Syrian Electronic Army wijzigt dns-entries van Gigya-platform

De Syrian Electronic Army heeft door een wijzigingen in de dns-entries van inlogdienst Gigya bij registrar GoDaddy bezoekers van tal van grote websites doorgestuurd naar websites die in handen zijn van de hackers. De dns-entries zouden door GoDaddy inmiddels zijn gerepareerd.

Het Gigya-platform wordt gebruikt om internetgebruikers de mogelijkheid te geven om in te loggen op websites en reacties achter te laten. De Syrian Electronic Army, een groep die sympathiseert met het regime van president Bashar al-Assad, is er donderdag in geslaagd om de dns-entries van Gigya bij registrar GoDaddy aan te passen. Hierdoor werden sommige bezoekers van een aantal drukbezochte websites door middel van redirects doorgestuurd naar websites van de hackersorganisatie. Ook kregen internetgebruikers javascript-pop-ups te zien waarin stond dat zij waren 'gekraakt'.

Onder andere de websites van Microsoft, Dell, Forbes, The Guardian, The Telegraph en La Repubblica zijn getroffen door de aanval op GoDaddy. Inmiddels hebben GoDaddy en Gigya de dns-entries weer hersteld, al kan het door de opzet van het dns-systeem enige tijd duren voordat het probleem geheel is verholpen.

De Syrian Electronic Army is sinds 2011 actief. Het hackerscollectief slaagde er begin dit jaar in om gebruikersdata te stelen bij Forbes en heeft het vaker dns-entries van bedrijven en organisaties aangepast.

Door Dimitri Reijerman

Redacteur

Feedback • 27-11-2014 15:16 15

27-11-2014 • 15:16

15

Lees meer

Syrian Electronic Army steelt miljoen gebruikersgegevens na inbraak Forbes
Syrian Electronic Army steelt miljoen gebruikersgegevens na inbraak Forbes Nieuws van 15 februari 2014
Syrian Electronic Army breekt in op Microsoft-blog en Twitter-account
Syrian Electronic Army breekt in op Microsoft-blog en Twitter-account Nieuws van 12 januari 2014
Hackers nemen blog en accounts op sociale media van Skype over
Hackers nemen blog en accounts op sociale media van Skype over Nieuws van 2 januari 2014
Twitter en NYT kampten met dns-hacks Syrian Electronic Army
Twitter en NYT kampten met dns-hacks Syrian Electronic Army Nieuws van 28 augustus 2013
Hackers kraken Outbrain-aanbevelingsdienst
Hackers kraken Outbrain-aanbevelingsdienst Nieuws van 15 augustus 2013
Apps van Sky in Google Play waren niet gehackt
Apps van Sky in Google Play waren niet gehackt Nieuws van 27 mei 2013
Hackers uploaden gemodificeerde apps van Brits mediabedrijf naar Google Play
Hackers uploaden gemodificeerde apps van Brits mediabedrijf naar Google Play Nieuws van 26 mei 2013
Anonymous hackt Syrische overheidswebsites
Anonymous hackt Syrische overheidswebsites Nieuws van 26 september 2011
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (15)

-Moderatie-faq
15
14
6
3
0
1
Wijzig sortering
Cartman! 27 november 2014 15:33
Wij beheren hier een aantal sites die werken met Gigya en vanaf 13.50 (NL tijd) zie ik van alles in de logs en om 14.10 was het weer voorbij, echter lopen de logs nu weer vol dat de hosts bij Gigya weer onbereikbaar zijn. Ik denk dat het nog niet helemaal voorbij is dus.

update: dat gigya hosts onbereikbaar zijn ligt er aan dat ze bij AWS nameserver de host niet meer willen resolven. Tijdelijk gewijzigd naar Google nameservers en daarmee werkt het weer.

