Categorie: Security

Beveiliging Wordpress website. Beveiliging Joomla. Beveiligingsproblemen website. Website hacking, XSS, SQL injectie.

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgen

Datalekken: hoe schadelijk of gevaarlijk is dat?

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

GGD, Global Marketing Bridge, AlleKabels, Autobedrijven (RDC, een bedrijf dat autogarages ICT-diensten aanbiedt), Booking.com, Expedia, Hotels.com, bol.com, EasyJet, bouwbedrijf Heijmans. Datalekken zijn aan de orde van de dag.

Keer op keer worden duizenden tot zelfs miljoenen gegevens zoals email adressen, wachtwoorden, financiële gegevens inclusief bankrekeningnummers en vermogen alsmede ID-kaarten en BSN-nummers gelekt. Of gestolen. Is uitsluiten van een datalek mogelijk?

Hoe veilig zijn je privé gegevens nog in deze digitale wereld? Wat kun je doen om te voorkomen dat je privé gegevens gestolen of gelekt worden? Hoe gevaarlijk is al dat lekken van data en stelen van je gegevens door criminelen? En, wat zijn de gevolgen van een datalek voor je bedrijf en hoe voorkom je dat?

Voorbeelden recente datalekken

Bouwbedrijf mailt per ongeluk adressen en inkomens van woningzoekers rond
https://www.nu.nl/tech/6127712/bouwbedrijf-mailt-per-ongeluk-adressen-en-inkomens-van-woningzoekers-rond.html

Datalek bij telemarketingbedrijf Global Marketing Bridge
https://radar.avrotros.nl/uitzendingen/gemist/item/datalek-bij-telemarketingbedrijf-global-marketing-bridge-zegt-iets-over-bedrijfscultuur-radar-checkt/

Groot datalek bij autobedrijven
https://radar.avrotros.nl/nieuws/item/groot-datalek-bij-autobedrijven-criminelen-maken-miljoenen-gegevens-buit/

Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen
https://www.volkskrant.nl/nieuws-achtergrond/datalek-bij-ggd-gegevens-van-miljoenen-nederlanders-in-criminele-handen~b7f17bea/

Meer artikelen over recente datalekken bij TROS Radar
https://radar.avrotros.nl/zoeken/#/&sort=datetime:desc&page=1&layout=list&q=datalek

Hoe gevaarlijk is het lekken van data?

Wanneer data ‘gelekt’ of gestolen wordt gaan deze gegevens meestal vrij snel zwerven in het criminele circuit. Dit betekent dat mensen met onzuivere bedoelingen gegevens gestolen bij bijvoorbeeld een webwinkel, zoals een gebruikersnaam met wachtwoord, gaan gebruiken om bijvoorbeeld op uw naam bestellingen uit te voeren. Aangezien er dan vaak een ander afleveradres opgegeven wordt (in de praktijk iets wat bij bol.com e.a. bijvoorbeeld vaak voorkomt) zijn de facturen die hier uit voortkomen niet rechtsgeldig.

Het is aan de webwinkel of leverancier om te bewijzen dat u het ook daadwerkelijk hebt besteld. Het geeft echter wel een hoop narigheid voor zowel de verzender van de goederen als de persoon die als “besteller” staat vermeld!

Het wordt erger wanneer er ook identificerende gegevens zoals een ID-kaart, BSN-nummer zichtbaar, of andere gegevens worden gestolen of gelekt waarmee mensen identiteitsfraude kunnen gaan plegen. Dit kan enorme consqeunties hebben.

Het lek bij de GGD bijvoorbeeld, waar ook BSN en adresgegevens zijn buitgemaakt, is ernstiger. Hoewel het een en ander gedownplayed wordt is het zeker niet ondenkbaar dat met een valse ID-kaart (wie ziet of een kopie van een ID-kaart wel of niet geldig is?) met juist BSN er op fraude gepleegd kan worden. Er wordt gesteld “De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein.”. Maar dus zeker niet uigesloten! Wie dat gelooft onderschat de kennis en kunde aanwezig in het criminele circuit alsmede het wijdvertakte netwerk waar zij gebruik van kunnen maken. Immers, zo ontstond dit lek ook?

