Beveiligingsapp van politie voor Leids Ontzet verstuurt data onversleuteld
De gemeente Leiden en de politie ontwikkelden samen een app om de beveiliging van Leids Ontzet in goede banen te leiden. Deze app blijkt echter een beveiligingslek te bevatten. Gegevens worden onversleuteld tussen smartphones en de politie verzonden.
Het lek is ontdekt door Mark Koek van het beveiligingsbedrijf QCSec. Het dataverkeer van de app wordt niet rechtstreeks naar de politie verzonden, maar komt eerst op allerlei andere servers terecht. De data wordt daarnaast ook nog eens onversleuteld verzonden. De data wordt opgeslagen op servers van een Engels bedrijf, Amerikaanse servers van Amazon en servers van de Duitse ontwikkelaar van de app.
Andere evenementen
De app lijkt niet alleen te zijn ingezet tijdens Leids Ontzet, maar ook op Koningsdag, de Gay Pride in Amsterdam en de Vierdaagse in Nijmegen. De applicatie zou onderdeel zijn van een Europees onderzoek naar crowdcontrol met de naam 'Socionocal'.
Een succes lijkt de app echter niet te zijn. Een woordvoerder van de politie laat aan het Leids Dagblad weten dat de organisatie de stekker uit de app trekt. Het beveiligingsprobleem dat Koek heeft aangetroffen zou hier echter niet mee te maken hebben. De beslissing te stoppen met de app zou al eerder zijn genomen.
http://www.leidschdagblad.nl/regionaal/leidenenregio/article27197539.ece/Beveiligingslek-in-politieapp-Leids-Ontzet?lref=r_regionaal
Meer over
Lees ook
AWS voegt nieuwe beveiligings- en encryptiefuncties toe aan S3
Amazon Web Services maakt nieuwe beveiligings- en encryptiefunctionaliteiten beschikbaar voor zijn S3 cloud storage dienst. De features zijn gratis beschikbaar voor gebruikers. In totaal voegt AWS vijf nieuwe beveiligings- en encryptiefunctionaliteiten toe aan S3: Standaard encryptie - Gebruikers kunnen voortaan een bucket encryptieconfiguratie1
Azure confidential computing houdt gegevens die in gebruik zijn versleuteld
Microsoft lanceert Azure confidential computing, een versie van Azure waarbij gegevens die in gebruik zijn versleuteld blijven. Dit geeft bedrijven de zekerheid dat zowel aanvallers, overheidsinstanties of Microsoft de data nooit kunnen inzien. De oplossing maakt gebruik van een Trusted Execution Environment (TEE), die ook wel een enclave wordt ge1
Factsheet: NCSC zet risico’s van zakelijk gebruik van berichtenapps uiteen
Binnen veel bedrijven wordt gebruik gemaakt van berichtenapps om snel te communiceren en informatie efficiënt te delen. Dit brengt echter ook beveiligingsrisico’s met zich mee. In een nieuwe factsheet zet het Nationaal Cyber Security Centrum (NCSC) deze risico’s uiteen. De factsheet is gericht op informatiebeveiligers van middelgrote tot grote or1