Pennenstreek

Er was eens een groot bedrijf, dat uit meerdere onderdelen bestond. Die onderdelen opereerden relatief onafhankelijk van elkaar, maar naar de buitenwereld toe was het één bedrijf, zoals wij buitenstaanders alleen Shell zien en niet wat daar in het harkje allemaal onder hangt. Dat bedrijf, waarvan ik de naam verder in het midden laat, omdat die voor dit verhaal niet relevant is, had ook bedrijfsonderdelen die een ondersteunende taak voor meerdere andere bedrijfsonderdelen hadden, zoals het IT-bedrijf en HR.

Door een reorganisatie veranderde de naam van het IT-bedrijf. Dat was een intern feestje; de buitenwereld merkte er niets van. En toch had die wijziging een paar jaar later bijna tot een publicitaire blamage en commerciële schade voor dit trotse bedrijf geleid. Dat had ermee te maken dat het IT-bedrijf een eigen inschrijving bij de Kamer van Koophandel had.

Intermezzo Je hebt in mijn blog al vaker iets gelezen over digitale certificaten. Als je een website bezoekt en je browser toont naast de adresbalk het bekende slotje, dan zorgt zo’n certificaat ervoor dat de verbinding tussen jouw computer en die website beveiligd is – niemand behalve jij en de website kan zien wat jij daar doet. Ook de gegevens die je eventueel invult zijn onleesbaar voor derden. Maar het certificaat doet meer: het werkt als een digitaal paspoort. Ik moet daar meteen bij vermelden dat de vergelijking met het paspoort een beetje mank gaat. Jouw eigen paspoort of id-kaart wordt door de overheid uitgegeven en bevestigt onomstotelijk wie jij bent. Digitale certificaten worden in diverse smaken door commerciële bedrijven verstrekt. Bij de uitgifte van de eenvoudigste certificaten wordt alleen gecontroleerd of jij, als je een certificaat aanvraagt voor het domein hatsekiedee.nl, ook de eigenaar van dat domein bent. Voor sommige websites is meer zekerheid gewenst dat de inhoud ervan uit vertrouwde bron komt – iedere crimineel kan immers het domein hatsekiedee.nl registreren en daar vervolgens zo’n eenvoudig certificaat op zetten. Bij uitgifte van de luxere certificaten wordt ook de inschrijving bij de Kamer van Koophandel gecontroleerd. Zo wordt er een link gelegd tussen de domeinnaam en wie daar feitelijk achter zit. Bovendien weet de uitgever van het certificaat dat jij gemachtigd bent om namens de firma Hatsekiedee certificaten aan te vragen.

Terug naar het eigenlijke verhaal. Dat IT-bedrijf werd gereorganiseerd en kreeg een nieuwe naam. Toen hun certificatenleverancier daar lucht van kreeg, waarschuwde hij het bedrijf: als de inschrijving bij de KvK ook zou worden aangepast, dan zou die niet meer overeenkomen met wat er in de certificaten staat. Dat zou tot gevolg hebben dat alle certificaten ongeldig zouden worden verklaard. En aangezien het IT-bedrijf de certificaten voor het hele bedrijf beheerde, zou dat betekenen dat bezoekers van alle websites van het hele bedrijf opeens een waarschuwing van hun browser te zien zouden krijgen: pas op, het is hier niet veilig, maak dat je wegkomt!

De certificaatbeheerder van het IT-bedrijf lichtte zijn directie hierover in: denk erom, als jullie de KvK-inschrijving willen wijzigen, dan moeten jullie dat met mij afstemmen. Dat was geen probleem; de directie had geen haast met die inschrijving, als ze daar überhaupt al aan hadden gedacht.

Enkele jaren later wilde de beheerder een nieuw certificaat voor een of ander project bestellen. Tot zijn verbazing kreeg hij de melding dat het certificaat niet konden worden verstrekt. Even later had hij zijn verontruste leverancier aan te telefoon: “Wat hebben jullie gedaan? Jullie inschrijving bij de KvK is gewijzigd! Ga dit gauw rechttrekken, anders moeten we al jullie certificaten intrekken…”

Het bedrijf startte onmiddellijk een onderzoek, dat aan het licht bracht dat een ánder bedrijfsonderdeel, dat kennelijk over de KvK-inschrijvingen ging, had gesignaleerd dat de inschrijving niet meer met de werkelijkheid klopte. Met de beste bedoelingen gingen ze dat even rechtzetten. En zo kwam, met een enkele pennenstreek, het digitale voortbestaan van het hele bedrijf in gevaar. Alleen door de alertheid van de leverancier, kordaat optreden van de certificaatbeheerder en allerlei collega’s en de medewerking van de KvK kon het tij tijdig worden gekeerd.