Het Juridisch loket heeft de nodige informatie over wat u kunt doen als u slachtoffer van identiteitsfraude bent geworden.

Hoe voorkom je dat gegevens gelekt of gestolen worden?

Bij heel veel webwinkels is het mogelijk een bestelling te plaatsen zónder een account aan te maken. Persoonlijk kies ik daar áltijd voor als het mogelijk is. Zorg ook, en ik ben niet de eerste die dat zegt, dat je gebruik maakt van verschillende wachtwoorden voor elke website waar je een account aanmaakt. Dat vinden veel mensen lastig want “ik kan al die wachtwoorden niet onthouden”. Dat moet je dan ook niet doen, daar zijn hulpmiddelen voor zie: https://veiliginternetten.nl/themes/situatie/ik-kan-mijn-wachtwoord-niet-onthouden/

  • Gebruik, wanneer mogelijk, 2FA of tweestapsverificatie. Zie: Leer (van de hack) van Fred van Leer.
  • Gebruik alleen websites die veilig zijn. Die herken je aan het ‘slotje’ op een site. Dat zegt echter niet alles. Het slotje laat zien dat data tussen je computer en de website veilig over en weer gaan. Maar dat zegt niets over de persoon of organisatie achter de site.

Ik heb in het verleden meegemaakt dat een bedrijf alles keurig op orde had: SSL-certificaat, alle protocollen op orde, email beveiligd. Maar één dingetje waren ze vergeten: alle gebruikersnamen en wachtwoorden stonden open en bloot, in leesbaar format, in een tekstbestandje op de webserver. Gewoon leesbaar en te benaderen als je via Google er op zocht.. Ook al doe je zelf alles helemaal veilig, dan nog ben je afhankelijk van derden: de personen of bedrijven die je gegevens beheren. Verzeker je er zo goed mogelijk van dat zij dit veilig doen en controleer bijvoorbeeld hun privacy protocol.

Wat te doen als je bedrijf getroffen wordt door een datalek?

Helemaal uitsluiten van een datalek is onmogelijk, de blunder van de medewerker van bouwbedrijf Heijmans maakt dat maar weer eens duidelijk. Een menselijke fout kan altijd gebeuren! Voor een bedrijf is het echter een verschrikking: in het nieuws komen met een groot datalek. Maar hoe ga je daar mee om?

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgenAls eerste dient er direct een melding te worden gemaakt bij de AP (Autoriteit Persoonsgegevens) en dienen alle betrokkenen geïnformeerd te worden. Dit laatste wordt vaak verzuimd.

AlleKabels laat bijvoorbeeld op 16 april jl. in een email aan haar klanten weten:

“Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen [..] Alleen de wachtwoorden van klanten die zich voor 1 september 2018 geregistreerd hebben, kunnen worden gekraakt. Voor u is het belangrijk te weten dat dit ook om uw gegevens gaat. [..] Om de belangen van u als klant maximaal te beschermen heeft Allekabels besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat geldt dus ook voor uw wachtwoord.”

Pas nádat de pers melding doet over het datalek neemt het bedrijf, acht maanden(!) later, actie richting de cliënten en downplayed de gevolgen ook nog eens door te melden dat het om “een minderheid” van de klanten gaat (waar wij één van waren). Ze maken hier mijns inziens twee fouten:

  • Het wissen van de wachtwoorden van de klanten heeft alléén gevolgen voor het inloggen op het systeem van het bedrijf zelf. De klant is hier absoluut niet mee geholpen;
  • Doordat de email een algemene mail is, weet de klant niet om welk email adres het gaat dat mogelijk misbruikt is (onvolledige informatie). Zeker wanneer klanten vaak dezelfde email/wachtwoord combinatie gebruiken is het mogelijk dat er ook bij andere webshops ingebroken kan worden met deze gegevens. Dit is een relevant, maar ontbrekend, gegeven voor de klant!

Ik schrijf hier niet over om AlleKabels in discrediet te brengen maar omdat zij het zelf zo melden in een algemene mail aan hun klanten.

Een bedrijf dient goed en volledig te informeren. De AP is hier helder over: “Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.”

