Hackers stelen Europees klantenbestand bij hoster OVH

Hackers hebben zichzelf toegang verschaft tot het interne netwerk van het Franse hostingbedrijf OVH. Daarbij hebben de hackers het Europese klantenbestand van de hoster buitgemaakt, waarin onder andere naw-gegevens en telefoonnummers staan.

OVH heeft het incident naar zijn klanten gecommuniceerd en ook een verslag op zijn site gezet. Daarin is te lezen dat de hackers eerst toegang kregen tot het e-mail-account van een van de systeembeheerders, waarna ze verbinding konden maken via het vpn-account van een andere medewerker. Via de vpn-verbinding werd vervolgens het account van een andere systeembeheerder bemachtigd waardoor de hackers toegang kregen tot het interne backoffice van de hoster.

Intern onderzoek wijst er volgens de hoster op dat de hackers vervolgens het Europese klantenbestand buitgemaakt hebben. Hierin staat van elke klant onder meer de naam, adresgegevens, telefoonnummer en het wachtwoord in versleutelde vorm. OVH gebruikt hiervoor sha-512-hashes in combinatie met een salt. Hoewel dit de wachtwoorden goed zou moeten beschermen tegen brute-force-aanvallen, adviseert OVH zijn klanten toch om hun wachtwoord uit voorzorg aan te passen. De hoster benadrukt dat er geen creditcardgegevens buitgemaakt zijn.

Ook hebben de hackers toegang gehad tot het server-installatiesysteem dat in Canada staat. Hier zou een ssh-sleutel buitgemaakt zijn die door OVH gebruikt wordt voor support richting gebruikers. Daarmee zou het mogelijk zijn om root-passwords op systemen te achterhalen. Uit voorzorg heeft OVH het wachtwoord gewijzigd bij systemen die de sleutel gebruikten en nog een standaard password ingesteld hadden.

De hoster zegt meteen maatregelen genomen te hebben om dit soort situaties in de toekomst te voorkomen. Zo hebben alle medewerkers een nieuw wachtwoord gekregen, kunnen e-mails nog enkel fysiek op kantoor of via een vpn gelezen worden en moeten gebruikers die toegang hebben tot waardevolle data zich op drie niveaus identificeren: op basis van ip, met een wachtwoord en met een fysieke usb-sleutel.

Lees meer

IT-banen

Reacties (32)

ErikKo 23 juli 2013 08:50

Zo hebben alle medewerkers een nieuw wachtwoord gekregen, kunnen e-mails nog enkel fysiek op kantoor of via een vpn gelezen worden en moeten gebruikers die toegang hebben tot waardevolle data zich op drie niveaus identificeren: op basis van ip, met een wachtwoord en met een fysieke usb-sleutel.

Prima maatregel na zo'n hack, dat hoor je eigenlijk maar zelden. Toch blijft het typisch dat bedrijven dit soort maatregelen pas nemen zodra de schade al is aangericht.

Gertjuhjan @ErikKo • 23 juli 2013 08:58

Beveiliging is altijd een tradeoff tussen geld, maatregelen en gebruikersgemak.
Ik vind dat de hackers een aardig omweg hebben moeten maken om in te breken. Je kan je niet tegen alles beveiligen en ze zullen deze situatie, of niet hebben bedacht of ze hebben gekozen voor gebruikersgemak. (mensen kunnen vanuit thuis op de email).
Ik vind het zelf hulde dat het bedrijf dit communiceert naar klanten en ook direct aanpassingen gaan doen om dit soort situaties te voorkomen.

Ja, je NAW gegevens liggen op straat, maar die zijn ook terug te vinden in de telefoongids.

flipthegreat @Gertjuhjan • 23 juli 2013 09:08

Niet iedereen staat in de telefoongids.

Overigens ben ik ook klant daar maar geen mail of wat dan ook gekregen. "OVH heeft het incident naar zijn klanten gecommuniceerd"

Crotchy @flipthegreat • 23 juli 2013 10:05

Ook ik ben klant bij OVH en heb zelf ook geen mail ontvangen.

