Notepad++ reageert op vragen bezorgde gebruikers: 'editor zelf niet gehackt'
Ontwikkelaar van Notepad++ Don Ho is na de hack waarbij malafide updates onder gebruikers werden verspreid met aanvullende informatie gekomen. Volgens Ho heeft hij naar aanleiding van het beveiligingsincident veel vragen van bezorgde gebruikers ontvangen. Aanvallers wisten maandenlang onder gebruikers van de editor, die vooral populair is bij software-ontwikkelaars, updates te verspreiden die een backdoor installeerden.
Ho stelt dat Notepad++ zelf niet is gehackt, maar de aanvallers misbruik maakten van een probleem in de auto-updater van de software, WinGup. Doordat de aanvallers de infrastructuur van de hostingprovider hadden gehackt konden ze hier misbruik van maken en de malafide updates onder gebruikers verspreiden. Inmiddels is Ho voor Notepad++ naar een andere hostingprovider overgestapt.
Verder laat de ontwikkelaar weten dat de meeste gebruikers zich geen zorgen hoeven te maken. De aanvallers kozen doelwitten alleen op basis van strategische waarde, voegt Ho toe. Voor de meeste gebruikers volstaat het dan ook om naar de laatste versie te updaten om veilig te zijn, aldus de ontwikkelaar. Afsluitend merkt hij op dat het beveiligingsprobleem volledig is verholpen en het veilig is om Notepad++ te gebruiken.
Wat een vreemde reactie. Open Source komt óók overal en nergens vandaan. Je Flatpakje bestaat uit tig libraries waarvan sommige zelfs niet boven hobbyniveau uitkom
en. Je browser ook. Je installeert ook honderden kleine of minder kleine tools op een doorsnee linux, net als nog meer libraries. En met WinGet of Chocolatey kun je je software uit 1 repo downloaden als dat het issue is. Choco Pro kan zelfs malware scanning etc voor je doen.
Dan zullen we het maar niet hebben over de Linux dependencies die met duizenden tegelijkertijd worden gedownload ;-).
We zijn op een punt aangekomenn dat software nauwelijks meer veilig te krijgen is. Er kan zóveel mis gaan, het is wachten op de volgende hack.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?