De moraal van dit verhaal: dénken dat je alles onder controle hebt, is niet altijd genoeg. Als het om zaken gaat die het voortbestaan van je bedrijf kunnen beïnvloeden, dan moet je het honderd procent zeker weten. Heb jij zoiets cruciaals als certificaten onder je hoede, zorg dan dat je weet welke functionarissen bij machte zijn om (onbedoeld) roet in jouw eten te gooien. En kijk daarbij verder dan je eigen bedrijfsonderdeel.

 

En in de grote boze buitenwereld …

• beveiligt de GGD onze coronatestgegevens niet goed
• staat de GGD daarom inmiddels onder verscherpt toezicht van de Autoriteit Persoonsgegevens
• valt er geld te verdienen met medische gegevens
• lekt data niet zomaar
• hebben internationale politiediensten cybercrime een zware slag toegebracht met het neerhalen van Emotet. De volgende – en laatste – versie van deze malware zal uitgebracht worden door… de Nederlandse politie.
• Nederlands artikel
• Engels artikel
• Ode aan Emotet
• kun je bij de politie checken of jij ook slachtoffer van Emotet bent
• informeren Duitse internetproviders hun met Emotet besmette klanten
• leed Nederland vorig jaar veel meer schade door digifraude dan in 2019
• richt Noord-Korea zijn digitale pijlen op beveiligingsonderzoekers
• houd je je iPhone 12 (en sommige andere smartphones) maar beter op gepaste afstand van je pacemaker of geïmplanteerde defibrillator
• moet je security en privacy mee-ontwerpen
• worden topmanagers gephisht met Office 365-documenten
• is er nu een heus security awareness-lied
• kun je veel geld verdienen met het hacken van Zoom of Teams. Wil je echt rijk worden? Hack dan de Tesla 3.
• weet je straks of die site, die niet meer bestaat, offline is gehaald vanwege oplichting

 

Privacy versus beveiliging

Meestal, als ik hoor dat het de dag van dit of de dag van dat is, overvalt mij een gevoel van meewarigheid. Zo was het gisteren de Dag van het Leerlingenvervoer en Internationale Knuffeldag (ai, die kwam dit jaar natuurlijk te vervallen). Vandaag is even een dagloze dag, maar morgen kunnen we weer door met de volgende: het is dan de Internationale Dag van het Handschrift. Vooruit, nog eentje dan, om dat gevoel van meewarigheid te onderstrepen: zondag vieren we de Nationale Dag van de Pindakaas.

Volgende week vrijdag vieren we er eentje die mij wél na aan het hart gaat: de Internationale Dag van de Privacy. Ik heb het hier wel vaker over privacygerelateerde onderwerpen, omdat zij nauw verwant zijn aan informatie-beveiliging: de V van BIV staat immers voor vertrouwelijkheid, dat naast beschikbaarheid en integriteit één van de pijlers van mijn vakgebied is. In het digitale tijdperk is privacy zonder informatiebeveiliging ondenkbaar, want zo’n beetje al onze privacygevoelige informatie is gedigitaliseerd, waardoor het maar al te gemakkelijk is om het zicht erop te verliezen. Kortom: informatiebeveiligers zijn ook privacyvoorvechters.

Soms staan privacy en informatiebeveiliging echter op gespannen voet met elkaar. Als beveiliger wil ik onze systemen veilig houden, en daar heb ik log- en meetgegevens voor nodig. Hoe meer gegevens ik heb, hoe beter ik kan sturen. De privacywetgeving staat daar zowat haaks op: zoveel mogelijk verzamelen is daar uit den boze, de grens ligt zo’n beetje bij het absolute minimum dat nodig is om je werk te kunnen doen. En dan is er ook nog de doelbinding: gegevens, die je verzamelt voor een bepaald, welomschreven doel, mag je niet zomaar voor iets anders gebruiken. Soms jeuken je vingers dan: de gegevens zijn er wel, maar niet voor jou.

Met name als er een incident is gemeld, loop je wel eens tegen grenzen aan. Je krijgt dan bijvoorbeeld uit de techniek de melding dat een medewerker een mailtje ‘naar buiten’ wilde sturen en dat dat mailtje is tegengehouden omdat de bijlage versleuteld was, waardoor er geen viruscontrole kon plaatsvinden. In zo’n melding zie je naast datum en tijdstip ook de adressen van de afzender en de geadresseerde, en de naam van de bijlage waar het om te doen is. Stel, de bijlage heet klantgegevens.xlsx. Dan gaan er wel wat alarmbellen rinkelen. Probeert hier iemand om bedrijfsgegevens naar buiten te sluizen? En waarheen dan – naar een concurrent, of ‘gewoon’ naar het eigen privé-adres, om er thuis aan te kunnen werken? Hoe dan ook, als het bestand de inhoud heeft die zijn naam belooft, dan heb je een mogelijk datalek te pakken. Het kan immers niet anders dan dat een bestand met klantgegevens persoonsgegevens bevat, die je als organisatie dient te beschermen.

Voor de beheerders van het mailsysteem is het een fluitje van een cent om desgevraagd het bewuste mailtje op te zoeken. Ik zou ze ook kunnen vragen om te speuren naar een tweede mailtje, dat wél door de controle kwam omdat de verzender dacht: met die versleutelde bijlage lukte het niet, laat ik het dan maar zonder wachtwoord proberen. En ik zou ze kunnen vragen om dat mailtje naar mij door te sturen, zodat ik kan nagaan wat er nou precies in dat bestand staat, om vast te stellen of er sprake is van een datalek. Ik zou ze zelfs kunnen vragen om mij toegang te geven tot de complete mailbox van de persoon in kwestie, zodat ik naar meer onregelmatigheden kan speuren. Vanuit beveiligingsoogpunt zou dat best zinvol kunnen zijn.

Maar gelukkig mag dat niet. Het zou een grote inbreuk op de privacy van de betrokken medewerker zijn. Ik heb daar volgens de wet niks te zoeken, punt uit. Ook dat levert een spanningsveld op: de privacy van de medewerker versus de privacy van de klanten. Die laatste is mogelijk geschonden, de eerste zou je zeker gaan schenden door zo’n onderzoek. De AVG kent het proportionaliteitsbeginsel: je mag niet met een kanon op een mug schieten. Als je je doel kunt bereiken op een wijze die minder impact heeft, dan moet je daarvoor kiezen. En dus vrágen we het gewoon aan de collega in kwestie: “Zeg, we hebben een melding gehad over dat mailtje dat je naar buiten wilde sturen. Wat staat er in dat bestand? En wist je dat je niet zomaar bedrijfsgegevens naar buiten mag mailen?” En misschien blijkt dan dat het bestand privégegevens bevatte, bijvoorbeeld de klantnummers van die collega bij zijn provider, zijn verzekeringsmaatschappij en zijn boekenclub. Dan ben je blij dat je zijn privacy niet hebt geschonden.

Vanuit het oogpunt van gegevensbescherming dien je de belangen te beschermen van degene over wie de gegevens gaan. Vanuit beveiligingsoogpunt moeten we de risico’s beperken voor de organisatie die deze gegevens verwerkt. Die beide doelen staan soms op gespannen voet. Gelukkig rekken we intern de Dag van de Privacy op naar een hele Week van de Privacy.

 

En in de grote boze buitenwereld …

• wordt bij politiefunctionarissen wat meer over de schouder meegekeken.
• vindt de directeur van een coronatestbedrijf dat zijn medewerkers gegevens van klanten gewoon via een WhatsApp-groep kunnen delen “omdat er alleen werknemers in zitten”.
• nemen ze het niet overal in de westerse wereld even nauw met privacy.
• lagen de gegevens van duizenden lockdowntegenstanders op straat door een lek bij Viruswaarheid.
• geeft de EU voorbeelden van datalekken en tips over hoe daarmee om te gaan.
• moet je ook als crimineel goed nadenken over je bedrijfscontinuïteit.
• moet je als cybercrimineel ook goed nadenken over de plek waar je de buit opslaat.
• is cybercrime vorig jaar flink gegroeid.
• nemen cybercriminelen graag de identiteit van de Belastingdienst aan.
• gelooft ruim de helft van de security officers aan de overkant van de Noordzee dat menselijke fouten het grootste risico voor hun organisatie vormen.
• stelen de Chinezen passagiersgegevens om interessante personen te kunnen volgen.
• kun je beter niet in het midden van Nederland wonen, want dan weten ze je te vinden.
• heeft de vorige president van de VS heel wat onzin uitgekraamd over ‘the cyber’.
• is alweer iemand de toegang tot zijn bitcoins kwijt. Deze keer niet omdat hij het wachtwoord niet meer weet, maar omdat de harde schijf op de vuilnisbelt ligt. Al zeven jaar.
• kan een cryptominer ook op een NAS draaien.
• kun je natuurlijk ook e-readers hacken.
• waren diverse chatapps af te luisteren.