Zijn wel lekker bezig daar bij OVH,aangezien ze daar alles van mij hebben.

OVH verwacht dat hun klanten zowat al hun informatie opsturen voordat ze daadwerkelijk klant kunnen worden.
Zoals een scan van je legitimatie, rekening waarmee je kunt bewijzen dat je daadwerkelijk in een bepaald land woont, enzovoort.

Slechte zaak dat een bedrijf dat zulke privacy gevoelige informatie van hun klanten vereist en verzamelt, er dan ook nog zo laks mee omgaat.

Off-topic:
Heb zowiezo genoeg klachten over OVH, probleem is dat er geen andere hosts te vinden zijn die voor zulke prijzen zo'n servers aanbieden.

Arietje @Crotchy • 23 juli 2013 10:11

Apart, ik heb geen legitimatie of rekeninggegevens op hoeven sturen destijds (aantaal jaar geleden). Heb gisteren avond wel een mail gekregen (http://nopaste.nl/A6PsDrZdYs)

Plofkotje @Crotchy • 23 juli 2013 14:33

Ik ben al jaren OVH klant, doe veel zaken met ze en ze hebben nog NOOIT om dat soort informatie van mij gevraagd hoor... Vreemd..

Verwijderd @Crotchy • 23 juli 2013 18:46

Hier ook bij OVH, niks gehoord... Beetje slecht.

edit: Ondertussen wel 20:43

[Reactie gewijzigd door Verwijderd op 24 juli 2024 00:56]

Woutske @Crotchy • 24 juli 2013 07:19

Een zeer goed alternatief in mijn ogen is het Duitse bedrijf Hetzner. Waar OVH direct dreigt je uit haar datacenter te gooien bij een inkomende aanval stelt Hetzner een onderzoek in en wordt je hoogstens genullroute als het een probleem wordt voor de switches.

Qua support vind ik Hetzner ook beter, geen half-nederlands/engels/franse website waar je uren moet zoeken voordat je weet waar je Dedicated server kan worden opgezegd

- Alleen ervaring met Dedicated Servers -

Arietje @Woutske • 24 juli 2013 11:00

Dedicated servers bij OVH moet je actief verlengen, anders verloopt hij gewoon. Dus als je een opzegknop niet kan vinden dan klinkt dat wel logisch ja

Cypher87 @flipthegreat • 23 juli 2013 10:29

Dan ben ik gelukkig niet de enige die geen mail heeft gehad.
Ik heb daar een aantal domeinnamen geregistreerd. Ik hoop dat ik nog een mail van ze krijg, ik had namelijk al geen hele hoge pet van ze op. De mails die ze versturen staat altijd vol met vertaalfouten, nog maar niet te spreken over het adminpanel.

Anywho, jammerlijke zaak. Ze hebben blijkbaar meerdere lagen van security weten te omzeilen zonder dat er ook maar ergens een alarmbelletje is afgegaan.

Voordeel, ze leren er wel weer van.

Dennahz @flipthegreat • 23 juli 2013 12:03

Ik ben ook klant bij OVH en heb wel een mail gekregen.

Hello,

Recently, we have discovered a security incident on our internal network at OVH's headquarter.
We have immediately secured the infrastructure and started an investigation.
We discovered that the database holding European customers's data could have been illegally copied.
This database includes the following information:
first and last name, NIC, address, city, country, telephone and fax number, and the encrypted password.
Credit card information are not stored by OVH and have not been accessed.

Even if your password encryption is very strong, we encourage you to change it as soon as possible.

To learn more on the security incident:

http://status.ovh.net/?do=details&id=5070

Regards,

OVH Customer Support

From Monday to Friday: 8am - 8pm
Saturday: 9am- 5.30pm

Gisteravond om 23.38 al. Zeer netjes van hun.

