Hackers voorzien Chrome-extensie securitybedrijf van malware, konden data stelen

De Chrome-extensie van Cyberhaven werd op 24 december gehackt en via een update van malware voorzien die gebruikersdata kon stelen. Het securitybedrijf heeft de update ingetrokken en klanten ingelicht. De kans bestaat dat er meerdere Chrome-extensies zijn getroffen.

CyberhavenHet cybersecuritybedrijf schrijft in een blogpost dat een hacker of hackers erin geslaagd waren om inloggegevens voor de Google Chrome-webwinkel buit te maken. Dit gebeurde door een medewerker van het bedrijf te hacken. De actoren zouden vervolgens een nieuwe versie van de extensie hebben geüpload naar de Google Chrome Web Store, inclusief malware. Die malware was naar verluidt in staat om cookies en sessiedata van gebruikers te registreren. Onderzoek van het bedrijf toonde aan dat de actoren zich voornamelijk op specifieke socialemediawebsites en AI-platformen hadden gericht, zoals Facebook Ads-accounts.

Cyberhaven schrijft dat alle klanten op 26 december werden ingelicht, ook de klanten die niet werden getroffen. Het is niet duidelijk hoeveel gebruikers de malware hebben gedownload, al blijkt uit een screencapture van de Google Chrome Web Store dat de extensie op 27 december ongeveer 400.000 gebruikers had. Cyberhaven meent dat de schadelijke versie van de extensie onmiddellijk werd verwijderd en dat er ook een veilige versie werd opgeladen. Er worden in het bedrijf ook extra beveiligingsmaatregelen genomen om gelijkaardige incidenten te voorkomen. Klanten die de Cyberhaven-extensie gebruiken, worden aangeraden om hun versie bij te werken naar versie 24.10.5 of nieuwer, en alle wachtwoorden te resetten.

Het bedrijf vermoedt volgens TechCrunch dat het niet om een gerichte aanval op Cyberhaven gaat, maar dat er sprake is van een grotere phishingcampagne. Die zou zijn pijlen hebben gericht op de ontwikkelaars van Chrome-webbrowserextensies. Cyberhaven is een Amerikaans cybersecuritybedrijf dat oplossingen biedt voor het beschermen van vertrouwelijke data.

Door Jay Stout

Redacteur

Feedback • 29-12-2024 13:09
70 • submitter: wildhagen

29-12-2024 • 13:09

70

Submitter: wildhagen

Lees meer

Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt
Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt Nieuws van 27 maart 2025
'Android-telefoons versturen trackingcookies voordat gebruiker apps opent'
'Android-telefoons versturen trackingcookies voordat gebruiker apps opent' Nieuws van 4 maart 2025
Hack bij locatiedatabroker Gravy Analytics treft miljoenen smartphonegebruikers
Hack bij locatiedatabroker Gravy Analytics treft miljoenen smartphonegebruikers Nieuws van 14 januari 2025
Google verwijdert per ongeluk Chrome-extensie in plaats van malafide kopie
Google verwijdert per ongeluk Chrome-extensie in plaats van malafide kopie Nieuws van 1 januari 2025
Clop-ransomwaregroep eist losgeld van minstens 66 bedrijven na Cleo-datalek
Clop-ransomwaregroep eist losgeld van minstens 66 bedrijven na Cleo-datalek Nieuws van 27 december 2024
FBI linkt Noord-Koreaanse hackers aan diefstal van 4500 bitcoins van Bitcoin DMM
FBI linkt Noord-Koreaanse hackers aan diefstal van 4500 bitcoins van Bitcoin DMM Nieuws van 25 december 2024
Rechtbank VS: NSO Group is aansprakelijk voor WhatsApp-hack
Rechtbank VS: NSO Group is aansprakelijk voor WhatsApp-hack Nieuws van 21 december 2024
Ethisch hacker infiltreert online accounts vermiste neef - update
Ethisch hacker infiltreert online accounts vermiste neef - update Nieuws van 17 december 2024
Onderzoekers hacken mediasysteem van bepaalde Skoda's en Volkswagens op afstand
Onderzoekers hacken mediasysteem van bepaalde Skoda's en Volkswagens op afstand Nieuws van 13 december 2024
Onderzoekers omzeilen multifactorauthenticatie Azure dankzij te hoge inloglimiet
Onderzoekers omzeilen multifactorauthenticatie Azure dankzij te hoge inloglimiet Nieuws van 12 december 2024
Hackers stelen keys door JavaScript-library van Solana-apps over te nemen
Hackers stelen keys door JavaScript-library van Solana-apps over te nemen Nieuws van 6 december 2024
Google past fraudedetectie-api Play Integrity aan, mogelijk effect op custom rom
Google past fraudedetectie-api Play Integrity aan, mogelijk effect op custom rom Nieuws van 5 december 2024
Softwareleverancier van Jumbo en HEMA is gehackt, 'geen hinder voor klanten'
Softwareleverancier van Jumbo en HEMA is gehackt, 'geen hinder voor klanten' Nieuws van 27 november 2024
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors Nieuws van 27 november 2024
Nationaal Cyber Security Centrum waarschuwt voor phishingmails uit diens naam
Nationaal Cyber Security Centrum waarschuwt voor phishingmails uit diens naam Nieuws van 22 november 2024
Hackers verkopen toegang tot medische gegevens van 1,5 miljoen Fransen
Hackers verkopen toegang tot medische gegevens van 1,5 miljoen Fransen Nieuws van 22 november 2024
Meer producten en artikelen
Networking en security Browsers Google Chrome Extensie Hack Hackers Malware

