grappig – maar waar: de lopende grap bij TechCrunch is dat de beveiligingsdesk net zo goed de afdeling Slecht Nieuws zou kunnen heten, want heb je gezien wat we de laatste tijd hebben besproken? Er is een eindeloos aanbod van verwoestende inbreuken, alomtegenwoordige surveillance en sluwe startups die ronduit gevaarlijk geselen.
Soms, hoewel zelden, zijn er sprankjes hoop die we willen delen. Niet in de laatste plaats omdat het juiste doen, zelfs (en vooral) in tijden van tegenslag, de cyberwereld een beetje veiliger maakt.
Bangladesh heeft een veiligheidsonderzoeker bedankt voor het ontdekken van het lek van burgergegevens
Toen een veiligheidsonderzoeker ontdekte dat een Bengaalse overheidswebsite de persoonlijke gegevens van zijn burgers lekte, was het duidelijk dat er iets mis was. Viktor Markopoulos ontdekte de blootgestelde gegevens dankzij een onbedoeld in de cache opgeslagen Google-zoekresultaat, dat de namen, adressen, telefoonnummers en nationale identificatienummers van de getroffen website onthulde. TechCrunch bevestigde dat een Bengaalse overheidswebsite de gegevens lekte, maar pogingen om het ministerie te waarschuwen stuitten aanvankelijk op stilte. De gegevens waren zo gevoelig dat TechCrunch niet kon zeggen welke overheidsafdeling de gegevens vrijgaf, omdat dit de gegevens verder bloot zou kunnen leggen.
Op dat moment nam het Emergency Response Team van de staat, ook bekend als CIRT, contact op en bevestigde dat de lekkende database was gerepareerd. De gegevens kwamen van niemand minder dan het registratiekantoor van geboorten, sterfgevallen en huwelijken in het land. Het CIRT bevestigde in een openbare kennisgeving dat het het datalek had opgelost en “geen middel onbeproefd” liet om te begrijpen hoe het lek ontstond. Regeringen gaan zelden goed om met hun schandalen, maar de e-mail van de regering aan een onderzoeker waarin ze wordt bedankt voor het ontdekken en rapporteren van de bug, toont aan dat de regering bereid is zich in te zetten op het gebied van cyberbeveiliging, waar veel andere landen dat niet doen.
Apple werpt de gootsteen op zijn spywareprobleem
Het is meer dan tien jaar geleden dat Apple zijn inmiddels beruchte bewering liet vallen dat Macs geen pc-virussen krijgen (wat, hoewel technisch waar, het bedrijf al jaren achtervolgt). De meest urgente bedreiging voor Apple-apparaten is tegenwoordig commerciële spyware, ontwikkeld door particuliere bedrijven en verkocht aan overheden, die de beveiligingssystemen van onze telefoons kan doorbreken en onze gegevens kan stelen. Er is moed voor nodig om een probleem toe te geven, maar Apple heeft precies dat gedaan door Rapid Security Response-oplossingen uit te rollen om beveiligingsfouten op te lossen die actief worden uitgebuit door spywareleveranciers.
Apple heeft eerder dit jaar zijn eerste nood-hotfix uitgebracht voor iPhone, iPad en Mac. Het idee was om cruciale patches te introduceren die konden worden geïnstalleerd zonder dat het apparaat opnieuw moest worden opgestart (waarschijnlijk een pijnpunt voor beveiligingsmensen). Apple heeft ook een instelling genaamd Lockdown Mode, die bepaalde apparaatfuncties op een Apple-apparaat beperkt die vaak het doelwit zijn van spyware. Apple zegt dat het niet weet dat iemand de Lockdown-modus gebruikt en vervolgens wordt gehackt. Beveiligingsonderzoekers zeggen zelfs dat de Lockdown-modus actieve gerichte hacks actief heeft geblokkeerd.
De Taiwanese regering deed dat niet knipperen voordat u ingrijpt na een bedrijfsdatalek
Toen een beveiligingsonderzoeker TechCrunch vertelde dat een dienst voor het delen van ritten genaamd iRent – beheerd door de Taiwanese autogigant Hotai Motors – realtime gebruikersgegevens naar internet streamde, leek dit een eenvoudige oplossing. Maar na een week lang het bedrijf te hebben gemaild om de aanhoudende datalekken aan te pakken – waaronder klantnamen, mobiele telefoonnummers en e-mailadressen, evenals scans van gebruikerslicenties – heeft TechCrunch nooit meer iets gehoord. Pas toen we contact opnamen met de Taiwanese regering voor hulp bij het blootleggen van het incident, kregen we antwoord onmiddellijk.