De eerste reactie van de veroorzaker(s) van een datalek is vaak: “hush-hush, niet over praten, snel onder het vloerkleed”. Dat is een absoluut verkeerde insteek. Het ‘toverwoord’ is: informeren. Open, eerlijk en zo snel mogelijk! Informeer de AP, de betrokkenen. Ook als het niet verplicht is betrokkenen te informeren.

Voor ondernemers heeft de KvK een informatieve pagina over de AVG en datalekken.

Hoe is onze beveiliging geregeld?

Zoals gezegd: voorkomen van een datalek is nagenoeg onmogelijk. Net als inbraak op een systeem. Criminelen moet je absoluut niet onderschatten. Niemand kan 100% garanderen dat een systeem veilig is.

  • Om diefstal van gegegevens te voorkomen, slaan wij de inloggegevens van klanten niet op in een database. Ook niet off-line;
  • we maken gebruik van een SSL verbinding met de website
  • inlogverificatie op servers, toegang via beveiligde verbinding (SSL). 2FA is beschikbaar voor klanten
  •  geen ‘root’ toegang via internet op onze shared hosting servers
  • geen ssh-toegang voor cliënten en derden
  • Firewall op alle servers
  • Gebruik van Malware- en Virusscanners.

Tot slot testen en controleren we regelmatig onze servers en gebruiken zelf 2FA verificatie. Zie voor meer informatie ons Privacy Protocol.

stop verzenden spam emailá

Websites afgesloten wegens formulierspam

Spammers worden steeds ‘inventiever’ als het gaat om het verzenden van spam. Eén van de gebruikte methoden om te spammen is formulier-spam. Deze vorm van misbruik is eenvoudig te voorkomen. Als eigenaar van een website bent u hier zelf verantwoordelijk voor.

stop verzenden spam emailáWij hebben deze week een aantal websites off-line moeten zetten (toegang blokkeren) wegens deze methode van spam. Als eigenaar van de website bent u verantwoordelijk voor het tegengaan hiervan.

Misbruik websites door spam via formulieren op websites
Om te zorgen dat de server waar een website op staat waar dit gebeurt niet als ‘spamserver’ wordt gemarkeerd worden deze sites dan ook direct geblokkeerd. Andere cliënten worden namelijk door uw onbeveiligde website mogelijkerwijs ernstig gedupeerd. De instructie is hier te vinden.

De eigenaars van de betreffende websites zijn uiteraard op de hoogte gesteld zodat zij het probleem kunnen oplossen. In een aantal gevallen hebben wij het probleem voor de cliënten opgelost. Echter, u bent zelf, als cliënt in de eerste plaats verantwoordelijk voor een goed opgezette website.

Wat is formulier-spam?
Wat men doet is simpelweg een contactformulier invullen met als afzender een email adres dat men wil spammen. Zodat de “bevestigingsmail” (de kopie die vaak wordt verzonden na invullen van een formulier) als spam (van een legitieme afzender, namelijk jouw site) wordt verzonden.

De spam gaat dan twéé kanten op: als eigenaar van de website ontvang je de spam én de persoon waarvan het email adres misbruikt wordt ontvangt de spam. Dat is natuurlijk iets wat je moet en kúnt voorkomen.

Google’s reCaptcha is hiervoor een prima methode. Als je in WordPress een Contact7 formulier gebruikt is het installeren hiervan een klusje van een paar minuten. De volledige instructie is hier te vinden. Een andere oplossing is het nog eenvoudiger Contact Form 7 Image Captcha.

Windows logo (pixabay free stock)

Ernstige kwetsbaarheden Microsoft Exchange Server

Windows logo (pixabay free stock)Er zijn ernstige kwetsbaarheden in Microsoft Exchange Server welke er toe leiden dat er misbruik gemaakt kan worden van uw exchange-omgeving. Dit kan er toe leiden, wanneer u hier gebruik van maakt via onze DNS, dat wij er toe genoodzaakt zijn om in opdracht van SIDN uw verwijzing naar uw Exchange-server in onze DNS te verwijderen.

De kwetsbaarheden hebben dus géén raakvlak met onze dienstverlening. Microsoft heef afgelopen vrijdag alarm geslagen over de exploits van exchange servers.

