Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

14/01/2022

Versleutelde maildienst ProtonMail was slachtoffer van DKIM replay-aanval

Read the original article here
Cyber Defense

Versleutelde e-maildienst ProtonMail was vorige maand slachtoffer van een DKIM replay-aanval die er uiteindelijk voor zorgde dat legitieme e-mail van gebruikers door Gmail voor spam werd aangezien. Volgens ProtonMail was het slachtoffer van een DKIM replay-aanval waarbij er misbruik werd gemaakt van een kwetsbaarheid in het anti-spamsysteem van Gmail.

Bij de replay-aanval van december werd één enkel spambericht verstuurd via ProtonMail opnieuw verstuurd naar Gmail-gebruikers om zo de reputatie van ProtonMail te misbruiken en Googles anti-spammaatregelen te omzeilen. Op een gegeven moment was 98 procent van de e-mails die Gmail ontving en claimden van ProtonMail afkomstig te zijn in werkelijkheid spam. "Dit hield in dat de spammers een hoeveelheid e-mail verstuurden die gelijkstond aan vijftig keer het normale uitgaande verkeer naar Google", aldus Bart Butler van ProtonMail.

Met DKIM kan de domeinnaamhouder aangeven met welke sleutel e-mailberichten moeten zijn gesigneerd. Verzendende mailservers ondertekenen alle uitgaande e-mail namens deze domeinnaam met deze sleutel. Ontvangende mailservers kunnen met behulp van de publieke sleutel in het DKIM-record controleren of de e-mail door een geautoriseerde partij is verzonden.

"Maar het DKIM-domein in de digitale handtekening kan verschillen van de degene in de From-header in het bericht zelf. Wanneer de DKIM-handtekening is geverifieerd, bevestigt dit alleen dat het bericht via de mailserver is gegaan van het signerende domein en sindsdien niet is aangepast, niet dat het bericht afkomstig is van waar het beweert vandaan te komen", zegt Butler.

Om te controleren dat het domein in de From-header het bericht verstuurde wordt DMARC (Domain-based Message Authentication, Reporting & Conformance) gebruikt. Om aan de DMARC-controle te voldoen is er het Sender Policy Framework (SPF) of DKIM. Dat de DKIM replay-aanval werkte en Gmail de opnieuw verstuurde spamberichten als "geauthenticeerd" beschouwde kwam door het feit dat DMARC een check van DKIM of SPF vereist, niet van beide, gaat Butler verder.

"Het opnieuw verstuurde bericht had een geldige DKIM-handtekening van protonmail.com, wat inhield dat het aan DMARC voldeed. Dit bericht werd genoeg keren opnieuw verstuurd dat het de domeinreputatie van protonmail.com binnen Gmail beïnvloedde, en uiteindelijk laag genoeg werd dat het de bezorging van legitieme mail raakte."

Hierop besloot ProtonMail de DKIM-keys te roteren om zo te voorkomen dat de spamberichten door de DKIM-controle kwamen. Tevens werd Google gewaarschuwd dat een oplossing aan het spamfilter van Gmail toevoegde, waardoor legitieme e-mails weer aankwamen. Afsluitend geeft Butler verschillende adviezen, zoals het instellen van SPF, DKIM en DMARC en het regelmatig roteren van DKIM-keys.

Neem contact op om te zien hoe u uw omgeving kunt beveiligen tegen dergelijke aanvallen

Contact
14/01/2022

Game Mania waarschuwt klanten na ransomware-aanval voor datalek

Read the original article here
Cyber Defense

Gamewinkelketen Game Mania heeft klanten gewaarschuwd voor een datalek nadat het bedrijf afgelopen maandag slachtoffer van een ransomware-aanval werd. Daarbij kregen de aanvallers toegang tot een server met klantgegevens, waaronder naam, adres, e-mailadres en telefoonnummer. Wachtwoorden en betaalgegevens zijn niet bij de aanval gecompromitteerd.

Na de aanval werden alle getroffen systemen offline gehaald. "De cyberveiligheid van onze klanten en hun data is voor ons een topprioriteit. We werken er dan ook hard aan om de situatie zo snel mogelijk te herstellen", aldus de winkelketen. Die zegt dat een externe veiligheidsexpert de situatie onderzoek, alsmede de infrastructuur en bestaande veiligheidsprocedures van Game Mania.

"Eens de situatie hersteld, zullen we de aanbevelingen van onze partner implementeren en gepaste maatregelen nemen om de cyberveiligheid van Game Mania verder te optimaliseren", staat in een verklaring van het bedrijf. Het datalek is inmiddels bij de Autoriteit Persoonsgegevens en de Belgische Gegevensbeschermingsautoriteit gemeld.

Neem contact met ons op voor advies hoe u zelf uw omgevingen kunt valideren en beveiligen

Contact
10/01/2022

FlexBooker lekt privégegevens van ruim 3,7 miljoen gebruikers

Read the original article here
Cyber Defense

FlexBooker, een online oplossing voor het beheer van afspraken, heeft de privégegevens van ruim 3,7 miljoen gebruikers gelekt, die nu op internet worden aangeboden. Via FlexBooker kunnen bedrijven en organisaties afspraken met klanten, gebruikers en medewerkers inplannen.

Vorige maand kreeg de website met een datalek te maken waarbij data van meer dan 3,75 miljoen gebruikers werd buitgemaakt. Het gaat onder andere om e-mailadressen, namen, telefoonnummers en voor een klein aantal accounts ook wachtwoordhashes en gedeeltelijke creditcarddata. De gegevens konden door een gecompromitteerd AWS-account worden gestolen en worden nu op internet verhandeld.

De gestolen e-mailadressen zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de meer dan 3,75 miljoen toegevoegde e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend.

Zelf in de gaten houden of de gegevens van u of uw klanten te koop worden aangeboden? Vraag ons naar onze ASM oplossingen!

Neem contact met ons op
Load more