Benne @flipthegreat • 23 juli 2013 14:00

Ik heb 23-7-2013 om 1:20 mail gehad van OVH hierover.
Raar dat blijkbaar niet alle klanten dan mail hierover hebben gekregen.

dakka @flipthegreat • 23 juli 2013 15:42

ik ben ook klant, maar ik heb gister om 4 uur in de nacht een mailtje gekregen

kritischelezer 23 juli 2013 08:47

De ketting is zo zwak als de zwakste schakel.
De genomen maatregelen om email te beschermen zal men standaard moeten invoeren, alleen toegang met meervoudige identificatie.

[Reactie gewijzigd door kritischelezer op 24 juli 2024 00:56]

The Zep Man

Internet

@kritischelezer • 23 juli 2013 09:46

De genomen maatregelen om email te beschermen zal men standaard moeten invoeren, alleen toegang met meervoudige identificatie.

Het verhaal vertelt niet hoe de hackers toegang hebben gekregen tot het e-mailadres van de betreffende systeembeheerder. Meervoudige authenticatie biedt geen bescherming wanneer de hackers toegang hebben tot (het gebruik van) alle geheimen. Je weet hierom niet hoeveel energie de hackers hierin hebben gestoken.

Neem bijvoorbeeld wachtwoord + one-time password via SMS. Met Android malware is het mogelijk om SMS berichten te onderscheppen zonder fysiek toegang te hebben tot de telefoon. Een alternatief is gewoon malware op de PC van de systeembeheerder hebben waarmee de mailbox via de lokale omgeving (inclusief VPN) op afstand beheerd kan worden, ongeacht welke authenticatiemiddelen gebruikt worden.

Uit het artikel:

(1) Daarin is te lezen dat de hackers eerst toegang kregen tot het e-mail-account van een van de systeembeheerders

(2) waarna ze verbinding konden maken via het vpn-account van een andere medewerker.

(3) Via de vpn-verbinding werd vervolgens het account van een andere systeembeheerder bemachtigd

(4) waardoor de hackers toegang kregen tot het interne backoffice van de hoster.

Dit is een best wel complex patroon en valt op. Met user behaviour-based access control had dit onderschept kunnen worden. Je moet niet alleen de front-end van je IT beveiligen, maar ook de back-end.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 00:56]

r2504 @The Zep Man • 23 juli 2013 13:43

Ik zie echt geen enkele relatie tussen 1 en 2 of 2 en 3... behalve zeer ernstige nalatigheid.

Stond in 1 soms het VPN paswoord van 2, en had 2 ergens het paswoord voor 4 ?

TheMe 23 juli 2013 08:51

Ik verbaas me over hoe open OVH is over de hack

it appeared that a hacker was able to obtain access to an email account of one of our system administrators. With this email access, they was able to gain access to the internal VPN of another employee. Then with this VPN access, they were able to compromise the access of one of the system administrators who handles the the internal backoffice

Dit zie ik KPN of welk Nederlands bedrijf nog niet zo helder uitleggen na een hack. Hier gaat de deur op slot na een incident, een ontkenning naar buiten en verder wel het advies om wachtwoorden te veranderen.

Lampie 23 juli 2013 09:28

Het is inderdaad een gevalletje kosten afweging. Als jij per maand een paar euro meer moet gaan betalen voor jouw abonnement om de extra beveiliging te betalen, denk jij wel even na voordat je een abonnement afsluit bij een bepaalde partij.
Ook het feit dat zij vanuit huis bij hun mail kunnen en dus extra service kunnen verlenen, heeft ook zo zijn nadelen..
De openheid van OVH hier over is te prijzen. _{En stiekem ook een beetje het vernuft van de hackers.}

Verwijderd 23 juli 2013 12:08

Leuk dat overigens dit mailtje net in m'n gmail spambox is beland. Dit lijkt mij een redelijk belangrijk mailtje. Ik ben blij dat OVH zo open is en ook vermeld welke vorm van beveiliging op de wachtwoorden zit. Bij veel andere bedrijven blijft het maar raden hoe veilig je wachtwoorden nou echt opgeslagen waren na een dergelijke inbreuk. Wachtwoord verder prima hebben kunnen resetten.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 00:56]

k2tec 23 juli 2013 15:40

Heb wel direct een mail gekregen, goede communicatie van OVH.
Helaas gebeurd dit op ieder niveau.
Zit ook bij Hetzner ook hier een aantal maanden geleden een mail gekregen, omdat daar ook de ww. waren gehackt.

