Duizenden persoonsgegevens toegankelijk door lek in webshopplatform

Door een lek in het webshopplatform van mijnwebshoppartner.nl waren duizenden persoonsgegevens voor iedereen toegankelijk. Na mijn CVD-melding op 18 september wist de leverancier het lek binnen een aantal dagen te dichten, maar schitterde vervolgens door afwezigheid. Het betrof een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid, waardoor gegevens van ruim 7200 webshopklanten makkelijk toegankelijk waren. Lees meer

CSRF mislukt door SameSite cookies by default

Sinds er een embedded Chrome browser beschikbaar is in Burp Suite (vanaf versie 2020.7) maak ik hier regelmatig gebruik van als vervanger van Firefox met een separaat profiel. Toen ik eerder deze week bezig was met het uitvoeren van een pentest tegen een Lotus Domino webapplicatie, werkte een CSRF aanval niet terwijl ik dit wel had verwacht. Lees meer

Marktplaats oplichters aan het werk

Vorige week ontving John, de vader van een van mijn beste vrienden, plotseling een berichtje op zijn mobiele telefoon: “…via jouw adres is net mijn zoon via zijn bankrekening beroofd. Als je hier iets van weet vraag ik je dringend het geld terug te storten. Anders ben ik genoodzaakt aangifte te doen.“. Euhm, pardon? John is zelfstandig ondernemer en heeft een simpele website met daarop vermeldt zijn adresgegevens, e-mailadres en KvK nummer, en is zich uiteraard van geen kwaad bewust. Lees meer

Tips & tricks voor veilig thuiswerken: verhoog jouw hack-drempel!

We bevinden ons sinds twee maanden in een intelligente lockdown vanwege de Coronacrisis. Op dit moment worden de maatregelen langzaam versoepeld, maar voorlopig werken nog steeds veel mensen vanuit huis en zullen zij dat wellicht ook na de Coronacrisis steeds vaker doen. Hoewel er de laatste tijd al door verschillende organisaties aandacht is besteed aan digitale veiligheid van thuiswerkers, vind ik de gegevens tips vaak beperkt bruikbaar of onvolledig. Lees meer

Videobellen met Zoom; is dat nog wel verantwoord?

Als gevolg van de Coronacrisis werken veel mensen vanuit huis. Om het werken op afstand met collega’s te vergemakkelijken, zochten veel organisaties hun toevlucht in videobellen. Er zijn dan ook veel overzichten te vinden van verschillende applicaties die dit mogelijk maken, zoals bijvoorbeeld dit overzicht op Frankwatching. Veel leveranciers van diensten op het gebied van videobellen zagen het aantal gebruikers flink groeien, waaronder ook Zoom. Hierdoor kwamen de diensten van Zoom onder een vergrootglas te liggen, en sindsdien zijn er veel security- en privacy gerelateerde kritieken op Zoom. Lees meer

Crisis? Vergeet informatiebeveiliging niet!

Dat ICT onmisbaar is in onze samenleving wisten we al. De huidige Coronacrisis laat zien dat we onder bepaalde omstandigheden nóg meer steunen op een betrouwbare werking van ICT voorzieningen. Het valt echter op dat veel organisaties informatiebeveiliging even op een laag pitje zetten: “De focus ligt nu even op het primaire proces en het maximaal besparen van kosten” is het meest gehoorde argument. Ik begrijp het wel; hetzelfde resultaat moet worden bereikt onder beperkte omstandigheden met minder mensen, terwijl de kosten gelijk blijven of toenemen, en omzetten (mogelijk) afnemen. Kortom, organisaties verkeren in een crisis of verwachten hier binnenkort in te geraken, en dat vraagt om een andere aansturing. Toch is het niet verstandig om de aandacht voor informatiebeveiliging teveel te laten verslappen. Lees meer

Versleutelde verbindingen binnen het LAN

Wanneer ik organisaties begeleid bij het documenteren en implementeren van een passende informatiebeveiliging, word ik regelmatig gevraagd naar de noodzaak van versleutelde verbindingen binnen het interne netwerk. Best vaak wordt dit (vanwege andere prioriteiten of complexiteit) beschouwd als onnodig en zo nu en dan wordt dit duidelijk gemaakt met wegwerpgebaren en het argument dat “het hier geen bank is”. Hoewel er zeker redenen kunnen zijn om het risico van onversleutelde verbindingen in het LAN te accepteren, zijn er ook voldoende argumenten om transportversleuteling wél toe te passen. Lees meer

Wi-Fi horeca

Inrichting Wi-Fi netwerken horeca vaak kwetsbaar

Veel horeca ondernemers bieden tegenwoordig gratis Wi-Fi aan in hun restaurant. Hoewel ik de beveiliging van deze Wi-Fi netwerken de laatste jaren zag verbeteren, is er nog veel ruimte voor verbetering. In positieve zin valt op dat open Wi-Fi netwerken (waar je zonder wachtwoord gebruik van kan maken) minder vaak worden aangetroffen, ten gunste van wachtwoord beveiligde Wi-Fi netwerken (WPA2). Een welkome en noodzakelijke verbetering, maar daarmee zijn we er helaas nog niet. De wijze waarop Wi-Fi netwerken worden ingericht, maakt horeca ondernemers nog steeds kwetsbaar en daar zijn ze zich vaak niet bewust van. Lees meer

Automatisch updaten van DANE TLSA records

(English below) Als webhoster is mijn streven om uitsluitend internet.nl compliant webhosting aan te bieden. Dat betekent onder andere dat ik websites voortaan uitsluitend over het veilige HTTPS wil aanbieden. Door de komst van Let’s Encrypt is dat relatief gemakkelijk en ook nog eens gratis, maar toch bleef ik het gebruik ervan steeds uitstellen. Ondanks de hoge vernieuwingsfrequentie van Let’s Encrypt certificaten (90 dagen), is het automatisch vernieuwen van de certificaten volledig te automatiseren met Certbot snel voor elkaar te krijgen. Echter, voor het vernieuwen van de certificaat vingerafdruk (SHA256 hash) in het TLSA record, vond ik geen kant-en-klare oplossing die paste bij mijn implementatie en wensen. Lees meer

Veilige e-mailstandaarden: niet omdat het kan, maar omdat het moet!

Ik schreef eerder over beveiligingsstandaarden die e-mail betrouwbaarder maken: SPF, DKIM en DMARC. Het merendeel van deze standaarden is inmiddels verplicht voor overheidsorganisaties. Ook private organisaties doen er verstandig aan om deze standaarden zo snel mogelijk te implementeren. Het ontbreken van deze standaarden kan zomaar voor veel problemen zorgen. Niet alleen voor de eigen organisatie, maar ook voor de rest van de wereld. En daarvan heb ik -helaas- een mooi voorbeeld. Lees meer