@ de eindgebruikers,
Het is natuurlijk goed een overzicht te hebben van alle accounts waar je je ooit op hebt ingeschreven
en dan daarvan bij die die je wil behouden de accountgegevens te vernieuwen (account en/of wachtwoord veranderen).
Regelmatig is er sprake van een lek hier en daar of wordt er een forum gehackt.
De nieuwste l33t hackers hebben de titel onderzoeker of analist en moeten iets ontdekken dus.
Zo werden bijvoorbeeld in 2014 alle accountgegevens van het MBAM forum buitgemaakt.
Men had het zo slecht op orde daar, dat men een half jaar lang voor gebruikers met een crack versie
het gebruik van de software legaal moesten maken, omdat men ze niet kon checken tegen de juiste legitieme versies
van de software. Ja hier en daar heerst incompetente chaos. We weten het, maar realiseren het ons niet altijd!
Check dus eens hier: https://unroll.me/ of hier: https://haveibeenpwned.com/
Niet doen als u over-paranoïde bent en juist dan vreest spam te ontvangen of in een of andere database te verdwijnen,
Dan blijft u daar weg en leunt u niet op '3rd party' scanning resultaten, maar op de eigen beveiligingsmaatregelen.
Je gegevens zijn waarschijnlijk al via legio veilige en onveilige trackers verspreid of verkocht. Hallo!
Bij het openen van een pagina bij de telegraaf bij voorbeeld springen er al direct meer als zestig op je (browser) nekkie.
In het geval van Cloudbleed heb ik of liep ik enigszins gevaar bij 31 data verzamelaars, te weten:
AdF.ly Amazon bitly Google
Disqus DoubleClick eStat Facebook
Foursquare InfoLinks Krux Digital LinkedIn
Marin Software MaxMind Microsoft adCenter Po.st
Project Wonderful Reddit Semasio Simpli.fi
Skimbit Ltd TraceMyIP Tumblr Twitter
Tynt Typepad Stats UserVoice VigLink
Improve Digital Platform161 MixPanel
De meeste ervan worden direct geblokt door mij via uMatrix en een goede adblocker en firehol.
Maar als we weten dat een Russische adblocker service als Adguard ook getroffen werd door de CloudFlare datableed,
dan zit uwes daar mooi mee. Het zit wellicht inmiddels bij iemand elders in de cache. (c3rb3r.opennet etc?).
Conclusie vertrouw dus never nooit iets "in de blind" op het Internet en check ook eens zelf.
Wat werd er bijvoorbeeld o.a. getest voor de stand van zaken rond SSL?
Qualys SSL labs score?
- High Tech Bridge HTTPS score?
- High Tech Bridge web security score?
- HTTPS implemented?
- DNSSEC implemented?
- HTTP Strict Transport Security Policy implemented?
- Weak cyphers support?
- CSP implemented?
- Unknown jQuery security updates?
- HTTPOnly Security not being set for cookie?
- live-Twitter Javascript code?
- Google Analytics active?
- Live Google advertising?
- Live Google Javascript Code?
- Type HTTP redirect?
- Wildcard Certificate or veel domainnamen in certificaat?
- Extended Validation Certificate?
- Certificate Transparency Certificate?
- Perfect Forward Security supported?
- HSTS Preloading vulnerability?
- X-Frame Options implemented
- X-Powered by Header?
- Autocomplete set at password field (nu overleefd)?
- Same Site Protection not set for cookie?
- Publication of Technical Info?
- Client-Initiated-Secure-Renegotiation supported?
- Subresource Integrety (SRI) implemented?
- TLS 1.0 supported?
- Vulnerable to BEAST attack?
- Vulnerable to DROWn attack?
- OCSP Alert Sample configured?
- Public-Key-pinning implemented? (zie link, schijnt dood te zijn)
- X-XSS-Protection implemented?
- X-Content-Type-Options implemented?
Scan voorbeeld, de vereiste info credits gaan in dit geval naar security researcher, Sijmen Ruwhof.
Hoe hou je het veilig? Doe het vooral voor een beetje verbetering van de onveilige infrastructuur.
"Oh, baby, baby, it's a wild world". zongen we in de jaren 60 en er is niets veranderd wat dat betreft.
Vooruit, security.nl, en gaan met die banaan!
luntrus