Brother Lorien 23 juli 2013 08:52

Zo hebben alle medewerkers een nieuw wachtwoord gekregen, kunnen e-mails nog enkel fysiek op kantoor of via een vpn gelezen worden en moeten gebruikers die toegang hebben tot waardevolle data zich op drie niveaus identificeren: op basis van ip, met een wachtwoord en met een fysieke usb-sleutel.

Too little too late?
Men demp de put als het kalf reeds verdronken is?

Waarom leren bedrijven niet van dit soort meldingen en is het bijna altijd: "jammer....maar NU gaan we wat aan doen!"

NoUseWhatsoever @Brother Lorien • 23 juli 2013 08:57

Zo werkt het nu eenmaal; risico versus investering. Als het goed beveiligd is, ga je pas investering doen om het beter te beveiliging als blijkt dat goed niet goed genoeg is (ofwel door een incident, analyse of bijv een pentest). Er zal altijd een mate van geaccepteerd risico blijven bestaan want je kunt je nu eenmaal niet overal tegen beveiligen en nog steeds een goede en betaalbare dienst kunnen leveren.

Ik moet zeggen dat zoals ik in het artikel kan lezen de hoster de basis goed op orde had en snelle en adequate acties heeft genomen n.a.v. het incident.

[Reactie gewijzigd door NoUseWhatsoever op 24 juli 2024 00:56]

Krilo_89 @Brother Lorien • 23 juli 2013 09:08

Dan nog is dit één van de weinige bedrijven die zo open is en die er daadwerkelijk wat aan doet. Andere bedrijven zouden hier een voorbeeld aan moeten nemen. Duidelijk naar buiten en aangeven wat er gaat gebeuren.

In eerste instantie zou je het zelf ook niet leuk vinden als je constant die drie checks moest doorlopen voor je je mail kon lezen bijv.

En over 5 jaar zijn de hackers verder en kom je met dezelfde reactie aanzetten als ze gehackt zijn. Terwijl ze dan wel identificatie op 3 niveau's hebben (wat dan weer te weinig zal blijken).

Diabolical 23 juli 2013 09:23

Fijn.. site is in maintenance gezet... lastig om zo je wachtwoord te wijzigen....

Turbo_boy @Diabolical • 23 juli 2013 09:42

Probeerde het net (voor de maintenance) te veranderen maar krijg je volgende melding

Niet genoeg rechten op deze klant identificator (NIC)

Hier trouwens ook nog geen mail ontvangen.

lappro @Turbo_boy • 23 juli 2013 12:36

Ik heb zojuist m'n wachtwoord veranderd (ook al kreeg ik geen mail). Dus dat doet het nu wel weer.

Gelukkig gebruikte ik voor dat account al een password manager generated password, dus hoef gelukkig maar 1 wachtwoord aan te passen. Is er meteen weer bewijs geleverd dat zulk soort tools zeker meerwaarde hebben.

jdh009 23 juli 2013 09:17

Huur een dedicated server bij OVH maar heb geen enkel mailtje gehad over dit voorval. Het is dat ik het nu hier lees maar anders was ik het misschien nooit te weten gekomen. Zo vaak bezoek ik mijn control panel niet meer gezien de server toch lekker loopt. Hoop dat ze hier toch wat meer duidelijkheid over verschaffen.

oef! 23 juli 2013 16:02

Was dit niet een club waar een groot aantal seedboxen stonden? Het zou dan voor bepaalde justitiële instanties wel interessant worden om dit te hacken.

Op dit item kan niet meer gereageerd worden.

Hackers stelen Europees klantenbestand bij hoster OVH

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: