Home Assistant-moederbedrijf Nabu Casa heeft woensdagavond zijn nieuwe Z-Wave-adapter geïntroduceerd: de Home Assistant Connect ZWA-2. Hiermee kunnen gebruikers hun smarthomeplatform uitbreiden met Z-Wave-ondersteuning.

De Home Assistant Connect ZWA-2 is gebaseerd op een chipset uit de Silicon Labs 800-serie. Het apparaat ondersteunt daarmee 'alle' Z-Wave-apparaten die al op de markt zijn. De ZWA-2 biedt, naast 'gewone' Z-Wave, ook ondersteuning voor Z-Wave Long Range. Op dit moment is de apparaatondersteuning daarvoor buiten Noord-Amerika gelimiteerd, maar dat zal volgens Nabu Casa snel worden uitgebreid.

Het apparaat heeft qua uiterlijk een opvallend grote basis en antenne. De fabrikant geeft aan dat bij het ontwerpen van het apparaat veel zorg is besteed aan het bereik en de stabiliteit. De antenne en voet zijn exact afgestemd op de golflengte van de Z-Wave-frequentieband om te zorgen voor een goede signaal-ruisverhouding. De top van de antenne is halftransparant en voorzien van ledverlichting, bijvoorbeeld om de status van de adapter aan te geven. In de voet zit een USB-C-aansluiting, waarmee het apparaat verbonden kan worden met een Home Assistant-systeem.

Paulus Schoutsen, een van de oprichters van Home Assistant, geeft aan dat het doel van de ZWA-2 is om de Z-Wave-standaard nieuw leven in te blazen. Hiermee wordt tot in de verre toekomst ondersteuning gegarandeerd voor de miljoenen Z-Wave-apparaten die in omloop zijn. De adviesprijs voor de ZWA-2 bedraagt 59 euro. Het is het tweede apparaat in de Home Assistant Connect-serie; Nabu Casa kwam eerder al met een Connect ZBT-1, een adapter die Zigbee en Thread ondersteunde.

We hebben de ZWA-2 al kunnen testen. Onze ervaringen lees je in deze quicktest.

De Xbox-app voor Windows kan binnenkort lokaal games draaien op pc's met een Arm-chip. Gebruikers kunnen daarmee bijvoorbeeld bepaalde Game Pass-titels op hun apparaat zelf spelen. Momenteel kan de Xbox-app voor Arm-pc's alleen gebruikt worden voor cloudgaming.

Microsoft test de functie momenteel onder gebruikers die lid zijn van het Windows Insider-programma, zo bevestigt de techgigant in een blogpost. De feature laat gebruikers compatibele games downloaden via de Xbox-app, waarna ze die direct kunnen draaien op hun Arm-pc. Dat betekent dat bepaalde Arm64-games uit de PC Game Pass- of Game Pass Ultimate-abonnementen voor het eerst speelbaar zullen zijn op Windows 11-pc's met een Qualcomm Snapdragon-chip, zo schrijft The Verge.

Microsoft zegt tegelijkertijd te werken aan 'nieuwe functies' voor de Xbox-app. Die moeten ervoor zorgen dat er meer games gespeeld kunnen worden op Arm-pc's. Dat moet 'in de komende maanden' gebeuren, hoewel het bedrijf daar verder geen concrete details over deelt.

Microsoft bracht in 2022 al een Arm-versie van de Xbox-app uit. Die kon voorheen echter alleen games streamen via Xbox Cloud Gaming. Daar komt binnenkort dus verandering in. De optie is vooralsnog alleen beschikbaar voor Windows Insider-gebruikers en wordt onder hen geleidelijk uitgerold. Het is niet bekend wanneer de functie algemeen beschikbaar komt.

Chinese fabrikant OneXPlayer komt met een nieuwe 'gamingtablet', de Super X. Dit 14"-apparaat beschikt over een Ryzen AI Max+ 395-apu van AMD, met zestien Zen 5-cores en een igpu met veertig compute-units. Het bedrijf deelt geen adviesprijs of releasedatum.

OneXPlayer voorziet de Super X van een 14"-amoledscherm met een resolutie van 2880x1800 pixels, zo schrijft de fabrikant in een persbericht. Het display ondersteunt vrr, hoewel de fabrikant niet zegt wat de maximale refreshrate is. Het scherm kan de volledige DCI-P3-kleurruimte tonen en is aanrakingsgevoelig. Volgens OneXPlayer ondersteunt het scherm stylussen met maximaal 4096 drukniveaus.

Aan de binnenkant van het apparaat zit een AMD Ryzen AI Max+ 395, het topmodel in AMD's Strix Halo-serie. Deze chip beschikt over zestien Zen 5-cores en een geïntegreerde Radeon 8060S-gpu. Die laatste beschikt over veertig compute-units op 2,9GHz en is gebaseerd op de RDNA 3.5-architectuur.

De chip wordt bijgestaan door 64GB of 128GB aan Lpddr5x-8000-geheugen, waarbij maximaal 96GB kan worden aangewezen als vram. De Super X beschikt verder over een volledige M.2-2280-slot voor ssd's, naast een kleinere M.2-2230-slot.

Verder beschikt het apparaat over een magnetisch afneembaar toetsenbord, een koelsysteem dat volgens de fabrikant maximaal 120W aan continu vermogen kan koelen en een 83,5Wh-accu. Het apparaat krijgt verder twee USB-C-poorten met Thunderbolt 4-ondersteuning, een USB-A-aansluiting, een HDMI-output en een DC-stroomconnector.

Discord heeft zijn Social SDK officieel uitgebracht. Ontwikkelaars kunnen deze sdk gebruiken om features van het platform gratis in hun games te integreren, bijvoorbeeld voor in-gamevoicechat. Discord kondigde de sdk eerder dit jaar al aan, maar was alleen nog beschikbaar als bèta.

Discord schrijft dat de Social SDK vanaf woensdag wordt opengesteld voor iedereen. Via die sdk kunnen ontwikkelaars het chatplatform direct in hun games integreren. Ze kunnen Discord bijvoorbeeld gebruiken voor tekst- en voicechat binnen hun titels. Spelers kunnen al die features gebruiken zonder een Discord-account te koppelen. Als ze dat wel doen, krijgen ze ook toegang tot hun vriendenlijsten en servers binnen het spel. Spelers kunnen zo gemakkelijker hun vrienden uitnodigen voor een multiplayersessie.

Het chatplatform kondigde de Discord Social SDK in maart al aan. Hoewel die toen al beschikbaar was voor ontwikkelaars, gold dat nog als een bèta waar ontwikkelaars handmatig toegang toe moesten aanvragen. De features zijn nu algemeen beschikbaar voor iedereen, waarmee ontwikkelaars kunnen beginnen met het integreren van Discord in hun titels, zonder dat ze daarvoor eerst bij Discord moeten aankloppen.

Voor 'volledige toegang' tot alle functies van de Social SDK moeten ontwikkelaars overigens wel aan bepaalde eisen voldoen en hun integratie indienen ter goedkeuring. Ze moeten dan onder andere aantonen dat hun integratie naar behoren functioneert en dat hun game voldoende maatregelen neemt om minderjarige spelers te beschermen. Als ze dat niet doen, krijgen ze te maken met ratelimits die onder andere beperken hoeveel lobby's een game maximaal mag aanmaken binnen een aantal uur.

Pebble heeft het definitieve ontwerp van zijn aanstaande Time 2-smartwatch getoond. Het horloge komt beschikbaar in vier kleuren, met behuizing van roestvrijstaal en een kleurenscherm. De Pebble Time 2 wordt later dit jaar geleverd en kost 225 dollar.

Eric Migicovsky, de bedenker van Pebble, toonde het ontwerp van de Time 2 op zijn blog. Het horloge krijgt een behuizing met een voor- en achterkant van roestvast staal. Ook de vier knoppen aan de zijkanten worden van rvs gemaakt. De Time 2 komt beschikbaar in vier kleuren, hoewel die volgens Pebble nog niet volledig zijn vastgelegd.

Het bedrijf voorziet de Pebble Time 2 daarnaast van een scherm met rgb-ledbacklight, een kompassensor, en een tweede microfoon die mogelijk gebruikt kan worden voor ruisonderdrukking tijdens het bellen.

Migicovsky kondigde de Time 2 eerder dit jaar al aan, samen met de 2 Duo-smartwatch. Hij toonde daarbij al een vroeg ontwerp van de Time 2, hoewel dat toen nog niet definitief was. Bovendien werden de horloges in eerste instantie aangekondigd onder de merknaam Core. In juli maakte Migicovsky echter bekend dat hij de Pebble-merknaam heeft teruggekocht.

De Pebble Time 2 verschijnt later dit jaar, samen met de Pebble 2 Duo. De Time 2 kost dan 225 dollar, terwijl de 2 Duo 149 dollar gaat kosten. Gebruikers die het goedkopere model vooruit hebben besteld, krijgen binnenkort de optie om over te stappen naar een Time 2-preorder zonder hun positie in de wachtrij te verliezen. De fabrikant stuurt daarvoor in de komende maand een survey uit aan klanten.

Bron: Eric Migicovsky, Core Devices

PUBG: Battlegrounds stopt binnenkort met werken op de PlayStation 4 en Xbox One. Uitgever Krafton bevestigt dat de consoleversie van het battleroyalespel vanaf november alleen nog wordt ondersteund op de PlayStation 5 en Xbox Series X en S.

Krafton bevestigt dat de consoleversie van PUBG op 13 november wordt overgeheveld naar de huidige consolegeneraties van Sony en Microsoft. Volgens het bedrijf kunnen spelers met een PS5 of Xbox Series X/S betere graphics en stabielere framerates verwachten na die overstap.

Tegelijkertijd wordt de last-genversie volledig stopgezet. Na 13 november zijn de PS4- en Xbox One-versies van de game niet langer te downloaden of speelbaar. Krafton benadrukt dat de gegevens van spelers worden bewaard. Ze kunnen later met hun bestaande PUBG-account inloggen op een PS5 of Xbox Series X/S.

De geüpgradede consoleversie van PUBG moet per 13 november dus betere graphics bieden. De game haalt volgens de ontwikkelaar doorgaans 60fps, afhankelijk van de console en renderresolutie. De Xbox Series X en PlayStation 5 Pro renderen het spel op een 4k-resolutie en halen daarbij 60fps, claimen de makers. De PlayStation 5 haalt ook 60fps, maar rendert het spel op 1440p. De Xbox Series S haalt 60fps op 1080p of 30fps op 1440p.

Google heeft officiële beelden getoond van de komende Pixel 10 Pro Fold. De foldable moet later deze maand worden aangekondigd, hoewel er onlangs geruchten rondgingen dat de release van de Pixel 10 Pro Fold pas in oktober plaatsvindt.

Google deelde zijn teaser van de Pixel 10 Pro Fold op YouTube. In een video van een halve minuut is het ontwerp van de telefoon te zien. In de beelden wordt onder andere het binnenste scherm en de achterkant van de smartphone getoond, inclusief het camera-eiland daarop.

Uit de teaser blijkt dat het toestel sterk lijkt op zijn voorganger, de Pixel 9 Pro Fold. De nieuwe variant krijgt eenzelfde camerasysteem met drie sensors en ook de binnenkant van de 10 Pro Fold lijkt sterk op die van het vorige toestel. Dat komt overeen met eerdere leaks en geruchten. Google deelt vooralsnog geen specificaties van zijn nieuwe foldable. Naar verwachting krijgt het toestel ditmaal wel een IP68-certificering, waarmee de telefoon beter bestand moet zijn tegen stof.

Google houdt op 20 augustus een Made by Google-evenement, waar het zijn volgende Pixel-toestellen zal aankondigen. Naast een foldable, komt de fabrikant vermoedelijk ook met een Pixel 10, Pixel 10 Pro en Pixel 10 Pro XL. Die drie zouden later in augustus al verschijnen, hoewel de vouwbare variant mogelijk wordt uitgesteld tot 9 oktober, zo meldde het doorgaans goed ingelichte WinFuture eerder deze maand.

WeTransfer heeft zijn klanten niet gemaild over de stille aanpassing in de nieuwe gebruiksvoorwaarden waarin het afziet van AI-training op gebruikerscontent. Wel toont de dataverzender op zijn homepagina nu een melding met een link naar meer uitleg.

WeTransfer heeft zijn gebruiksvoorwaarden op 23 juni aangepast om zichzelf het recht te geven gebruikerscontent te gebruiken voor het trainen van AI-modellen. Die content omvat bestanden die gebruikers verzenden via de dienst van het bedrijf. Na ophef hierover heeft WeTransfer dat teruggedraaid met een wijziging die op 15 juli is doorgevoerd. Die aanpassing is destijds niet meteen voorzien van een nieuwe datum.

In de tussentijd had WeTransfer zijn gebruikers per mail geïnformeerd over de nieuwe voorwaarden, met ingangsdatum op 8 augustus. Het van oorsprong Nederlandse bedrijf laat nu aan Tweakers weten dat het die mails vanaf 1 juli heeft verzonden. Het stuitte daarbij op technische beperkingen. Het blijkt nu dat klanten die vóór 15 juli zijn gemaild over de nieuwe voorwaarden geen tweede e-mail hebben gekregen over de toen doorgevoerde aanpassingen. WeTransfer bevestigt dit in reactie op vragen van Tweakers.

In de bijgewerkte voorwaarden ziet WeTransfer af van de gewraakte AI-training. Het bedrijf laat dit gebruikers nu wel weten via een melding op de homepagina, waar gebruikers bestanden uploaden. "Je bestanden zijn veilig bij ons", luidt de mededeling daar. "Bij WeTransfer respecteren we je werk en je rechten", is de rest van de boodschap. Daaronder staat een knop 'Meer informatie'.

Klikken op die knop geeft een pop-upvenster met de titel: "Je creativiteit is veilig bij ons!". Daarin vat WeTransfer 'de belangrijkste punten' samen, laat de woordvoerder aan Tweakers weten. Deze zijn: "Jouw inhoud behoort toe aan jou, jouw inhoud wordt niet gebruikt om AI te trainen, jouw inhoud wordt niet verkocht aan derden."

Onderaan deze drie punten staat nog een link voor meer informatie. Die leidt naar een helpdocument waarin WeTransfer uitlegt hoe het de bestanden van gebruikers veilig houdt. De melding aan gebruikers blijft de komende twee weken live staan, laat de woordvoerder weten. Op de homepagina staan standaard links naar de gebruiksvoorwaarden en het privacybeleid, waarbij WeTransfer overigens de links van beide woorden heeft omgewisseld. Tweakers heeft het bedrijf hier nu op gewezen.

De app van de Rabobank is niet langer beschikbaar op custom-Android-roms zoals GrapheneOS of /e/OS. Dat bevestigt de bank aan Tweakers, nadat gebruikers dat opmerkten. De Nederlandse bank zegt dat de app gebruik moet maken van Google Play Integrity-checks. Dat doet de bank uit veiligheidsoverwegingen.

De Rabobank bevestigt tegenover Tweakers dat de app niet langer werkt op sommige besturingssystemen. "De Rabobank-app is sinds kort inderdaad niet beschikbaar op customroms zoals GrapheneOS", zegt een woordvoerder van de bank. "Dit komt doordat we nu gebruikmaken van Googles Play Integrity-checks, die vereisen dat een toestel draait op een officieel gecertificeerde Android-versie. Customroms vallen hierbuiten, waardoor de Google Play Store niet automatisch geïnstalleerd wordt op deze besturingssystemen."

Google Play Integrity heeft meerdere checks om de integriteit van een apparaat te verifiëren. De check die specifiek controleert of een app op een legitiem Android-apparaat draait, wordt door customroms niet ondersteund. Google introduceerde deze mogelijkheid in mei 2025, nadat de functie in december 2024 als bèta beschikbaar kwam.

Gebruikers kunnen de app nog wel blijven gebruiken als deze op hun toestel staat. Het is echter niet meer mogelijk de app bij te werken via de Play Store. Ook is de app daar niet meer te downloaden.

De Rabobank zegt dat te hebben gedaan 'om de veiligheid van klanten te waarborgen'. "Hiervoor is het van belang dat wij zeker weten dat zij de Rabo-app in een veilige omgeving gebruiken. Omdat het voor ons niet mogelijk is om bij dit bij iedere onofficiële versie van Android apart vast te stellen, moeten we hier keuzes maken", zegt de bank.

De Play Integrity-api maakt het voor steeds meer makers van alternatieve Android-roms moeilijker om een goed product aan te bieden. Door die api kunnen veel apps niet meer worden gebruikt. Tweakers schreef daar onlangs nog een achtergrondartikel over. We schreven ook hoe makers van dergelijke roms daarover de noodklok luidden.

Update, 15.35 uur - Context over de Play Integrity-checks toegevoegd.

PayPal weigert betalingen van Steam in een groot aantal munteenheden. PayPal laat alleen nog Steam-betalingen in euro's, Canadese, Amerikaanse en Australische dollars, Britse ponden en Japanse yen toe.

Op Reddit toont een Steam-gebruiker een screenshot waaruit blijkt dat hij niet via PayPal kan betalen. De bank die de transacties van PayPal verwerkt, is begin juli 2025 gestopt met het verwerken van transacties gerelateerd aan Steam, zo heeft het betalingsplatform aan Valve laten weten. Dit geldt voor alle munteenheden buiten de euro, de Amerikaanse, Australische en Canadese dollar, het Britse pond en de Japanse yen.

Valve schrijft dat het 'in de toekomst' hoopt PayPal weer in andere valuta beschikbaar te maken, maar erkent dat het onduidelijk is wanneer dat gaat gebeuren. Het bedrijf zegt te onderzoeken welke mogelijkheden er zijn om extra betalingsmethoden toe te voegen voor getroffen klanten.

Valve heeft nog geen officiële verklaring gegeven over het weigeren van betalingen. Mogelijk heeft de maatregel te maken met de controverse rond nsfw-games. Eind juli de-indexeerde het platform itch.io alle games met de nsfw- en adulttag na druk van betalingsverwerkers. Een week later draaide itch.io die maatregel weer gedeeltelijk terug. Het bedrijf zei ook op zoek te gaan naar een nieuwe betalingsverwerker, aangezien het Amerikaanse Stripe heeft aangegeven de distributie van seksuele games niet te willen steunen.

Valve zelf introduceerde eerder dit jaar nieuwe voorwaarden voor ontwikkelaars. In de richtlijnen voor 'dingen die je niet op Steam mag publiceren' voegde het bedrijf een nieuwe, vijftiende regel toe: "Content die regels en standaarden schendt van Steams betalingsverwerkers, gerelateerde betaalkaartnetwerken, banken en internetproviders. Specifiek gaat het om bepaalde soorten inhoud voor volwassenen."

De Amerikaanse overheidsinstantie CISA belooft het internationaal gebruikte kwetsbaarhedensysteem CVE blijvend te steunen. In april verloopt het contract dat op de valreep is gesloten nadat financiering wegviel. CISA lijdt zelf ook onder bezuinigingen.

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft op hackersconferentie Black Hat toegezegd het kwetsbaarhedenprogramma Common Vulnerabilities and Exposures (CVE) te blijven financieren en zelfs uit te breiden. De belofte van blijvende financiering door de Amerikaanse overheidsorganisatie verwijst naar april volgend jaar. In die maand loopt het huidige contract voor financiering af.

Het nu lopende contract is in april dit jaar gesloten op de dag dat CVE dreigde om te vallen. De overheidsfinanciering via de Mitre Corporation kwam toen te vervallen, wat net één dag voor het einde bekend werd. Dit heeft destijds gezorgd voor internationale ophef en zorgen. Het CVE-systeem, met onder meer universele classificatie en aanduiding van kwetsbaarheden, dient wereldwijd als basis voor security-, beheer-, ontwikkel- en supportwerk.

CISA heeft vorige week in een panelsessie op hackersconferentie Black Hat in Las Vegas geprobeerd de nog levende zorgen weg te nemen. Topman Chris Butera zegt dat CISA veel tijd, moeite en middelen heeft gestoken in CVE, meldt Infosecurity Magazine. Butera voegt daaraan toe dat CISA zijn financiering van het kwetsbaarhedenprogramma voortzet. Hij geeft daarbij aan dat er meer AI-gedreven automatisering moet komen, meldt Expert Insights.

Butera en CISA’s cio Bob Costello zijn in de sessie op Black Hat gevraagd naar de toekomst van het CVE-programma. De plots dreigende ondergang in april en het uitstel van executie dat maar elf maanden bedraagt, hebben internationaal tot zorgen maar ook actie geleid. Zo is de CVE Foundation opgericht en heeft het EU-agentschap Enisa een Europese kwetsbaarhedendatabase geïntroduceerd. Daarna heeft de officiële adviesgroep van Enisa in een rapport gesteld dat het Europese securityagentschap een fundamentele rol moet oppakken in het CVE-programma. Dat rapport is vóór publicatie in handen gekomen van Tweakers.

CISA, dat valt onder het Amerikaanse ministerie van Homeland Security (DHS), heeft de afgelopen maanden zelf flinke leegloop en bezuinigingen ondergaan. Het beruchte bezuinigingsinitiatief Doge van miljardair Elon Musk heeft ook CISA aangepakt, met het doorvoeren van ontslagen, het innemen van machtsposities en het opleggen van demoraliserende maatregelen. Op Black Hat hebben Butera en Costello gesteld dat er geen sprake is van een dreigend einde voor die cybersecurityinstantie. "De dreigingen nemen niet af en CISA ook niet", aldus de boodschap van deze sessie.

De Amerikaanse regering stopt stiekem trackers in ladingen AI-hardware om illegale levering aan China tegen te gaan. Dit meldt persbureau Reuters. AI-chipmakers Nvidia en AMD zouden recent een deal met het Witte Huis hebben gesloten voor Chinese leveringen.

Autoriteiten in de Verenigde Staten plaatsen stilletjes trackingapparaten in specifieke hardwareverschepingen met hoog AI-vermogen. Het gaat om geavanceerde chips en systemen met zulke chips die volgens ingestelde exportverboden niet naar China mogen gaan. De Amerikaanse overheid volgt met haar stiekeme tracking ladingen waarvan zij denkt dat die risico lopen op illegale omleiding om uiteindelijk in Chinese handen terecht te komen.

Dit meldt persbureau Reuters op basis van twee anonieme overheidsbronnen. Het plaatsen van trackers was voorheen geen openlijk bekende tactiek van de VS. Het gaat hierbij niet om algemeen, breedschalig volgen van verschepingen. De bronnen van Reuters melden dat het volgen bedoeld is voor specifieke ladingen waar al onderzoek naar wordt gedaan.

Vijf bronnen uit de toeleveringsketen rond AI-hardware melden aan Reuters dat bepaalde ladingen servers van fabrikanten als Dell en Super Micro worden gevolgd qua levering en aflevering. Deze systemen bevatten krachtige chips van Nvidia en AMD. De trackers worden geplaatst op de ladingen, maar soms ook in de verpakking ervan en zelfs in servers zelf.

AI-chipmakers Nvidia en AMD zijn begin deze week in het nieuws gekomen omdat ze een deal zouden hebben gesloten met de regering-Trump. Tegen betaling van vijftien procent van hun omzet uit China zouden ze nu toch bepaalde chips mogen leveren aan dat land. De Amerikaanse regering heeft eerder exportverboden ingesteld om leveringen aan China aan banden te leggen.

Clinical Diagnostics, het laboratorium dat onlangs werd gehackt en waarbij medische gegevens werden gestolen, heeft losgeld betaald. De ransomwaregroep, Nova, bevestigt dat aan RTL Nieuws. Clinical Diagnostics doet daar geen uitspraken over.

De ransomwarebende achter de hack bevestigt aan RTL Nieuws dat Clinical Diagnostics het losgeld heeft betaald. Het is niet bekend om hoeveel geld het gaat; RTL Nieuws spreekt van 'miljoenen euro's'. Volgens RTL gaat het om de Nova-ransomwarebende. Op de website van Nova op het darkweb staat op dit moment geen informatie over de hack op Clinical Diagnostics. Vaak wordt zulke informatie verwijderd nadat slachtoffers hebben betaald, maar bendes verwijderen informatie soms ook van hun websites tijdens een onderhandelingsperiode.

Clinical Diagnostics wil niet zeggen of het heeft betaald. RTL Nieuws merkt op dat op de website van het bedrijf staat dat er 'geen indicaties zijn dat de aanvaller zal overgaan tot het lekken van de gekopieerde gegevens'.

Eerder deze week bleek een groot laboratorium dat werkt met medische gegevens van onder andere bevolkingsonderzoeken en huisartsen te zijn getroffen door ransomware. Het gaat onder meer om resultaten van het bevolkingsonderzoek naar baarmoederhalskanker en burgerservicenummers, maar later bleek daar meer medische informatie bij te zitten.

Ransomware draait de afgelopen jaren steeds meer om afpersing met datadiefstal en veel minder om versleuteling. Experts zien al langer dat bendes in sommige gevallen helemaal geen gegevens meer versleutelen en alleen nog dreigen gestolen informatie openbaar te maken. Tweakers schreef daar vorig jaar al een achtergrondartikel over.

Microsoft heeft tijdens de maandelijkse Patch Tuesday-updateronde 107 kwetsbaarheden gerepareerd. Daaronder viel een zerodaykwetsbaarheid in Kerberos. Van die privilege escalation is in mei al beschreven hoe die werkte.

Microsoft heeft KB5063878 voor Windows 11 24H2 en KB5063709 voor Windows 10 uitgebracht. In de Patch Tuesday-updateronde worden volgens Microsoft 107 kwetsbaarheden gerepareerd in Windows.

Dertien van de bugs krijgen een Kritieke rating. Tussen de bugs zitten 44 privilege escalations en 35 remote code executions. Ook zitten er 18 bugs tussen waarmee het mogelijk was informatie te achterhalen.

Een van de kwetsbaarheden die nu is gerepareerd, is een zeroday in authenticatieprotocol Kerberos. Dat is CVE-2025-53779. Het gaat om een privilege escalation waarmee het mogelijk is op afstand toegang te krijgen tot andere systemen waarvoor hogere authenticatie nodig is. Opvallend is dat die bug al in mei bekend was. Toen beschreef CDN-aanbieder Akamai al hoe het mogelijk was de bug te misbruiken. Microsoft zegt dat er geen aanwijzingen zijn dat de kwetsbaarheid actief misbruikt wordt.

Nederlandse juristen uiten tegenover Tweakers kritiek op de nieuwe voorwaarden van Vinted. De daarmee verkregen rechten voor het gebruik van foto’s en teksten van gebruikers gaan ver. Toch is er minder mis dan bij de nieuwe voorwaarden van WeTransfer.

Vinted lijkt het voorbeeld van WeTransfer te volgen door zich in de nieuwe gebruiksvoorwaarden verregaande rechten toe te kennen op de content van gebruikers. Het gaat om inhoud als foto’s, beschrijvingen en video’s in advertenties die gebruikers plaatsen op de online marktplaats. Volgens de nieuwe voorwaarden van Vinted, die op 8 september ingaan, mag het bedrijf die content gebruiken voor diverse doeleinden, waaronder het trainen van AI-modellen.

Vinted stelt dat het veel minder gaat doen dan wat het volgens de nieuwe voorwaarden mag. In een reactie aan Tweakers verklaart het bedrijf dat het de gebruikerscontent alleen voor interne doeleinden gebruikt en dat het zijn AI-inzet niet commercieel zal uitbaten. In de nieuwe voorwaarden staat het veel breder verwoord. Tweakers heeft vervolgvragen gesteld over deze discrepantie.

Kritisch

Ondertussen reageren Nederlandse juristen kritisch op de nieuwe voorwaarden. Vinted geeft zichzelf een 'wel heel ruime licentie', zegt jurist Menno Weij tegen Tweakers. Het ingeperkte gebruik dat Vinted aangeeft in reactie op vragen van Tweakers, strookt volgens hem absoluut niet met de nieuwe voorwaarden. Hij vult aan dat het veel minder brede contentgebruik wel in de voorwaarden is gevangen, maar dat Vinted zich veel meer toe-eigent.

Weij heeft eerder, net als jurist Charlotte Meindersma, kritisch geoordeeld over soortgelijke veranderingen in de voorwaarden van WeTransfer. Meindersma laat nu aan Tweakers weten dat de situatie bij Vinted een minder ernstige inbreuk lijkt te maken. Belangrijk is het verschil tussen de diensten die deze twee bedrijven aanbieden. "WeTransfer was natuurlijk alleen maar een dienst om content van A naar B te krijgen. Daarvoor hoeven ze nooit te weten wat ze verzenden." WeTransfer is in essentie een postbode, stelt Weij bondig.

Twee problemen

Volgens Meindersma speelden er bij WeTransfer twee problemen. Ten eerste wilde de dataverstuurdienst content gaan bekijken die niet voor het bedrijf bestemd was. Ten tweede wilde het die content gaan gebruiken en indirect openbaar maken, aldus de jurist. "Daardoor ontstond er zowel voor privacy als voor auteursrecht een probleem."

De kwestie ligt heel anders bij Vinted. Op die online marktplaats staat de content juist al openbaar online. Daarmee is het volgens Meindersma ‘al veel minder een inbreuk’. Weij is het hiermee eens. Een advertentie staat immers al openbaar online én is bedoeld om openbaar online te staan, legt hij uit.

Meindersma is nog voorzichtig positief over AI-gebruik door Vinted. Zij kan zich bij die online marktplaats beter voorstellen dat ze met AI ook werkelijk iets bouwen dat voor alle gebruikers nuttig is, zoals het virtueel passen van kleding. Vinted noemt zo'n praktisch voorbeeld echter niet en spreekt in de reactie aan Tweakers over 'het versterken van de veiligheid en beveiliging'. Tweakers heeft vervolgvragen gesteld over wat het bedrijf daarmee precies bedoelt. Antwoorden daarop zijn nog niet gekomen.

Aanvallers hebben kwetsbaarheden in Citrix NetScaler veel eerder misbruikt dan aanvankelijk leek en hebben hun sporen gewist. Het Nederlandse NCSC doet nog onderzoek, maar trekt al een conclusie: niet alle vragen over de aanvallen kunnen worden beantwoord.

Uit forensisch onderzoek bij getroffen organisaties blijkt dat de kwetsbaarheden begin mei voor het eerst zijn misbruikt, meldt het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid. Het onderzoek naar de Citrix-kwetsbaarheden die onder meer het Nederlandse Openbaar Ministerie hebben geraakt, loopt nog. Een conclusie trekt het NCSC al wel: niet alle vragen kunnen worden beantwoord.

Het NCSC is op 16 juli misbruik op het spoor gekomen van een kwetsbaarheid in de NetScaler-producten van Citrix. Later bleken er meerdere kwetsbaarheden te zijn, die ook werden misbruikt. Kwaadwillenden hebben die benut om via deze Citrix-netwerksystemen hackaanvallen uit te voeren.

Daarmee zijn de aanvallers ruim een maand eerder geweest dan het beveiligingsadvies dat het NCSC op 18 juni heeft gepubliceerd. Dat advies ging over de kwetsbaarheid CVE-2025-5349 in Citrix NetScaler ADC. Leverancier Citrix heeft op 25 juni een beveiligingsadvies gepubliceerd over een andere kwetsbaarheid: CVE-2025-6543.

Het NCSC heeft toen ook gewaarschuwd voor dat beveiligingsgat, dat naast NetScaler ADC (Application Delivery Controller) ook NetScaler Gateway raakt. Daarnaast speelt een derde kwetsbaarheid mee: CVE-2025-5777. Deze kwetsbaarheden zijn niet op alle kwetsbare Citrix-systemen noodzakelijkerwijs misbruikt.

Sinds het detecteren van misbruik is er veel onderzoek gedaan naar deze cyberaanval, aldus het NCSC. "Er is nog veel onzekerheid over welke organisaties gecompromitteerd zijn, of de actor nog actief is en wat de impact is van deze aanvallen. Het onderzoek zal nog blijven voortduren, maar inmiddels kan er geconcludeerd worden dat mogelijk niet al deze vragen beantwoord kunnen worden."

In Nederland zijn meerdere kritieke organisaties succesvol aangevallen via de kwetsbaarheid CVE-2025-6543 in Citrix NetScaler, meldt het NCSC. Het Nederlandse Openbaar Ministerie is een van de geraakte organisaties en heeft de noodmaatregel getroffen om zichzelf offline te halen. Sinds afgelopen donderdag is het OM weer bereikbaar per e-mail.

Volgens het NCSC zijn de aanvallen ‘het werk van een of meerdere actoren met een geavanceerde werkwijze’. De indringers hebben niet alleen de Citrix-kwetsbaarheid misbruikt als zeroday (dus voordat er een patch beschikbaar was), maar ook actief hun 'sporen gewist om compromittatie bij de getroffen organisaties te verbergen'. "Dit maakt forensisch onderzoek uitdagend."

Op basis van die ontdekking in het nog lopende onderzoek trekt het NCSC alvast een harde conclusie: mogelijk kunnen niet alle vragen over deze digitale aanvallen worden beantwoord. Het gaat dan om de vraag welke organisaties gecompromitteerd zijn, of de aanvallers nog actief zijn en wat de impact is van de aanvallen.

NetScaler-leverancier Citrix heeft patches uitgebracht om de kwetsbaarheden te verhelpen, maar dat helpt niet als aanvallers al binnen zijn gekomen. Zij kunnen dan webshells hebben geplaatst waarmee ze later opnieuw toegang hebben tot gecompromitteerde systemen. "Het updaten van systemen is niet voldoende om het risico op misbruik weg te nemen", waarschuwt het NCSC.

Organisaties krijgen het advies hun cyberweerbaarheid te verhogen door zogeheten defense-in-depthmaatregelen te nemen voor hun ict-beheer. Die aanpak helpt niet alleen tegen deze specifieke aanval, geeft het NCSC aan, maar maakt ook vergelijkbare aanvallen via nieuwe, nog onbekende kwetsbaarheden beter af te weren.

Voor de nu ontdekte aanvallen op deze Citrix-kwetsbaarheden zijn indicators of compromise (ioc’s) opgesteld. Onderzoek bij getroffen organisaties levert nog steeds nieuwe ioc’s op. Detectie van eventuele geplaatste webshells kan met een script dat het Nederlandse NCSC heeft gemaakt. Dat script is op 21 juli openbaar gepubliceerd op GitHub en sindsdien meerdere keren bijgewerkt.

Als een beheerder of beveiligingsexpert ioc’s aantreft in een organisatie, is volgens het NCSC vervolgonderzoek nodig 'om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden'. "Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning."

ChatGPT 4o is vanaf woensdag weer beschikbaar voor alle betalende ChatGPT-gebruikers. OpenAI kondigde eerder al aan het model terug te brengen. Ook komen er verschillende nieuwe opties om GPT-5 te gebruiken, zoals een snelle zoekopdracht, zegt OpenAI-ceo Sam Altman.

Altman schrijft in een post op X dat 4o inmiddels beschikbaar is voor alle gebruikers met een ChatGPT Plus- of Pro-abonnement. "4o is terug in de modellenselectie", zegt Altman. "Als we dat model ooit uitfaseren, nemen we genoeg aankondigingstijd." Gebruikers kunnen in de webapp verder ook kiezen om andere modellen zoals o3, 4.1 en GPT-5 Thinking mini te gebruiken.

OpenAI heeft die aanpassing doorgevoerd nadat het dat eerder deze week al beloofde. Het bedrijf bracht vorige week het langverwachte GPT-5 uit, maar al snel bleken gebruikers niet erg tevreden. OpenAI maakte het model de standaard, waardoor 4o niet meer te gebruiken was. Veel gebruikers vonden 4o beter en prettiger werken. OpenAI zei toen al dat 4o opnieuw beschikbaar zou komen.

Naast het terugbrengen van GPT-4o wordt ook GPT-5 aangepast. Er komt een optie waarmee gebruikers kunnen bepalen welke versie van het model ze willen gebruiken. Dat kan het Fast-model zijn, dat sneller is, of juist het Thinking-model dat kan redeneren maar trager is. Het is ook mogelijk een optie te kiezen om automatisch te wisselen naar het beste model.

Tot slot verhoogt OpenAI de gebruikerslimiet voor GPT-5 Thinking. Die stijgt van 200 berichten per week naar 3000. De contextlimiet voor Thinking ligt op 196.000 tokens. Wel waarschuwt Altman dat OpenAI die limiet mogelijk kan bijstellen als dat nodig is vanwege het verbruik.

Amazons satellietconstellatie Project Kuiper telt meer dan honderd satellieten. Na een recente lancering bestaat het netwerk uit 102 kleine satellieten. Amazon begon in april met het opbouwen van zijn Starlink-concurrent.

Opvallend genoeg gingen de 24 Kuiper-satellieten eerder deze week mee aan boord van een Falcon 9-raket van SpaceX. Tijdens de KF-02-missie lanceerde dat bedrijf 24 Project Kuiper-satellieten voor Amazon. Daarmee komt het totale aantal Kuiper-kunstmanen op 102 te staan, schrijft Amazon.

De satellieten werden op een hoogte van 465 kilometer boven de aarde in een aardbaan gebracht. In de komende maanden stuwen de satellieten zichzelf naar een hogere aardbaan van 630 kilometer. Dat gebeurt vaak om brandstof te besparen en om een preciezere aardbaan te kunnen bereiken.

De lancering was de vierde lancering van Amazons Kuiper-satellietnetwerk. In april bracht Amazon deze voor het eerst de lucht in, althans de eerste lading die niet louter experimenteel is. Amazon wil met Project Kuiper een alternatief bouwen voor SpaceX' Starlink. Het wereldwijd dekkende satellietnetwerk moet uiteindelijk uit 3236 satellieten bestaan. Amazon zei eerder tegen de Amerikaanse Federal Trade Commission dat het in juli 2026 minimaal 1618 satellieten in de lucht wil hebben.