Binnen een uur nadat hij contact had opgenomen met de regering, vertelde de Taiwanese minister van Digitale Zaken, Audrey Tang, via e-mail aan TechCrunch dat de blootgestelde database was gemarkeerd door het Taiwanese noodhulpteam, TWCERT, en offline was gehaald. De snelheid waarmee de Taiwanese regering reageerde was verbazingwekkend snel, maar dat was niet het einde. Taiwan heeft Hotai Motors vervolgens een boete opgelegd omdat het de gegevens van meer dan 400.000 klanten niet had beschermd en het bedrijf bevolen zijn cyberbeveiliging te verbeteren. Naderhand zei vice-premier Cheng Wen-tsan van Taiwan dat de boete van ongeveer $6.600 “te mild” was en stelde hij voor de wet te wijzigen om de boetes voor datalekken te vertienvoudigen.
Uitgelekte Amerikaanse gerechtsverslagen hebben voor de juiste soort alarm gezorgd
De kern van elk rechtssysteem wordt gevormd door het gerechtelijk archiefsysteem, een technologiepakket dat wordt gebruikt voor het archiveren en opslaan van gevoelige juridische documenten voor rechtszaken. Deze systemen zijn vaak online en doorzoekbaar, terwijl de toegang tot bestanden wordt beperkt die anders het lopende proces in gevaar zouden kunnen brengen. Maar toen beveiligingsonderzoeker Jason Parker verschillende systemen voor gerechtsdossiers ontdekte met ongelooflijk eenvoudige bugs die alleen via een webbrowser konden worden uitgebuit, wist Parker dat ze die bugs moesten laten repareren.
Parker ontdekte en onthulde acht beveiligingsfouten in gerechtsregistratiesystemen die in vijf Amerikaanse staten worden gebruikt – en dat was nog maar hun eerste ontdekking in de serie. Sommige tekortkomingen zijn gecorrigeerd en andere staan nog open, en de reacties van de landen waren verschillend. Lee County, Florida heeft een fel (en zelfingenomen) standpunt ingenomen door een beveiligingsonderzoeker te bedreigen met de anti-hackwetten van Florida. Maar de onthullingen zorgden ook voor het juiste soort alarm. Verschillende overheids-CISO’s en functionarissen die verantwoordelijk zijn voor gerechtsregistratiesystemen in de VS zagen de openbaarmaking als een kans om hun eigen gerechtsregistratiesystemen te controleren op kwetsbaarheden. Govtech is kapot (en wordt jammerlijk onderbediend), maar onderzoekers als Parker die tekortkomingen in verplichte patches vinden en blootleggen, maken het internet veiliger – en het rechtssysteem eerlijker – voor iedereen.
Google heeft geofencing-accounts gedood, ook al was het beter laat dan nooit
De advertentiegestuurde hebzucht en gestage groei van Google vormden de weg vrij voor geofencing-bestellingen. Met deze zogenaamde ‘omgekeerde’ huiszoekingsbevelen kunnen wetshandhavings- en overheidsinstanties in de enorme schat aan gebruikerslocatiegegevens van Google duiken om te zien of er iemand in de buurt was op het moment dat een misdrijf werd gepleegd. Maar de grondwettigheid (en nauwkeurigheid) van deze omgekeerde bevelen zijn in twijfel getrokken, en critici hebben Google opgeroepen een einde te maken aan de surveillancepraktijk die het grotendeels heeft gecreëerd. En dan, vlak voor de feestdagen, een privacygeschenk: Google zei dat het locatiegegevens zou gaan opslaan op de apparaten van gebruikers in plaats van centraal, waardoor de politie feitelijk de mogelijkheid zou elimineren om realtime locatiegegevens van haar servers te verkrijgen.
De zet van Google is geen wondermiddel en maakt de jarenlange schade niet ongedaan (of verhindert niet dat de politie de historische gegevens die Google heeft opgeslagen) kan plunderen. Maar het zou andere bedrijven die ook onderworpen zijn aan dit soort bevelen tot omgekeerde huiszoeking – hallo Microsoft, Snap, Uber en Yahoo (het moederbedrijf van TechCrunch) – ertoe kunnen aanzetten dit voorbeeld te volgen en te stoppen met het opslaan van gevoelige gebruikersgegevens op een manier die deze toegankelijk maakt. verzoeken aan de overheid.