Reacties (70)

-Moderatie-faq
70
70
29
1
0
25
Wijzig sortering
satya 29 december 2024 21:13
Het was er niet eentje, het waren er in totaal zestien, en er zitten er tussen die door aardig wat mensen gebruikt zullen worden.

AI Assistant - ChatGPT and Gemini for Chrome
Bard AI Chat Extension
GPT 4 Summary with OpenAI
Search Copilot AI Assistant for Chrome
TinaMInd AI Assistant
Wayin AI
VPNCity
Internxt VPN
Vindoz Flex Video Recorder
VidHelper Video Downloader
Bookmark Favicon Changer
Castorus
Uvoice
Reader Mode
Parrot Talks
Primus

https://thehackernews.com...-hacked-exposing.html?m=1
Llopigat
@satya30 december 2024 06:29
Hmja al die "AI" plugins die niet van de echte maker zijn, zijn vrijwel altijd spyware. Als ze al niet echt malicious zijn, dan monitoren ze wel de data. Immers moeten ze voor de ChatGPT api betalen en dan verdienen ze op je data.

Als je een AI plugin wil, pak dan de officiele. Of gebruik Firefox waar dit al in zit. Misschien in Chrome of Edge ook wel, dat weet ik niet want die gebruik ik nooit.

Ik gebruik het zelf op firefox samen met mijn prive LLM server zodat er ook geen data naar buiten lekt via de AI provider zelf.
Vexxon @Llopigat30 december 2024 13:15
Je zou toch ook een beetje verwachten dat de beheerder van het platform iets beter zijn best zou doen haar gebruikers te beschermen voor dit soort dingen door extensies iets beter te controleren hierop.
Die heeft blijkbaar andere prioriteiten.
FPSUsername @Vexxon31 december 2024 08:06
Er is ook een deel eigen verantwoordelijkheid. Je kunt alles afsluiten, maar als er een wil is, is er een weg.

Zo was bij een bedrijf waar ik werkte legitieme websites geblokkeerd, dus ging ik met een vpn er omheen, of doorzoeken naar een shady niet geblokkeerde website die de software had zodat ik het kon downloaden.
stenkate 29 december 2024 13:16
Ik lees hier dat 2-staps verificatie vereist is voor het publiceren of vernieuwen van een Chrome extensie, dat maakt mij wel benieuwd hoe die phishing aanval dan uitgevoerd is aangezien alleen de inlog credentials in dat geval (mijn aanname) niet voldoende zouden zijn.

https://developer.chrome....ies/two-step-verification

Update: hier zijn wat meer details:
https://www.cyberhaven.co...alicious-chrome-extension

Once the employee clicked on the email, they were taken to the standard Google authorization flow for adding a malicious OAUTH Google application called “Privacy Policy Extension”.