Geschiedenisles

In het Security Intelligence Handbook van het Amerikaanse beveiligingsbedrijf Recorded Future staat een mooie zin: “There has never been a better time to be a cybercriminal”. Nogal wiedes, is mijn eerste gedachte, want computercriminaliteit is een jonge bedrijfstak. Toch maar eens even wat dieper in duiken, want meestal leidt het struikelen over zo’n zinnetje tot een aardig verhaal.

Mijn zoekmachine begint met een opmerkelijk advertentieresultaat: “Cybercrime gibt’s bei eBay – Top-Preise für Cybercrime”. Ik weet niet waarom ik een Duitse advertentie krijg voorgeschoteld, maar zou ik cybercrime gewoon bij eBay kunnen bestellen? Dat zou toch wel de ultieme vorm van Cybercrime-as-a-Service (CaaS) zijn. Maar nee, er zijn gewoon veel Duitse boeken te koop met de titel Cybercrime. Dat geeft meteen een leuke twist aan de aanleiding voor deze blog: kennelijk is er ook brood te verdienen met het schrijven over cybercrime.

Voor goede boeken over cybercrime hoef je trouwens niet de taalgrens over. Ik lees momenteel Ik weet je wachtwoord van RTL-journalist Daniël Verlaan, en hoewel ik pas halverwege ben, kan ik het boek nu al aanbevelen. Het legt helder uit hoe bepaalde vormen van cybercrime werken en illustreert dat met waar gebeurde verhalen (de ondertitel luidt dan ook: Waargebeurde verhalen over de duistere kant van het internet). Het boek richt zich op leken, maar is ook prettig leesvoer voor mijn vakgenoten, al was het maar vanwege het feest der herkenning en om eens te zien hoe zo’n onderzoeksjournalist te werk gaat – inclusief de ethische dilemma’s die hij daarbij ontmoet.

Maar ik was helemaal niet op zoek naar boeken, maar naar de geschiedenis van cybercrime. Arjan Dasselaar brengt ons in het Handboek digitale criminaliteit wel érg ver terug in de tijd door te stellen dat het telraam een verre voorloper van de computer is en dat er vast wel eens een handige Chinees of Romein mee zal hebben gesjoemeld. Het voorbeeld van de weefgetouwen van Jacquard uit het begin van de negentiende eeuw, die door ponskaarten werden aangestuurd en soms door wevers werden gesaboteerd, omdat die vreesden voor hun werkgelegenheid, komt al wat dichter bij onze digitale wereld. In Groot-Brittannië werden in die tijd zelfs heel wat mensen wegens machine breaking geëxecuteerd. En in 1958 vond de eerste echte computermisdaad plaats die tot vervolging leidde, toen een programmeur van een bank in Minneapolis wat extra programmaregels schreef om centsgewijs rente van langetermijnrekeningen af te romen, zo schreef Johannes Xingan Li van de Universiteit van Tallinn in 2017 in het International Journal of Criminal Justice Sciences.

In juridische zin bestaat het fenomeen in Nederland sinds 1 maart 1993, toen de Wet computercriminaliteit in werking trad. De term computervredebreuk deed toen z’n intrede in het Wetboek van Strafvordering. Ik vind dat nog steeds een wat koddige term – bij gebrek aan beter afgeleid van huisvredebreuk. Maar er zijn vast wel goede redenen om het zo te noemen, maar daar ga ik me nu niet in verdiepen. Ik wordt voor deze blog toch al het halve internet overgeslingerd.

