snel op een link in een betrouwbaar ogend mailtje hebt geklikt, dat blijkt te zijn verstuurd door een cybercrimineel?
Stan Hegt is ethisch hacker in dienst van KPMG. Hij kruipt dagelijks in de huid van cybercriminelen om hun gedrag te kunnen doorgronden en ondernemers te helpen om hun bedrijfsactiviteiten online beter te beschermen.
Hegt geeft op de site van de Kamer van Koophandel drie voorbeelden van cybercrime bij kleinere mkb’ers.
Datalek bij accountant
Bijvoorbeeld van een bedrijf dat door een datalek bij de accountant ruim honderdduizend euro werd afgetroggeld door cybercriminelen. De inloggegevens van de accountant van deze ondernemer kwamen voor in een datalek. De internetcriminelen konden zo in het online boekhoudpakket van de ondernemer komen. Door stamgegevens van leveranciers aan te passen werden facturen niet aan hen maar aan de cybercriminelen uitbetaald.
DDoS aanval op webshop
Een andere mkb’er heeft een goedlopende webshop en is inmiddels goed in de zoekmachines te vinden. Op een gegeven moment lag zijn webshop door een DDoS-aanval een dag lang plat.
De volgende dag kreeg hij een mail van de cybercrimineel: bitcoins betalen of je webshop ligt de volgende keer een hele maand plat. “Dat kan het einde van je bedrijf betekenen’, concludeert Hegt.
Phishingmail Office 365
Tenslotte een voorbeeld van phishing. De ondernemer krijgt een mailtje in Office 365 met een ogenschijnlijk belangrijke bijlage. Om de bijlage te openen moet hij zijn wachtwoord invullen. Pas maanden later blijkt zijn mail al die maanden ook te zijn doorgestuurd naar een mailadres van een cybercrimineel.
Hegt: “De verzamelde informatie leek niet misbruikt, maar je hebt wel een gigantisch datalek. Leg dat maar eens uit aan je klanten. Bovendien ben je verplicht dit datalek te melden bij de Autoriteit Persoonsgegevens.”