“Microsoft waarschuwde vrijdag voor actieve aanvallen waarbij gebruik wordt gemaakt van niet-gepatchte Exchange Servers, uitgevoerd door meerdere actoren, aangenomen wordt dat de hackcampagne tienduizenden bedrijven en overheidsinstanties in de VS, Azië en Europa heeft geïnfecteerd.” (TheHackerNews)

Een combinatie van enkele kwetsbaarheden stellen een kwaadwillende op afstand in staat willekeurige code uit te voeren onder SYSTEM-rechten. Microsoft geeft aan dat de kwetsbaarheden met kenmerk CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065 actief worden misbruikt door een statelijke actor.

Microsoft geeft aan dat voor de kwetsbaarheden met kenmerk CVE-2021-26412, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27078 Proof-of-Concept code beschikbaar is.

(met dank aan CJ2 en NCSC)

DDoS Cloudflare

DDoS aanval op BrinkmanIT

Door een DDoS aanval op onze website Brinkman.IT was er afgelopen nacht sprake van enige onbereikbaarheid. De meeste aanvallen werden ‘opgevangen’ door CloudFlare waardoor de website en een aantal andere sites die op deze server zijn gehost normaal bereikbaar zijn gebleven. De aanval kwam opmerkelijk genoeg voor 99% uit Nederland.

DDoS Cloudflare

Omdat onze eigen website, alsmede een aantal projecten, diensten en testwebsites van ons zelf, gehost worden op een aparte server is er geen hinder geweest voor onze cliënten. We vermoeden dat de aanval te maken heeft met een bot die via Twitter op bepaalde trefwoorden zoekt en zo een DDoS volautomatisch aftrapt. De diverse IP’s die hierbij betrokken waren zijn geblokkeerd.

Door vanaf verschillende locaties, vanaf verschillende (VPS) diensten en servers onze website specifieke opdrachten te sturen probeerde men de achterliggende SQL database van de website plat te leggen. Door Cloudflare te gebruiken worden dit type aanvallen meestal zeer effectief afgehandeld. CloudFlare is een wereldwijde dienst die er voor zorgt dat je website beter bestand is tegen dit soort aanvallen en ook sneller werkt (middels caching van data). Kijk voor meer informatie op https://www.cloudflare.com/

 

 

Leer (van de hack) van Fred van Leer

Wat kun je leren van de gelekte seksvideo’s van Fred van Leer (en de hack van de verkiezingssite van Donald Trump)? Op basis van de informatie die inmiddels bekend is geworden kunnen een aantal leerpunten en belangrijke beveiligingsaanbevelingen worden gedaan.

Foto Film Video Mobiele telefoon mage by Gerd Altmann from Pixabay

Fred van Leer is niet de eerste bekende Nederlander die dit overkomt, en daarnaast zijn er nog talloze andere onbekende Nederlanders het slachtoffer van dit soort ellende.

1. Hou privé wat privé is

Een telefoon is geen foto- of videocamera. Dat klinkt gek immers: met een telefoon kun je filmen en foto’s maken? Maar wat ik bedoel is dit: volgens informatie die gisteren bekend werd is de video van van Leer in eerste instantie gelekt via zijn eigen instagram-account. Kennelijk bevond de gewraakte video zich dus op zijn telefoon.

De reden dat zoiets kan gebeuren is deze: wanneer iemand inbreekt op of via je Instagram, iCloud of Google account (en vele andere apps van diensten die je gebruikt op je telefoon) kan die persoon effectief toegang tot je telefoon krijgen. Immers: deze apps hebben om te functioneren toegang tot (de data van) je telefoon! Wie denkt dat ik nu echt onzin verkoop zou eens moeten kijken naar deze berichten op TheHackerNews, Checkpoint en Opgelicht van AvroTros (waarschuwing politie).

In either case, the attack could lead to a massive invasion of users’ privacy and could affect reputations — or lead to security risks that are even more serious (TheHackerNews).

Wat je dus opslaat (foto, film, data) op je telefoon is daarmee potentieel beschikbaar voor een eventuele inbreker. Die kan dat vervolgens simpelweg stelen, je er mee chanteren, de gegevens misbruiken en/of het publiceren. Er zijn ook speciale spionage-programma’s hiervoor in omloop (waar uiteraard geen link naar gemaakt wordt, want: illegaal).

Q – A hacker got into my phone and saw all my info and they found me through Instagram. Is it possible to hack into a phone if all you have is their Instagram?
A – If you have uploaded photos from your phone to your Instagram account, which most people have, then yes. (Quora)

De éérste, belangrijke, les is dan ook: hou privé wat privé is. Sla, als je dingen privé wilt houden, dit niet op op je telefoon. Foto’s, Filmpjes, maar ook andere belangrijjke data, die niet in handen mogen komen van derden horen niet op een dergelijk kwetsbaar, vaak slecht beveiligd, apparaat. En al helemaal niet “in de cloud” (waar het vaak automatisch wordt opgeslagen door Apple en Google). Weet jij waar dergelijke data over tien jaar (nog) rondzweeft?

Let wel: het is dus niet de beveiliging van het apparaat zelf wat hier het issue is maar de toegang die je verleent tot het apparaat middels te zwak beveiligde apps en eigen onvoorzichtigheid!

2. Gebruik goede beveiliging voor je Social Media

Beveilig je social media accounts daarom maximaal. Ja, dat ís soms wat hinderlijk in gebruikt. Maar wat is hinderlijker? Dat je data op straat ligt of af en toe een verificatie-code invoeren of scannen?

Voorbeeld van hoe kwetsbaar sommigen zijn: heel veel mensen gebruiken hun Facebook-login ook voor allerlei andere diensten (media, webwinkels). Achterhaalt iemand je inloggegevens van je facebook-account dan heeft zo’n persoon, daar op ingelogd, ook toegang tot allerlei andere gegevens van je – inclusief eventueel financiële gegevens.

Instagram, Facebook en vele andere diensten bieden allemaal tweestaps-verificatie. Gebruik die!

tweestapsverificatie facebook beveiliging sociale media

Het instellen van deze verificatie op Facebook is eenvoudig. Gebruik deze link: https://www.facebook.com/settings?tab=security

tweestapsverificatie instagramOok in Instagram kun je eenvoudig tweestaps-verificatie aanzetten. Er zijn meer dan voldoende handleidingen online te vinden die uitleggen hoe je dit kunt doen.

En vergeet uiteraard niet het ook in te stellen voor uw Google account (want: Playstore, Youtube, Gmail, Google Drive etc hangen allemaal achter dat éne wachtwoordje!). Google heeft onder andere hier een handleiding geplaatst.

Dit is, nogmaals, absoluut noodzakelijk om je privé data (dus niet alleen dat filmpje of die foto die je in een dolle bui een keer hebt gemaakt) te beschermen. Helaas is deze beveiliging binnen apps als Instagram en sites als Facebook nog steeds optioneel en vinden veel mensen het “teveel gedoe”. Maar nogmaals, bedenk hoeveel “gedoe” je kunt krijgen als je vertrouwelijke snapshots, videos of andere data op straat ligt?

3. Ik heb niks te verbergen?

Het aloude “ik heb niets te verbergen” gaat niet op. Mobiele apparaten, met name telefoons (die je nog nauwelijks een ‘telefoon’ kunt noemen) en alle koppelingen die daarmee gelegd kunnen worden, zijn een enorm risico. Ook als je “niets te verbergen” hebt. Denk immers maar aan je app voor bankieren, de inloggevens voor je website of online shops etc.

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Privacy voert terug naar wat ons mens maakt en gaat daardoor vooraf aan het belang dat we al dan niet aan privacy hechten. (De Correspondent)

Zeker 15% van de Nederlanders heeft wel eens te maken gehad met inbreuk op de privacy. Inbreuk op privacy is een inbreuk op je ‘eigen ik’. Denk bijvoorbeeld aan ‘sexting’ wat veel jongeren overkomt.

Fred van Leer, Patricia Paay en vele andere bekende, maar ook talloze onbekende, mensen hebben dat op een verschrikkelijke manier moeten ervaren. Laat het u niet overkomen!

wordpress gratis open source CMS

Zeer dringende ‘noodupdate’ WordPress 5.5.2

wordpress logoHet team van WordPress heeft een dringende ’emergency update’ (‘noodupdate’) uitgebracht voor WordPress versie 5.5.2. Het bijwerken van uw WordPress installatie, wanneer dit niet automatisch gedaan wordt, wordt dringend aanbevolen.

Het team van Wordfence laat weten dat WordPress met de (automatische) uitrol van WordPress versie 5.5.2. een fout heeft gemaakt.

Deze noodrelease is gedaan om een probleem op te lossen dat is geïntroduceerd in WordPress 5.5.2, waardoor het onmogelijk is om WordPress op een geheel nieuwe website te installeren zonder een geconfigureerde databaseverbinding. Bij de voorbereiding op deze noodrelease zorgde een tweede probleem ervoor dat een aantal sites ten onrechte werd bijgewerkt naar versie 5.5.3-alpha. Een alpha-versie is een ‘testversie’ die niet publiek moet worden gebruikt.

Volgens de release-notes heeft het automatische updatesysteem van WordPress tussen ongeveer 15.30 en 16.00 uur UTC op 30 oktober sommige sites bijgewerkt van versie 5.5.2 naar 5.5.3-alpha. Meer informatie op de website van Wordfence.

Wat moet U doen?

Wanneer wij uw WordPress website beheren

Wij updaten ‘op afstand’ uw website regelmatig wanneer u gebruik maakt van het ‘managed wordpress‘ pakket. Alle websites onder ons beheer welke gebruik maakten van WordPress 5.5.2. zijn door ons gepatched.

Wanneer u zelf uw WordPress website beheert

Log in op uw WordPress dashboard en controleer welke versie u in gebruik hebt. Is het een versie kleiner dan 5.5.2. dan is er in dit opzicht geen probleem. U kunt uiteraard, wanneer gewenst, uw WordPress installatie bijwerken. Vergeet niet om éérst een backup te maken uiteraard. U kunt ook uw website toevoegen in het Installatron panel.

Wanneer u installatron gebruikt

Als u gebruik maakt van Installatron dan wordt uw website, mits u dit zo hebt ingesteld, automatisch bijgewerkt. Controleer eventueel uw instellingen via DirectAdmin / Installatron. Weet u niet zeker of dit het geval is en komt u er niet helemaal uit? Stuur dan even een ticket naar ons, klik hier om een supportverzoek aan te maken.

Donald Trump Image by Gerd Altmann from Pixabay

You’re Fired! Campagnewebsite Donald Trump gehackt

Campagnewebsite Donald Trump gehackt en gegijzeld afgelopen dinsdag. Hoe kon deze hack gebeuren? Hoe had deze hack voorkomen kunnen worden?

Na de hack van het Twitter-account van President Donald Trump was het afgelopen dinsdag de beurt aan de campagnewebsite van de President Donald Trump. De website was door hackers ‘gedefaced’ en achter een ‘betaalmuur’ gezet. De hackers wilden losgeld voor het ongedaan maken van de gijzeling. Hoe kon deze hack gebeuren?

website donald trump gehackt
(screenshot gehackte website DonaldJTrump.com)

“Deze website is in beslag genomen”, kregen mensen die op de categorie events klikten korte tijd te lezen. “De wereld heeft genoeg van het nepnieuws dat dagelijks door president Donald J. Trump wordt verspreid.” (Leeuwarder Courant).

Makkelijke wachtwoorden

Het Twitter-account van Trump was inmiddels al twee keer gehackt. Beide keren bleek dat Donald Trump (te) makkelijke wachtwoorden had gebruikt. De eerste keer was zijn wachtwoord ‘yourefired’ en bij de laatste, meest recente, hack (door een Nederlandse ethische hacker uitgevoerd) bleek zijn wachtwoord (maga2020!) wederom erg eenvoudig te achterhalen.

Hack campagnewebsite

Donald Trump Image by Gerd Altmann from Pixabay
Donald Trump Image by Gerd Altmann from Pixabay

De hack van de campagnewebsite moet volgens de onderzoekers van beveiligingsplugin Wordfence ook in dat licht worden gezien.

Ondanks gebruik van een hoog aangeschreven commercieel CMS systeem waarvan bekend is dat er niet of nauwelijks kwetsbaarheden in zitten en CloudFlare als CDN werd de website gehackt. Volgens WordFence kan uit hun onderzoek er maar één reden zijn waarom de campagnewebsite is gehackt: onvoldoende beveiligd. Er kan volgens hen alleen ingebroken zijn doordat er geen 2-factor authenticatie is gebruikt.

Een website van dergelijke importantie hoort eenvoudigweg 2-factor authenticatie te gebruiken. Dit is relatief eenvoudig te regelen. Gebruik je voor je website WordPress dan kun je zelfs met de gratis versie met Wordfence via de optie “Login Security” en een app als “Google Authenticator” er voor zorgen dat je website “dubbel beveiligd” is en niemand op die relatief eenvoudige manier kan inbreken.

Beveiliging installeren

Een dergelijke hack had dus voorkomen kunnen worden. Ook uw website is relatief eenvoudig te beveiligen voor dit soort inbraak, infecties met malware en andere hacks. Wij raden dan ook aan om een dergelijke beveiliging te gebruiken bij onze hostingproducten. Hebt u een WordPress website en ondersteuning nodig voor het installeren van de beveiliging, neem dan contact op met ons.

Voor een snel herstel van een website, na een inbraak, is tevens een actuele backup noodzakelijk. Lees hier hoe je in WordPress gratis een dagelijkse backup kunt instellen. Duidelijk is dat het campagneteam van Trump dit wel goed geregeld had: de website was vrij snel weer hersteld.

 

wordpress gratis open source CMS

Cross-Site Scripting kwetsbaarheid All in One SEO Pack

Ruim 2 miljoen websites getroffen: Cross-Site Scripting kwetsbaarheid All in One SEO Pack

De plugin All in One SEO heeft een update beschikbaar gesteld doordat er een kwetsbaarheid in de software ontdekt was waarmee het mogelijk is onder bepaalde omstandigheden kwaadaardige code uit te laten voeren.

“This flaw allowed authenticated users with contributor level access or above the ability to inject malicious scripts that would be executed if a victim accessed the wp-admin panel’s ‘all posts’ page” (Wordfence).

Wij hebben de websites die gebruik maken van ons Managed WordPress pakket direct van een update voorzien. Voor wat betreft Websites die hier niet onder vallen dienen de eigenaren zelf de plugin bij te werken.

Google Chrome (pixabay)

Google Chrome verbergt deel url in adresbalk. Waarom?

Google Chrome (pixabay)Google Chrome verbergt in nieuwe beta-features (wederom) een deel van de links in de adresbalk. Waardoor je niet weet waar je op een site zit. Of zelfs niet weet of je wel op de site zit waar je heen wilde. Waarom doen ze dat en willen ze dat eigenlijk?

De Chrome-browser is nog steeds veruit de populairste browser. Dit zal ook nog wel even zo blijven, ook al weten mensen wel dat het qua privacy niet de meest verstandige keuze is.

Top 3 Browsers

Browser StatCounter
April 2020
NetMarketShare
April 2020
Wikimedia
November 2019
Chrome 62.48% 65.96% 48.7%
Safari 19.94% 17.26% 22.0%
Firefox 4.21% 3.19% 4.9%

(Bron: Wikipedia)

Verbergen URL in adresbalk

De site Android Police ontdekte dat Google wederom een deel van de url, de locatie van de website welke u bezoekt, verbergt, dat wil zeggen er is een beta-feature aanwezig welke dit kan doen. Het is niet de eerste keer dat Google experimenteert met deze opties.

Google Zoekmachine SEOVolgens de ontwikkelaars is dit omdat mensen bij een lange url niet zouden weten waar ze op moeten letten en veiligheidsrisico’s lopen op omleiding naar malafide websites. Anderen stellen echter dat Google zelf iets te verbergen heeft en wil voorkomen dat mensen zien dat ze terecht zijn gekomen bij content gehost door Google. Met, uiteraard, alle privacy- en eventuele veiligheids-consequenties van dien.

Het is belangrijk dat je altijd kunt zien waar je je bevindt op het internet. De URL van een site moet je in één oogopslag kunnen inspecteren. Google begon een paar jaar geleden al met het verbergen van de “www”-aanduiding en ook het “http”-voorvoegsel. Het is belangrijk dat gebruikers letten op de URL van een site. Door dit steeds meer te verbergen verdwijnt de kritische gebruikershouding omdat gebruikers er op gaan vertrouwen “dat het wel klopt” wat Google doet. Totdat het uiteraard een keer goed mis gaat.

Veilig op internet

Eén van de éérste controlepunten die wordt genoemd als we het hebben over veilig bankieren is immers: de adresbalk:

Controleer toch altijd voordat u daadwerkelijk uw gegevens intoetst of u op de echte beveiligde website van uw bank zit. Tover het volledige webadres tevoorschijn en let op “https://”, het hangslotje in of naast de adresbalk en de rest van het webadres.

Het moet niet nodig zijn, ons inziens, dat een gebruiker zélf deze stappen moet gaan nemen, laat staan dat die stappen alleen maar méér moeite gaan kosten. Internet moet transparant blijven want dat is veiliger!

gemankeerde adresbalk google chrome

(de adresbalk mist tegenwoordig http(s) en www in Chrome)

De reden die Google-ontwikkelaars aanvoeren voor het maskeren van het adres van een website is ons inziens daarom niet houdbaar. Ook technische ondersteuning voor gebruikers wordt lastiger wanneer Google Chrome gebruikers het adres van een pagina niet meer kunnen zien. Want, wat wordt het antwoord op de vraag: “Met welke pagina hebt u dan een probleem, waar ziet u de foutmelding?” als mensen een gemankeerd webadres zien of helemáál geen webadres meer?

Veilige browsers

Naast FireFox, een veiliger browser, zijn er ook andere, alternatieve, browsers. Het marktaandeel er van is zeer klein en daarnaast constateren sommigen ook daar regelmatig dubieuze zaken. Zo betrapte men recent de Brave-browser die is gebaseerd op dezelfde broncode als Chrome, namelijk de (Open Source) Chromium-browser, op het oneigenlijk “aanpassen” van de adresbalk. Mensen werden er door omgeleid waardoor ze via een zogenaamde “affiliate-link” op de doelsite terecht kwamen. Waardoor de makers van Brave geld verdienden aan deze bezoeken.

Google is your friend

Het is een gevleugelde kreet als je iets wilt weten: “Google is your friend”. Maar helaas niet altijd. Google is een héél groot bedrijf met enorme commerciële belangen. Die zeker niet altijd het beste met de gebruikers maar vooral met zichzelf voor heeft. Want uiteindelijk hebben zij één hoofddoel: een onderneming runnen, geld verdienen. Véél geld. Dat dit ten koste gaat van onze privacy mag ondertussen geen geheim meer worden genoemd.

De meest veilige browsers, met het meeste respect voor uw privacy, zijn Firefox en Opera. Beide zijn “oudgedienden” en hebben een reputatie hoog te houden. De nieuwe, experimentele, browsers als eerdergenoemde Brave zijn vooralsnog geen alternatief. Vooral omdat zij zoekende zijn naar ‘verdienmodellen’. En dat leidt er helaas toe dat ze soms dingen doen die echt niet door de beugel kunnen!

Wijziging geldigheidsduur SSL Certificaten

De levensduur (=geldigheid) van commerciële SSL certificaten is maximaal 2 jaar. Dit wordt gewijzigd; de duur wordt ingekort tot maximaal één jaar. De gratis ssl-certificaten van Let’s Encrypt, geldig voor een periode van 90 dagen, worden automatisch vernieuwd en niet gewijzigd.

De “commerciële” certificaten, dat zijn certificaten met een hogere dekking en veiligheidsgraad dan de gratis SSL’s van Let’s Encrypt, worden niet automatisch verlengd en ook handmatig door ons, of door cliënten zelf, geïnstalleerd. Van één van onze leveranciers kregen wij het volgende bericht over de SSL-certificaten:

Per 1 september 2020 wordt de levensduur van SSL-certificaten wereldwijd ingekort naar maximaal 398 dagen. U kunt vanaf deze datum enkel nog 1 jarige SSL-certificaten bestellen. [..] SSL-certificaat aanvragen tot 1 september 2020 kunnen nog voor 2 jaar worden uitgegeven.

Bestaande en vóór 1 september aangevraagde certificaten die een levensduur van 2 jaar hebben worden dus niet ingetrokken maar kunnen na verval niet weer voor een periode van twee jaar worden verlengd.