Note: This authorization page was hosted on Google.com and part of the standard authorization flow for granting access to third-party Google applications.

The employee followed the standard flow and inadvertently authorized this malicious third-party application. The employee had Google Advanced Protection enabled and had MFA covering his account. The employee did not receive a MFA prompt. The employee’s Google credentials were not compromised.

[Reactie gewijzigd door stenkate op 29 december 2024 13:31]

lenwar
@stenkate29 december 2024 13:30
Je hebt zelf je antwoord al gevonden.

In dit geval was de grootste fout dat de gebruiker reageerde op "een mailtje van Google" met als aanhef "Hi there"

Dat zou al voldoende moeten zijn om niet te reageren. Ik maak zelf geen gebruik van Google diensten, maar ik kan niet geloven dat Google zo generiek communiceert over wat dan ook. (wanneer het gaat om geadresseerde communicatie (dus echt naar een persoon gericht.))
svane @lenwar29 december 2024 14:43
"Hi there" is in principe niet een rare aanhef. Alhoewel de laatste keer dat Google (gmail) mij een mail stuurde dat begon met 'hi there' 2005 was, komt het in het algemeen vaker voor dat je zou denken.

Als ik naar mij inbox kijk, heb ik mails, beginnende met 'hi there' van:
  • Amazon Web Services
  • GitHub
  • Slack
  • Hetzner
  • Mailgun
  • Docker
  • Cloudflare
  • DigitalOcean
  • Sentry
  • StackOverflow
  • OpenAI
  • JetBrains
  • Pinecone
  • Figma
  • Cloudinary
  • Cloudflare
  • Dropbox
  • Auth0
En nog tientallen anderen. Allemaal bedrijven waar ik een account heb, en waar ze m'n naam weten :)

Neemt niet weg dat er waarschijnlijk wel andere dingen waren die de alarmbellen zouden moeten laten afgaan, maar een email die begint met 'hi there' is op zichzelf niet meteen verdacht.
moonlander @svane29 december 2024 14:53
Bij bitvavo kun je een eigen Antiphishingcode instellen, die versturen ze bij elke mail.
Een unieke code die bovenaan elke e-mail van ons komt te staan. Hieraan kun je altijd zien of de e-mail daadwerkelijk van ons komt.
Snap niet waarom andere bedrijven dit ook niet integreren.
FrostyPeet @moonlander29 december 2024 15:46
Google stuurt zijn officiële e-mail met een speciale markering naar o.a. GMail gebruikers. Als het speciale icoontje bij de afzender ontbreekt komt het hoogstwaarschijnlijk niet van Google af.

In GMail zelf worden nep-google e-mails vrijwel altijd geblokkeerd of op zijn minst met een reeks waarschuwingen naar de spam folder verplaatst.
lenwar
@FrostyPeet29 december 2024 16:34
Tja. Dat voegt natuurlijk alleen maar wat toe als je Gmail gebruikt. De meeste bedrijven gebruiken Outlook.
hcQd @moonlander29 december 2024 14:58
PostNL heeft dit ook, maar dan heb je er nog maar twee.
Jorah_Newstone @moonlander29 december 2024 15:36
Veel gebruikers zijn niet zo technisch als wij dat hier zijn, je zou eerst de gebruiker moeten leren dat zo'n code echt wel werkt, maar ook niet zomaar klikken op random linkjes.
Marsmillo @moonlander29 december 2024 21:46
Vlaamse overheid (België) heeft dit ook, al weer ik niet of veel mensen dit ook effectief gebruiken (of kennen)

https://www.vlaanderen.be...ven-in-mijn-burgerprofiel

Is voor zover ik weet is het ook de enige overheid in België die zo'n functie heeft. Ze gebruiken het ook enkel in digitale communicatie.

[Reactie gewijzigd door Marsmillo op 29 december 2024 21:47]

Honza63 @moonlander30 december 2024 10:01
Bij bitvavo kun je een eigen Antiphishingcode instellen, die versturen ze bij elke mail.

[...]


Snap niet waarom andere bedrijven dit ook niet integreren.
Tsja, iemand hackt dan bitvavo en die zal dit dan niet misbruiken??
mbb @moonlander30 december 2024 10:26
Hoe werkt dat dan? Hebben plugins voor alle mail clients, en de meest gebruikte browsers voor web-mail?

