De coronapandemie hield de samenleving ook in 2021 stevig in zijn greep. Toch was 2021 ook het jaar van talloze beveiligingslekken, privacyschandalen en cybercriminelen. Niet alleen Jan met de pet werd getroffen, want ook grote techbedrijven konden niet altijd voorkomen dat gegevens uitlekten. Van een beveiligingslek waarmee onbevoegden toegang krijgen tot het interne geheugen van een HP-printer tot mensen die meekijken met een smartphonecamera: deze beveiligingslekken ontsierden 2021.
Toegang tot het interne geheugen van HP-printers
Eind november werd bekend dat beveiligingsonderzoekers verschillende lekken hadden gevonden in maar liefst 150 verschillende HP-printers. Via het lek was het mogelijk om de gegevens van de printer te lezen en om toegang te krijgen tot het netwerk. Vooral bij multifunctionele printers met een eigen geheugen was het risico op privacy-inbreuken groot, omdat zulke printers bijvoorbeeld scans in het interne geheugen bewaren. Men zou zo bijvoorbeeld een scan van een paspoort kunnen bemachtigen.
Op de lijst met getroffen producten zijn vooral zakelijke modellen terug te vinden, zoals de HP Color LaserJet Enterprise M652 en de HP Color LaserJet Enterprise MFP M681. Populaire consumentenprinters als de HP DeskJet 3056A zijn niet getroffen. De HP DeskJet 3056A is een alles-in-eenprinter die wordt gebruikt in combinatie met de veelgebruikte inktcartridges HP301.
Meekijken en -luisteren bij Apple-smartphones
Ook bij Apple was het eerder dit jaar alle hens aan dek. Cybersecuritywaakhond CitizenLab had Apple ervoor gewaarschuwd dat Pegasus op Apple-apparaten kon indringen. Met deze spyware is het mogelijk om tekstberichten en mails te onderscheppen, mee te luisteren via de microfoon of mee te kijken via de camera.
Het bedrijf achter de Pegasus-software kwam eerder in 2021 onder vuur te liggen, omdat de software ook werd gebruikt om journalisten en staatshoofden te schaduwen. Het lek bij Apple werd omschreven als de heilige graal, omdat gebruikers helemaal niks hoeven te doen om de spyware te doen werken. Ze hoeven zelfs niet op een link te klikken of een programma te downloaden. Na het bericht heeft Apple in allerijl de update iOS 14.8 uitgebracht om het lek te dichten.
Beveiligingslek bij de Apache Log4j-software
De Apache Log4j-software wordt veelvuldig gebruikt in zakelijke systemen en webapplicaties. Halverwege december werd er een hiaat in het systeem ontdekt, waarmee aanvallers onder andere de rechten van webservers konden misbruiken.
Dit programma wordt gebruikt om zogeheten logs bij te houden, logbestanden die verschillende soorten informatie kunnen bevatten, zoals errormeldingen. Volgens experts zorgen cybercriminelen ervoor dat er een stukje code in zo’n logbestand wordt opgeslagen, waarna de webserver deze code uitvoert. Op deze manier kan men bijvoorbeeld malware verspreiden of toegang krijgen tot de server. Deze code kan op verschillende manieren in een logbestand terechtkomen en soms gaat dat kinderlijk eenvoudig. Bij het spelletje Minecraft worden bijvoorbeeld gebruikersnamen gelogd. Door de schadelijke code als gebruikersnaam in te stellen, komt de code in het logbestand terecht.
Het CCB (Centrum voor Cybersecurity België) geeft aan dat cybercriminelen actief zoeken naar kwetsbare systemen die ze kunnen uitbuiten. De software is heel wijdverspreid en zelfs de systemen van grote organisaties als Apple, Amazon en Twitter liepen enige tijd gevaar. In Nederland zorgde het lek er zelfs voor dat de KvK (Kamer van Koophandel) de website en de diensten tijdelijk offline haalde, uit vrees voor aanvallen.