123456 en password zijn nog altijd de meestgebruikte wachtwoorden, zo blijkt uit het jaarlijkse onderzoek van SplashData, aanbieder van een wachtwoordmanager. Voor het onderzoek (pdf) werden 5 miljoen wachtwoorden van met name Amerikaanse en Europese internetgebruikers geanalyseerd.
Op ruim 5.000 gehackte WordPress-sites hebben onderzoekers een keylogger gevonden die alle invoer op de website naar de aanvallers doorstuurt. Het kan dan gaan om inloggegevens of betaalinformatie, zo waarschuwt securitybedrijf Sucuri.
Onderzoekers van het bedrijf vonden op 5482 gehackte WordPress-sites een keylogger-script dat door de aanvallers was toegevoegd. Alle invoer op invoervelden wordt zo, wanneer de gebruiker het invoerveld verlaat, naar de aanvallers doorgestuurd. In het geval het om een WordPress-site met e-commercefunctionaliteit gaat kunnen zo betaalgegevens worden gestolen, maar ook inloggegevens van gebruikers en beheerders zijn niet veilig.
Rafael Scheel, een beveiligingsadviseur, heeft geconstateerd dat het hacken van slimme tv's niets meer kost dan de aanschaf van een goedkope DVB-T-zender. De zender moet binnen bereik zijn van de doel-tv. De hack werkt door het exploiteren van hybride uitzending breedband tv-signalen en algemeen bekende bugs in webbrowsers.
Scheel was in opdracht van het beveiligingsbedrijf Oneconsult, om een exploit te maken die eenmaal ingezet, volledige root privileges krijgt. Na installatie van SSH op de tv is er volledige controle over het apparaat van overal ter wereld. Eenmaal uitgebuit beïnvloed dit niet de herstart van het apparaat of zelf het herstellen naar de fabrieksinstellingen!
Webtrackers van derde partijen waar webwinkels gebruik van maken kunnen genoeg informatie verzamelen om gebruikers van bitcoin en andere cryptocurrencies te ontmaskeren, zo stellen onderzoekers van Princeton University (pdf). Webwinkels hebben vaak tientallen webtrackers draaien.
Ze worden gebruikt voor analytics of het weergeven van advertenties. Webwinkels kunnen al dan niet bewust informatie aan deze trackers lekken. Zo kunnen webtrackers, ongeacht de gekozen betaalmethode, gevoelige details van de bestelling opvangen, zoals de goederen die iemand in het winkelmandje plaatst en hun prijs. De onderzoekers ontdekten dat veel webwinkels voldoende informatie over de aankoop aan webtrackers lekken dat die het kunnen koppelen aan de betalingstransactie op de blockchain.
Aanvallers kunnen nieuwe WordPress-sites binnen 30 minuten vinden en in het ergste geval overnemen omdat de installatie nog niet is afgerond. Vorige maand waarschuwde securitybedrijf Wordfence voor aanvallen op nog niet afgeronde WordPress-installaties.
Na de installatie van WordPress op een server moet de website zelf nog worden geconfigureerd. Hiervoor is er de standaardpagina /wp-admin/setup-config.php. Aanvallers scannen actief naar deze specifieke pagina. In het geval ze deze pagina vinden kunnen ze de website overnemen. Tijdens de Def Con-hackerconferentie in Las Vegas liet onderzoeker Hanno Bock zien hoe aanvallers in 30 minuten nieuwe WordPress-sites kunnen vinden om vervolgens aan te vallen (pdf).