Want als elk mail contact een eigen code heeft, krijg je honderden van die unieke codes. Die kun je niet allemaal onthouden. En als je overal dezelfde code gebruikt kan het weer uitlekken en werkt het niet meer.

Dan kun je die code net zo goed gebruiken om meteen de hele mail te versleutelen! (PGP en S-mime werken ongeveer zo, en zijn precies om die reden nooit aangeslagen)
moonlander @mbb30 december 2024 10:33
Nee in de header van elk mailtje staat een code die jezelf hebt ingesteld. Dus stel ik heb ingesteld: moonlander-is-de-beste

Dan staat dat stukje tekst altijd bovenin de mail.
RoJoTweak @moonlander30 december 2024 10:28
Postnl heeft dit ook, wel zo handig
lenwar
@svane29 december 2024 14:50
En dat zijn mails die ook individueel aan jou gestuurd zijn?
Dus niet generieke nieuwsbrieven?

Als je in deze tijd als bedrijf een persoonlijke mail stuurt (als in, dat het echt alleen voor jou is en dat er actie van je verwacht wordt), dan vind ik het zo’n beetje de domste aanhef die je kunt doen.

(Ik zou het eigenlijk ook al voor nieuwsbrieven verwachten, maar dat zou nog een uiterste acceptabele zijn voor mij)
svane @lenwar29 december 2024 14:58
Het gaat om allerlei mails.

Deels nieuwsbrieven. Maar zeker ook om persoonlijke mails aan mij gericht. Bijvoorbeeld van de klantenservice van Patreon/Hetzner. Bevestiging van een timeslot-boeking van Schiphol. Notificaties van GitHub. Bevestiging van het verwijderen van een gebruiker op Mailgun, etc.
Dat verbaasde mij ook een beetje, zeker bij een klantenservice-antwoord.

Maar verder wordt deze tekst blijkbaar daadwerkelijk gebruikt door Google. Er zijn discussies te vinden van mensen waarvan hun extensie ook echt door Google uit de store gehaald zou worden, deze mails hadden dezelfde tekst.

https://github.com/fregante/GhostText/issues/208
https://www.reddit.com/r/..._may_be_removed_from_the/

Het lijkt erop dat de hackers gewoon de originele tekst gebruikt hebben
lenwar
@svane29 december 2024 15:09
Wow...

Dit is echt heel erg. Het feit dat dit soort bedrijven niet dat ene kleine stukje verantwoordelijkheid nemen is echt heel erg.
Het is zo'n ongelofelijk kleine moeite om dit te regelen, en het voegt zo ongelofelijk veel toe tegen al die generieke phishing-prut. (En het staat ook nog is netter vind ik.)

Ik vind trouwens wat PostNL doet ook een aardig gevonden oplossing. Daar kun je een sleutelwoord aan je account geven. Dus gewoon echt iets willekeurigs. "Appelsap is niet heel vies" of zo. Dit zetten ze dan bij ieder mailtje dat zij sturen. Dus stel dat je niet je 'echte naam' wilt geven aan een bedrijf (om welke reden dan ook), dan is dit ook een aardige tussenoplossing. Al zou je overal hetzelfde sleutelwoord gebruiken (wat je beter niet kunt doen natuurlijk), dan ben je in elk geval nog steeds van die generieke (niet aan individu-gestuurde) phising-mailtjes af. Bij Spearphishing (dat je echt persoonlijk het doelwilt bent), heeft het allemaal minder nut natuurlijk, maar dan kan die oplossing van PostNL zelfs beter zijn dan je voor- en achternaam :).
NoUser @lenwar29 december 2024 17:25
Je kan het vinden in je:
Post.nl account
Onder account
Onder Anti-phishingcode
lenwar
@NoUser30 december 2024 09:49
Weet je wat alleen jammer is? :|
Ik zit net naar wat Track&Trace mailtjes te kijken van PostNL, en daar gebruiken ze het niet in.