Cybercrime bestaat al met al langer dan ik aanvankelijk dacht, maar het staat buiten kijf dat het nooit eerder in de geschiedenis zo’n omvangrijk probleem was – omvangrijk in termen van aantal daders, aantal slachtoffers en financiën. Als ik even focus op de slachtoffers, dan kom ik tot de conclusie dat cybercrime de meest democratische vorm van misdaad is. Zij maakt geen onderscheid tussen arm en rijk en geeft er niet om waar je woont, hoe je eruit ziet, hoe je je gedraagt enzovoorts. Omdat cybercrime vaak een schot hagel is (bijvoorbeeld bij phishing en ransomware), weet de dader vooraf niet wie uiteindelijk zijn slachtoffers worden. Er zijn trouwens steeds meer cybercriminelen die wél heel gericht te werk gaan en specifieke doelen uitzoeken waar zij een hoge opbrengst van verwachten. En ze spelen graag in op de actualiteit – kijk maar naar recente aanvallen op ziekenhuizen en het Europees Geneesmiddelenagentschap.

Hoe word je cybercrimineel? Ja hallo, dat ga ik je natuurlijk niet vertellen. Ik wil wel iets zeggen over omstandigheden waarin mensen er soms toe komen om voor dit vak te kiezen. Geldzucht ligt voor de hand, maar wat je ook vaak ziet is dat bollebozen in bijvoorbeeld Oost-Europa of Afrika niet legaal aan de bak komen en hun vaardigheden dan maar in het illegale circuit te gelde maken. Door een slechte arbeidsmarkt worden zij als het ware de criminaliteit ingeduwd. In Nederland is er een soort vangnet voor jonge hackers die dreigen af te glijden, “the Guild of Grumpy Old Hackers”. Een sympathiek initiatief om het tij te keren.

 

En in de grote boze buitenwereld …

• groeide cybercrime vorig jaar flink – met dank aan corona.
• heeft de politie een jonge cybercrimineel uit Almere veilig opgeborgen.
• wist de Duitse politie een grote illegale marktplaats te sluiten en de beheerder te arresteren.
• leven Nederlandse phishing-sites gemiddeld nog geen etmaal.
• zijn de Verenigde Naties gehackt – maar gelukkig waren het ethische hackers.
• had deze man nu rijk kunnen zijn, als hij dat ene wachtwoord niet was vergeten.
• maakten de bestormers van het Capitool computers buit met toegang tot geheime informatie.
• beweert iemand dat hij zich vrije toegang tot de Google-accounts van andere mensen zou kunnen verschaffen.
• kun je je Windows 10-computer eenvoudig vergrendelen door met je telefoon weg te lopen.
• heeft de Britse politie per ongeluk 150.000 arrestatierecords weggegooid. Vreemd dat het woord back-up niet in het artikel voorkomt.
• heeft een menstruatie-app stiekem gebruikersinformatie gedeeld met Facebook en Google.

 

Lege doos

Eindelijk wist ik iets om voor m’n lief onder de kerstboom te leggen. Met een paar muisklikken was het besteld en even later kwam de bevestiging. Het pakje zou de volgende dag bezorgd worden.

En inderdaad kwam de volgende avond de pakjesboot langs, zoals we dat bij ons liefkozend noemen. Ik raapte het pakje, dat de vrolijke bezorger coronaproof op de deurmat had gelegd, op, zwaaide naar de bezorger, die alweer in zijn bestelbus zat, en keek geschrokken of mijn naam wel op het pakje stond. Dit doosje kon namelijk onmogelijk mijn bestelling bevatten – daar was het te dun en te licht voor. Mijn naam stond er wel degelijk op, en de afzender was het bedrijf waarvan ik een pakje verwachtte.

De doos was nagenoeg leeg. Er zat alleen een wikkel in waar het bestelde product in had kunnen zitten, en een kortingsbon voor een volgende bestelling. Ik was niet bang dat ik was opgelicht, want ik had mijn bestelling bij een bekend, in Nederland gevestigd bedrijf geplaatst. Ik ging ze meteen bellen. Mijn verhaal werd welwillend aangehoord en mij werd verzekerd dat ze “de klant op zijn woord geloven”. Er werd gevraagd of ik foto’s van de verpakking kon opsturen. En ook van die kortingsbon, want ze stuurden nooit kortingsbonnen mee. Heel vreemd. Ze zochten zelf via de track & trace-code het gewicht van het pakje op. Dat was 140 gram: het gewicht van hetgeen ik had ontvangen, zonder de gewenste inhoud.

De volgende dag kwam er al een mailtje dat ze het opnieuw gingen proberen. Deze keer kwam het niet vanuit een of ander centraal magazijn. Nee, het werd per fietskoerier vanuit hun plaatselijke winkel verzonden en dat ging goed, waardoor kon ik het cadeau netjes onder de kerstboom leggen.

De vraag blijft natuurlijk: waar ging het mis? Het lege pakje was intact, dus de bezorger valt af als actor. Dan moet er bij het inpakken iets gebeurd zijn. Ik kan twee dingen bedenken. Eén: de inpakker realiseerde zich dat de doos te klein was, wilde een grotere regelen, werd door iets of iemand afgeleid en plakte per ongeluk de lege doos dicht. Twee: de inpakker heeft het product achterovergedrukt. Maar waarom dan een lege doos opsturen? Misschien is het logistieke proces van dat bedrijf wel zo ingericht dat anders gesignaleerd zou worden dat een bepaalde bestelling nog niet was verzonden. Bij scenario 1 blijft overigens de vraag waar het product, dat niet in de doos bleek te passen, is gebleven. Ergens achter gevallen?

Deze keer is het goed afgelopen en kerstmis was gered. Nou ja, dat klinkt dramatischer dan het was: het ging om een aardigheidje voor erbij, een extraatje. Dat maakte het voor de leverancier ook vrij gemakkelijk om mij ter wille te zijn. Maar wat als zoiets bij een kostbaar product gebeurt? Als je een beetje googelt, dan kom je er al gauw achter dat pakjes wel vaker leeg aankomen, maar in de beschreven gevallen is er eigenlijk altijd sprake van een beschadigde verpakking. Ik lees dat het juridisch zo is dat het risico bij de verzender ligt tot het moment dat de ontvanger de zending in bezit heeft gekregen. Maar ja, als je een intact pakketje krijgt, dan ga je dat niet in het bijzijn van de bezorger openen om te controleren of er wel iets in zit.

Gelukkig had ik zaken gedaan met een bonafide bedrijf dat bovendien mijn verhaal geloofde. Maar helaas is het internet net als het echte leven: er zijn ook malafide bedrijven, en mensen die – soms terecht – achterdochtig zijn; op winkeliersfora tref je berichten aan van handelaren die zich afvragen hoe ze met dergelijke situaties moeten omgaan.

Als je zelf iets wilt bestellen bij een bedrijf dat je nog niet kent, is het raadzaam om de reputatie van dat bedrijf te checken. Bijvoorbeeld op de website van de politie, via de knop Controleer verkopergegevens. Daar kun je websites, telefoonnummers, bankrekeningnummers en e-mailadressen controleren. Daarnaast kun je googelen op bijvoorbeeld bedrijfsnaam ervaringen of bedrijfsnaam reviews. Op die manier kwam ik er onlangs achter dat ik dat leuke T-shirt, waar ik steeds reclame voor kreeg, maar beter niet kon bestellen: slechte kwaliteit, bedrijf amper bereikbaar, waardeloos retourbeleid. Maak gebruik van je controlemogelijkheden om teleurstelling te voorkomen.

 

En in de grote boze buitenwereld …

• kan een rancuneuze medewerker je bedrijf ook nog na zijn ontslag flinke schade berokkenen.
• wordt T-Mobile best wel vaak gehackt.
• vervangt een Italiaanse telecomprovider de simkaart van klanten vanwege een datalek.
• zijn klantgegevens van de ANWB gelekt door een ransomware-aanval op hun incassobureau.
• is SASE (spreek uit: “sessie”) een term om in de gaten te houden. De C in het acroniem staat voor ‘cloud’.
• geven auto’s steeds meer forensische gegevens prijs. Dat heeft ook implicaties voor de privacy van de gebruikers.
• bevatten diverse apparaten van Zyxel (onder andere modems) een achterdeurtje, waar hackers actief gebruik van maken.
• is het niet handig om je netwerkdienst alleen bij criminelen aan te bevelen.
• zijn FIDO U2F-keys ontworpen als veilig middel voor multifactorauthenticatie. Maar nu blijkt dat je ze kunt klonen.
• beïnvloeden de maatregelen, die processorfabrikanten moesten nemen vanwege de Spectre- en Meltdown-kwetsbaarheden, de prestaties van hun producten.
• wordt de Nederlandse vaccinatiedatabase extra beveiligd na een hack bij het Europese geneesmiddelenbureau.