[Reactie gewijzigd door Cartman! op 23 juli 2024 05:19]

w0utje89 @Cartman!27 november 2014 15:41
ik was in de console bezig en vanaf 12 uur NL tijd begon deze al raar te doen. Ging toen naar www.gigya.com wat inmiddels een directory listing was geworden. Er stond hier één bestand: 404.shtml met de inhoud: alert("You've been hacked by the Syrian Electronic Army(SEA)");

had toevallig net email contact met de support, dus maar even gevraagd of ze werden gehacked..

rond 12.45 gingen de javascripts raar doen..
SinergyX 27 november 2014 15:33
Maar wie of wat is nu precies 'gehacked'? DNS wijzigingen lijken me dus gevalletje nameservers van GoDaddy, maar hebben ze Gigya gehacked om inlog te verkrijgen van GoDaddy ligt dus de hack weer bij Gigya.
Verwijderd @SinergyX27 november 2014 18:41
Klinkt niet als een hack van een van deze bedrijven, maar eerder iets als phishing of Social engineering om de inloggegevens te achterhalen, wat deze groep wel meer doet.
Verwijderd @SinergyX27 november 2014 16:31
Nou, nogal wat: "...de websites van Microsoft, Dell, Forbes, The Guardian, The Telegraph en La Repubblica zijn getroffen door de aanval..."

Het bericht is wel een beetje summier gezien het grote belang en reikwijdte van de aanval, betrouwbare DNS is wel belangrijk.
ninosm1 27 november 2014 18:05
Als Syriër heb ik het volgende te zeggen:

" De Syrian Electronic Army, een groep die sympathiseert met het regime van president Bashar al-Assad"

"regime" moet veranderd worden in "regering".
houseparty @ninosm127 november 2014 18:56
Want?

Met "regime" wordt in bestuurlijke betekenis meestal een dictatuur bedoel. Bijvoorbeeld een absolute monarchie, een autocratie, een eenpartijstaat, een militaire junta, een totalitaire dictatuur, enz, enz.

Aan welke zijde van dat conflict je ook staat, het is niet incorrect om de regering van Assad (in het verleden en heden) als regime te bestempelen.

@ hieronder:

Serieus?


Toegegeven, sinds in 2012 een nieuwe grondwet van kracht is geworden gaan ze in ieder geval de goede richting op. Jammer alleen dat het in Syrië sinds maart 2011 zo'n onoverzichtelijke rotzooi is, waar niemand beter van wordt.

Echter:

In de oude grondwet was wel degelijk zeer uitgebreide macht aan de president toegewezen, wat aanzienlijk versterkt werd door het feit dat tot 2011 (sinds 1963) in Syrië een "state of emergency" gold. Welke er onder meer voor zorgde dat een groot deel van de constitutionele bescherming van burgers en maatschappij niet gewaarborgd was. Zo hoefden bijvoorbeeld wetten en maatregelen die de president voordroeg niet perse door het parlement hoefden te worden goedgekeurd om toch van kracht te worden.
Tevens was in de oude grondwet wel degelijk letterlijk vastgelegd dat de Syrische Ba'ath partij de maatschappij én de staat leidt, en werden alle (behalve sporadische uitzonderingen die er wellicht geweest zijn) van belang zijnde functies ingevuld door leden en/of aanhangers van de Ba'ath partij, of andere gelieerde satelliet partijen (ook deel uitmakend van het Nationaal Progressief Front).

Uit het bovenstaande zou je kunnen afleiden dat het wel degelijk een eenpartijstaat was, waarbij de president autocratische macht had. En zowel de president als de partij waarvan hij de top van de piramide was vertoonden wel degelijk sterk totalitaire neigingen.

En de "verkiezing" waarbij Bashar al-Assad werd verkozen als opvolger van zijn vader Hafez al-Assad was natuurlijk een farce. Geen tegenkandidaten, enkel een voor of tegen stem, en een oppositie geen toestemming noch middelen krijgt om een campagne te voeren. Zijn herverkiezing in 2007 was hetzelfde geval. Dat heeft in geen velden of wegen niets met democratie te maken.