Nou staan m'n NAW-gegevens er wel in en de T&T-code die ik ook van de verzender heb gebruikt, maar toch.... Het zou ze dan ook sieren als ze het in 'alle' mails gebruiken. In augustus deden ze het nog wel, nu niet meer :|
NoUser @lenwar30 december 2024 17:38
Ik dacht al dat het aan mijzelf lag, maar had er verder geen aandacht meer aanbesteed. Het klopt dus. Niet echt heel handig.
lenwar
@NoUser30 december 2024 19:31
Vooral omdat ze in die T&T over phishingmailtjes beginnen 😊
JWL92 @lenwar29 december 2024 13:34
En als je zou reageren,
En juist van een cyber security bedrijf zou je verwachten dat ze niet op de link klikken, maar zelf naar het adres gaan om te kijken hoe of wat. of leren ze dat tegenwoordig niet meer? :|
OruBLMsFrl @JWL9229 december 2024 14:05
Het adres is dus compleet geldig in dit geval, want het Google platform zelf wil een third party app authoriseren. En dat zie je op de officiële Google portal. Echter die app zelf is ondanks de vriendelijke naam wel degelijk kwaadaardig. En daar heeft iemand dus een grote inschattingsfout gemaakt, door een third party app te autoriseren zonder te checken wie de uitgever was en waarvoor die nodig zou zijn. Tegelijk werken overal mensen, zoiets kan de beste gebeuren op een lastig moment, en dat dit misgaat op 24 december is toch wel zo een typische datum dat dingen even anders lopen dan normaal. Die phishers zijn niet dom, die doen alles eraan om te slagen natuurlijk, onderschat ze nooit.
timeraider @OruBLMsFrl29 december 2024 17:19
Hoewel ik het 100% eens ben met het punt, gezien er altijd een hoop verschillende functies zijn binnen een bedrijf, wel teleurstellend dat het iemand is die toegang heeft tot admin rechten voor de extensie... dat betekend ofwel dat die persoon technisch is maar gewoon zat te slapeb.. of hun hebben hun permissies niet goed afgebakent.
dasiro @JWL9229 december 2024 14:11
Als iemand met zulke rechten binnen het bedrijf werkzaam kan blijven (laat staan in dezelfde functie), zou ik me als grote klant afvragen of de rest van hun workflows wel in orde zijn en hun laatste interne en externe audit opvragen, want dat is zelfs in een niet-security bedrijf een rookie-mistake.
the email was initially sent to the registered support email which is in the public domain.
Het feit dat er geen dedicated mailbox voor zulke zaken gebruikt wordt, doet mij niet veel goeds vermoeden :|
blorf @JWL9229 december 2024 14:45
Cybersecurity via een browser-extensie? Dan gebruik je een van je native software afwijkend applicatie-platform met de speciale permissies die browsers over het algemeen krijgen. Zijn er beveiligingsdeskindigen die dit verdedigen? Volgens mij is daar problemen van krijgen een kwestie van tijd...
player-x @stenkate29 december 2024 13:24
Dat is het probleem niet zoals ik het begrijp, bedrijf zelf is gehacked, waarna ze remote de code van het bedrijf hebben aangepast, waarna zij het zelf onbewust met 2FA aan de Appstore hebben aangeboden.
JWL92 @player-x29 december 2024 13:29
Once the employee clicked on the email, they were taken to the standard Google authorization flow for adding a malicious OAUTH Google application called “Privacy Policy Extension”.
Note: This authorization page was hosted on Google.com and part of the standard authorization flow for granting access to third-party Google applications. The employee followed the standard flow and inadvertently authorized this malicious third-party application. The employee had Google Advanced Protection enabled and had MFA covering his account. The employee did not receive a MFA prompt. The employee’s Google credentials were not compromised.
Een security bedrijf, dat niks vermoedend een Chrome extensie installeert... k ruik een beetje ironie
HKLM_ @stenkate29 december 2024 13:22
Zolang je geen gebruik maakt van phishing resistent mfa blijf je vatbaar.
cdwave @stenkate29 december 2024 15:43
Multi-factor authenticatie is geen gouden hamer die alles oplost. Vaak is het zelfs een wassen neus, en hangt alles uiteindelijk toch weer aan een enkele telefoon of zelfs e-mail adres.

En dat is ook meteen de reden dat ze niet jagen op wachtwoorden, maar op session cookies enzo. Daarmee ben je direct ingelogd. Als ik Ubuntu opnieuw installeer en mijn /home terug zet, is mijn browser nog steeds ingelog op o.a. tweakers, maar ook op het werk waar je maar zo af en toe door die MFA wordt lastig gevallen.
flaskk @cdwave29 december 2024 16:12
Precies, veel eindgebruikers krijgen mfa door hun neus geboord maar krijgen vaak niet de uitleg waarom. Dus ze blijven maar goedkeuren als er om gevraagd wordt.
Prince @stenkate29 december 2024 22:13
Los van het kunnen inloggen om het te uploaden, moet de code toch ook signed zijn?

Ik heb in het verleden al ellende gehad over een Android app die door een Indische developer gemaakt was; deze wou de broncode niet delen met de mensen die betaald hadden om het te laten ontwikkelen en vroegen grof geld om simpelweg een logo aan te passen. Ik dacht dus: simpel; apk openen gezien dit een zip is, ander logo in stoppen onder dezelfde naam en klaar... De apk werkte perfect als je deze sideload, maar publiceren op de google store ging niet zonder dat deze signed was. En we hadden natuurlijk de key niet om deze te signen.

Ok, hier gaat het om een chrome extension, maar ik zou vermoeden dat ze hier de veiligheidsvereisten niet zo extreem los in maken dat iedereen alles kan doen wat die wilt...
speedhaste 29 december 2024 13:32
Dit lijkt erg op de technieken die gebruikt worden d.m.v. cookie en sessie hijacking zoals regelmatig gebeurd bij grote YouTube kanalen waarmee zelf multi factor authenticatie omzeilt wordt.
mutley69 29 december 2024 14:38
Het geeft ons stof tot nadenken beseffende dat meer dan 3 op 4 browsers deze engine gebruiken - hoe gevaarlijk wordt dat in 2025 en de volgende jaren?
kodak
29 december 2024 14:38
En ook dit bedrijf weigert weer te noemen welke beveiliging ze tot nu toe redelijk vonden terwijl ze aannemen dat alle gevoelige gegevens van hun gebruikers te veel risico lopen na gebruik van hun ondermaatse dienstverlening met andermans persoonlijke gegevens.
FricoRico 29 december 2024 16:35
Maar Google is van mening dat Manifest V3 puur is om de veiligheid te waarborgen :+ (veiligheid voor hun eigen portomonee). Of zou deze addon nog op Manifest V2 draaien? Aangezien uBlock e.d. al zijn verwijdert uit de browser.
retep69 29 december 2024 18:23
Ik zou graag wat meer willen weten over de veiligheid en privacy van chrome / firefox extensies. Ik hoor er meermaals wat verontrustende verhalen over, echter is er weinig content aanwezig over dit onderwerp. Weet iemand waar meer informatie / onderzoek hierover aanwezig is?
Thommy123 @retep6930 december 2024 11:41
Matt Frisbie doet veel onderzoek naar security issues van Chrome extensies. Als je je hierin verder wilt verdiepen, raad ik z'n blog posts zeker aan.

Dit artikel illustreert hoe makkelijk een chrome extensie ongemerkt gevoelige informatie van de gebruiker kan opvragen:
https://mattfrisbie.substack.com/p/spy-chrome-extension

[Reactie gewijzigd door Thommy123 op 30 december 2024 11:55]

retep69 @Thommy1231 januari 2025 15:09
bedankt voor de feedback!
Frame164 29 december 2024 16:27
Gelukkig is de security van de ICT bij de bedrijven waar wij tweakers werken perfect geregeld. Wij maken zulke fouten natuurlijk niet.
lenwar
@Frame16429 december 2024 16:37
Je vergeet de /s erachter! 😂

Het is het belangrijkste om je er bewust van te zijn dat je er in kunt trappen. Dat houdt je alert. Bewustwording is een van de sterkste beveiligingen en tegelijk een van de moeilijkste om uit te voeren.
rko4u @Frame16429 december 2024 16:42
Maar dat maakt het niet minder pijnlijk dat een security bedrijf hier slachtoffer van wordt. Die zouden extra gefocust moeten zijn op dit soort praktijken.
player-x 29 december 2024 13:20
Leren de ''Pro's'' nog steeds niet dat een 2FA sleutel als die van Yubico best wel handig is om accounts te beveiligen.

Mijn PC & Server thuis hebben allemaal 2FA, of het nu inloggen is met Windows Hello of iets installeren, paswoord even de Yubikey aanraken, voor ik veder kan.
lenwar
@player-x29 december 2024 13:31
Dat had ik dit geval ook verkeerd gegaan, aangezien de malafide oauth-dienst authenticeerde tegen bekende Google-services. Of je dan een Yubikey of een ander Oauth-token gebruikt, maakt niet uit.
cricque @player-x29 december 2024 14:00
En jij hebt zo een gegevens die het waard zijn ? Het kan uiteraard zo zijn, maar bij de meeste mensen valt echt niks te rapen hoor.

Dat wilt niet zeggen dat het geen goed idee is ... Ik heb dit in mijn eigen saas app ook ... 2 mensen maken er gebruik van (en zijn meer dan 5 gebruikers uiteraard)... Als je dan iemand vraagt waarom niet ? Teveel gedoe. En daar stopt het dus. Via email vinden ze meestal nog niet zo erg ... Want dat is snel gedaan op de telefoon. Maar een app openen en die code copyen & pasten of een key gebruken is er teveel aan. Dus dat gaan we niet doen.

Maar via email is knullig, het is beter dan niks. Maar als je al toegang hebt gaat die mail ook niet veel verhelpen, of zoals in dit geval ... de gebruiker klikt er alsnog op.
player-x @cricque29 december 2024 14:12
En jij hebt zo een gegevens die het waard zijn ? Het kan uiteraard zo zijn, maar bij de meeste mensen valt echt niks te rapen hoor.
Uhhh, onderdeel gemaakt worden van, ik noem er een paar: (Bitcoin/spam/DoS) botnet, ransomware en zo zijn er nog wel een paar dingen, waar een gehackte PC/server gebruikt voor kan worden.

Zeker een PC/server met 8Gbit verbinding zoals die van mij. is best aantrekkelijk voor de minder goed willende boefjes op het internet.
lenwar
@player-x29 december 2024 16:12
Uhhh, onderdeel gemaakt worden van, ik noem er een paar: (Bitcoin/spam/DoS) botnet, ransomware en zo zijn er nog wel een paar dingen, waar een gehackte PC/server gebruikt voor kan worden.
Die voorbeelden die je noemt zijn nu juist een paar zaken waar MFA vrij weinig aan toevoegt. :)
In het geval van malware/ransomware, is het in ongeveer 100,0% van de gevallen de gebruiker die het zelf (onbewust) installeert. MFA versterkt over het algemeen alleen de voordeur. Als de deur eenmaal open is doet het niet zo veel meer. Je computer start zat services op zonder dat je daar voor ingelogd hoeft te zijn. (En ik weiger te geloven dat er veel malware/ransomware tools zijn die om jouw MFA-token gaan vragen ;) )

N.B. MFA is per definitie een goed idee. Het ene mechanisme is beter dan het andere mechanisme, maar alles is beter dan niets. Het 'beste' verschilt een beetje per doel. Zo kan SMS beter zijn dan TOTP als traceerbaarheid een eis is. Een soft token kan beter zijn dan een hard token als beschikbaarheid bij verlies van de token een grotere eis is. Enzovoorts. Er is niets algemeens te zeggen over 'het beste'.
jpsch 29 december 2024 14:48
Als bedrijven als Microsoft, Google en Apple je naar hun store willen hebben, is het niet zo gek dat kwaadwillenden zich daar op gaan richten.
Frame164 @jpsch29 december 2024 16:26
Ieder bedrijf wil toch graag dat hun klanten naar hun site komen?
jpsch @Frame16429 december 2024 19:24
Als je op Windows wat wil downloaden, sturen ze je naar de Microsoft Store, terwijl die programma's daar helemaal niet te downloaden zijn.
Bor Coördinator Frontpage Admins / FP Powermod
@jpsch29 december 2024 19:38
Dat is helemaal niet waar. Downloaden kan overal buiten de store om, gewoon via de website van de aanbieder. Doorverwezen naar de store wordt je meestal ook niet.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq