Door Erik Westhovens
password resetlinks publiek toegankelijk via VirusTotal
[Stein, 19-08-2025] – Het klinkt als een paradox: beveiligingsoplossingen die juist bedoeld zijn om organisaties te beschermen, veroorzaken in de praktijk een nieuw en ernstig beveiligingslek. Erik Westhovens, oprichter en CEO van Ransomwared, stuitte hier onlangs op tijdens een forensisch onderzoek naar recente Phishing-hacks.
Veel organisaties zetten software- en hardwarematige beveiligings scanners in om inkomende e-mails automatisch te controleren op malware, virussen en gevaarlijke phishinglinks, onder meer door verdachte links te toetsen tegen externe api’s zoals die van VirusTotal. Hoewel dit een effectieve manier lijkt om bedreigingen te detecteren, kan het in de praktijk leiden tot het onbedoeld lekken van zeer gevoelige informatie.
vendoren gebruiken public VirusTotal
Een concreet voorbeeld is het gebruik van wachtwoord-resetlinks of magische loginlinks en onetime passwords. Deze bevatten unieke tokens en/of codes die bedoeld zijn om tijdelijk toegang te geven tot accounts. Wanneer dergelijke links door een mailscanner automatisch worden geüpload naar de publieke database van VirusTotal, worden ze zichtbaar voor iedereen – inclusief cybercriminelen. In theorie kan een aanvaller zo rechtstreeks een resetlink van een Salesforce-omgeving of andere cloudapplicaties misbruiken om toegang te krijgen tot vertrouwelijke bedrijfsdata.
Essence compliance checks met Ransomwared AI
Tijdens een implementatie bij een klant van Essencee werd dit risico concreet zichtbaar. Mike Jansen, CEO van essencee, gebruikt het platform Ransomwared om compliance en NIS2 checks uit te voeren. Daarbij kwam aan het licht dat resetlinks daadwerkelijk opvraagbaar zijn via publieke threat intelligence-diensten. Westhovens onderzocht dit verder en bevestigde dat dit veroorzaakt werd door de manier waarop mailscanners links doorsturen naar VirusTotal Public.
“Bedrijven vertrouwen terecht op securitytools om hun gebruikers te beschermen, maar juist de combinatie van automatisering, de forse toename van AI-tools, en publieke threat intelligence kan averechts uitpakken,” aldus Westhovens. “De recente hacks op bedrijven als M&S, Harrods, CO-op en de Salesforce-hacks bij bijvoorbeeld KLM/AirFrance, Adidas, Dior en andere grote bedrijven, laten zien dat cybercriminelen steeds inventiever worden. Het is daarom cruciaal dat organisaties beseffen dat ook hun eigen beveiligingsprocessen een zwakke plek kunnen worden.”
Voer periodiek audits uit op de werking van securitytools en de data die zij delen met externe partijen.
De recente Salesforce-incidenten zijn een waarschuwing: niet alleen kwetsbaarheden in software, maar ook onbewuste datalekken via beveiligingstools kunnen deuren openzetten voor aanvallers. Organisaties die serieus werk maken van hun cyberweerbaarheid, moeten daarom verder kijken dan de aanval alleen – en ook hun eigen verdedigingslinies kritisch tegen het licht houden.
zie ook: LinkedIn
