Hema haalt usb-sticks vol beveiligingsgaten uit de handel
Hema heeft een reeks usb-sticks uit de handel gehaald die ernstige beveiligingslekken blijken te bevatten. De usb-sticks installeerden automatisch software die verouderd was en kwetsbaarheden bevatten. Ook bleek de meegeleverde cloudopslag dusdanig slecht beveiligd dat opgeslagen data door onbevoegden kon worden gedownload.
Het gaat om de usb+-sticks van Hema, die geleverd zijn met 8GB of 16GB opslaggeheugen. De usb-sticks boden gebruikers toegang tot gratis cloudopslag. Zowel de usb-sticks als de software voor de cloudopslag zijn ontwikkeld door een externe partij. Hackers van de hackersspace Revspace uit Den Haag ontdekten allerlei kwetsbaarheden in de usb-sticks.
Persoonlijke gegevens
De volgende informatie kon door de kwetsbaarheden uitlekken:
- E-mailadres
- Naam, adres, telefoonnummer (indien ingevuld)
- Wachtwoord
- Bestandsnamen
- De bestanden zelf
De data blijkt op allerlei manieren te kunnen lekken. Zo blijkt de cloudopslag, waarvoor Amazon S3 wordt gebruikt, slecht beveiligd te zijn. Door een configuratiefout kon het beheerderswachtwoord van Amazon S3 bucket eenvoudig worden achterhaald. Met dit wachtwoord kon vervolgens toegang worden verkregen tot de volledige bucket en het beheerdersaccount van de server, waarna de opslagen data van alle klanten toegankelijk was.
Registratiegegevens versturen via domein van Apple
Ook opvallend is de wijze waarop registratiegegevens werden verwerkt. Deze werden vanaf het adres info@appstore.com doorgestuurd naar een Gmail-adres. Het domein appstore.com is echter in handen van Apple, waar de ontwikkelaars van de usb-sticks geen banden mee lijken te hebben. Indien er bij het verzenden van de data iets fout gaat wordt deze foutmelding vermoedelijk doorgestuurd naar de mailbox van Apple, die hierdoor de registratiegegevens kreeg toegespeeld.
“Je bestanden verwijderen uit het "online geheugen" is mogelijk, maar je moet dat via de Windows-tool doen. Als je de bestanden verwijdert via de website, worden ze NIET daadwerkelijk verwijderd, ze blijven namelijk voor iedereen toegankelijk downloadbaar”, schrijven de hackers op Revspace. “Zelfs als het lukt om je bestanden te verwijderen, dan nog is dit jarenlang lek geweest. Misschien zijn wij de eerste die dit lek hebben ontdekt, maar het is goed mogelijk dat kwaadwillenden ons voor waren. Ze hebben niet opgemerkt dat wij toegang hebben gehad tot hun broncode, database en bestandsopslag, dus eventueel misbruik zullen ze ook niet hebben doorgehad.”
‘Je gegevens liggen op straat’
“Ga ervan uit dat al je gegevens op straat liggen, en neem maatregelen om erger te voorkomen. Heb je persoonlijke informatie online gezet via dit systeem? Zet je schrap en bereid je voor op de gevolgen van identiteitsfraude.”
Meer over
Lees ook
NetWitness ondersteunt AWS AppFabric om SaaS-applicaties te beveiligen
NetWitness, leverancier van detectie-, onderzoeks- en responstechnologie voor bedreigingen en incidentresponsdiensten, is geïntegreerd met AWS AppFabric. Die nieuwe service van Amazon Web Services (AWS) zorgty er voor dat software as a service (SaaS)-applicaties snel kunnen worden gekoppeld voor een betere productiviteit en beveiliging.
De evolutie van cybersecurity van de afgelopen 20 jaar
De cloud zoals wij die nu kennen, bestond twintig jaar geleden nog niet. Ook waren er geen Internet of Things (IoT)-sensoren en zelfs niemand wist wat Gmail was. De cyberdreigingen en tactieken van cybercriminelen ontwikkelden zich de afgelopen twee decennia sterk. Maar dat geldt ook voor de oplossingen.
Commvault introduceert Commvault Cloud
Commvault, aanbieder van oplossingen die databescherming en cyberweerbaarheid naar hybride clouds brengen, introduceert vandaag Commvault Cloud, powered by Metallic AI. Met dit unieke platform kunnen IT- en security-teams de cyberweerbaarheid van hun organisatie ingrijpend verbeteren in een tijd waarin hacks en ransomware-aanvallen aan de orde van1