[Reactie gewijzigd door houseparty op 23 juli 2024 05:19]

Edgarz @houseparty27 november 2014 19:34
Volgens je eigen definities heb je ongelijk.
Het is geen (absolute) monarchie => Assad is geen koning, keizer of id.
Het is geen autocratie => Assad is staatshoofd met een regering, premier en parlement etc. Je kunt dit spiegelen aan het democratisch gehalte in NL, maar vanuit die optiek neigt de VS ook naar een oligarchie (Bush nr. 3 komt er aan) maar toch wordt dat als democratie pure sang gezien.
Het is geen eenpartijstaat => oppositiepartijen bestaan en zijn verkiesbaar
Het is geen militaire junta => het leger regeert niet
Het is geen totalitaire dictatuur.

Vanuit westers perspectief is het democratisch gehalte anders. Maar dat maakt het nog geen regime. Vooral niet als Syriër zelf (wellicht niet allemaal maar dat hoeft ook niet) dat ook niet zo zien.
Fbarmentlo 27 november 2014 15:29
ook de website van Dell had hier last van, maar dit lijkt weer verholpen

edit : gaat het hier enkel om een DNS-wijziging, of is er ook risico voor de bezoekers van betreffende website(s)?

[Reactie gewijzigd door Fbarmentlo op 23 juli 2024 05:19]

Whatts @Fbarmentlo27 november 2014 15:39
Als ze drive-by malware serveren wel, je bezoekt ook immers een andere site als je van plan was.
w0utje89 27 november 2014 15:20
wij hebben nu nog steeds problemen..
Zilla 27 november 2014 15:27
vandaar dat ik op itworld een melding kreeg dat je gehacked was door deze groep.
Verwijderd 27 november 2014 16:48
iedere keer godaddy, misschien tijd die ook te lozen?
Freeze-Oh 1 december 2014 09:24
Laatste info direct van Gigya:

Event

At approximately 6:45 AM EST on November 27, 2014, we identified an issue with our domain registrar. An initial inquiry revealed that there was an unauthorized access at our domain registrar that resulted in the redirection of some CDN related DNS records, for a subset of users, to a malicious address controlled by the attackers.

Scope

All of our customers were likely impacted at some level, but due to the time DNS changes take to happen, we estimate that 20% of end users were affected.

DNS is a cache-based system governed by TTL settings. As long as the TTL has not expired the DNS server will not fetch an update. This behavior played in our favor when the hackers changed the registration and that is the reason most users were not affected.

Neither Gigya’s platform itself nor any user, administrator, or operational data was compromised. Additionally, SSL certificates were not compromised. Although Gigya services would not have been functional, HTTPS pages would not have been exposed to resources hosted on the attacker's servers due to failed SSL negotiation.

Root Cause

A Gigya administrator email account was compromised via an attack that bypassed multiple security measures. This exploit was then used to employ the password reset option of our domain registrar to send a password reset link to the compromised email account.

From there they modified the domain registration settings to use the attackers’ own DNS service which was configured to point certain service domains to a server controlled by the attackers. On that server, the attackers placed a file called socialize.js, which was used to display an alert to the end user.

Update to November 27, 2014 Event
At approximately 6:45 AM EST on November 27, 2014, we identified an issue with our domain registrar. An initial inquiry revealed that there was an unauthorized access at our domain registrar that resulted in the redirection of some CDN related DNS records, for a subset of users, to a malicious address controlled by the attackers.

Final Resolution
As the NS records were corrected at 7:40 AM EST on Thursday, November 27, 2014 and it has now been 48 hours, all DNS servers worldwide should now be updated and no further issues are expected.

Recommended Actions
We recommend that all sites now reference http(s)://cdn(s).gigya.com/js/gigya.js instead of socialize.js in order to work around any residual browser caching for users who experienced the attack. Please see the FAQ for more information.
Again, to be absolutely clear: neither Gigya’s platform itself nor any user, administrator or operational data has been compromised and was never at risk of being compromised. Additionally, SSL certificates were also not compromised.

FAQ
We have posted an FAQ for Thursday's service attack on the incident event report inside the Admin Console.
To view the FAQ:
• Log into the Admin Console
• Go to the "Support" link at the top right
• Click the "Service Status" link at the bottom of the form

Final Update
This will serve as the final notification regarding the event. All other updates will be posted to the FAQ.
We sincerely apologize for the disruption of service. We will continue to aggressively pursue additional security measures and assist our customers with issues related to this incident.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq