Australische financiële waakhond meldt datalek na hack via Accellion-software

De Australische Securities and Investments Commission is getroffen door een datalek. Een van de servers van de toezichthouder is gehackt. Volgens de ASIC hield de hack verband met software van het Amerikaanse bedrijf Accellion.

De Australische toezichthouder is rond 15 januari getroffen door een hack, waarbij een nog onbekende partij toegang heeft gekregen tot een van de servers van de ASIC. Daarbij zijn waarschijnlijk gegevens buitgemaakt. Dat meldt de financiële marktwaakhond op zijn website.

De ASIC houdt toezicht op het bedrijfsleven en op financiële diensten in Australië, vergelijkbaar met de Nederlandse Autoriteit Financiële Markten. Volgens de ASIC is een enkele server getroffen. Bij de hack werd gebruik gemaakt van software van Accellion, dat toezichthouder gebruikt voor datadelen. Uit voorzorg heeft de marktwaakhond toegang tot de server uitgeschakeld en werkt het aan een alternatief. Volgens de ASIC is geen andere infrastructuur van de ASIC getroffen en zijn er geen kredietaanvraagformulieren geopend of gedownload.

De hack bij de veiligheidswaakhond is de tweede in korte tijd waar software van Accellion bij betrokken is. Twee weken geleden meldde de Centrale Bank van Nieuw-Zeeland ook slachtoffer te zijn van een hack. Hackers kwamen binnen via filesharingsdienst Kiteworks van Accellion. Ook het Australische advocatenbureau Allens werd via Accellion-software gehackt, schrijft The Sydney Morning Herald.

Kiteworks wordt gebruikt door verschillende banken, overheden en zorginstellingen, zegt Accellion op zijn website. Zo gebruikt bijvoorbeeld Rabobank Kiteworks. Volgens Accellion is de kwetsbaarheid al in december 2019 gedicht en roept het op om alle filesharingsoftware van het bedrijf te updaten.

Reacties (9)

3raser 26 januari 2021 13:43

Volgens Accellion is de kwetsbaarheid al in december 2019 gedicht en roept het op om alle filesharingsoftware van het bedrijf te updaten.

Dus men loopt daar gewoon ruim een jaar achter qua updates. Klinkt als een organisatie die zijn beveiliging serieus neemt.

densoN @3raser • 26 januari 2021 16:02

Zonder de details te kennen is dit nogal voorbarig. Misschien ging het wel om een server die voor een configuratiefout niet (goed) is gepatched. Misschien wordt de betreffende software door een derde partij onderhouden. Of heeft men de hack pas in Januari vastgesteld, maar loop het onderzoek nog en kan op dit moment nog niet worden vastgesteld hoelang het netwerk al is gecompromitteerd.

gehacked worden != security niet serieus nemen.

[Reactie gewijzigd door densoN op 26 juli 2024 02:24]

TheVivaldi @densoN • 26 januari 2021 16:37

Maar als updates niet worden toegepast door een fout, dan zie je dat er iets misgaat en ga je erachteraan. Soms kan dat i.v.m. tijd en budget wel even duren, maar een jaar en dan zeker bij zo'n kritieke instellingen als deze is wel érg lang.

densoN @TheVivaldi • 26 januari 2021 17:31

Je doet de aanname dat de fout zichtbaar is geweest voor de beheerders. Wat als er een fout in je automatisering zit waardoor je een false positive krijgt? Hoe vaak denk je dat de gemiddelde admin met het handje de configuratie van al z'n servers naloopt om te controleren of de resultaten uit zijn patchmanagement oplossing in lijn zijn met de praktijk?

Zo zijn er wel meer scenarios te bedenken waarbij de oorzaak niet het gevolg is van nalatigheid.

The Realone @densoN • 26 januari 2021 20:24

Afhankelijk van hoe serieus een bedrijf zijn IT neemt en het daarbij behorende budget beschikbaar stelt heb je dus een patch management systeem die voor jou de patch deployment in de gaten houdt, vulnerability scanning die rapporteerd of er known vulnerabilities aanwezig zijn (waar al dan niet een patch voor is) en controleer je dit steekproefgewijs.
Nu zal ik wel enorm geluk hebben gehad in al die jaren, maar ik ben nog nooit een systeem tegen gekomen die mij vertelde dat een patch geinstalleerd was terwijl die niet het geval bleek. Wel andersom, maar dan rapporteerde dat systeem simpelweg niet (of niet meer).

Overigens, hierbij gaat het specifiek om Accellion software. Ik ken het een beetje, maar patches van die server software is meestal niet iets wat je uitrolt d.m.v. patch management oplossingen. En tja, als Accellion jou een mail uitstuurt met de melding "ernstig lek in versie 1.0, dus update asap naar 1.1" je dubbel checked dat niet, dan ben je nalatig.

Renssanting @densoN • 26 januari 2021 16:19

In alle door jouw genoemde scenario's blijft het feit dat de software een jaar achter liep met updates.
Tevens mag je er van uit gaan dat de bank (als high-value target), z'n software updates op orde heeft.

densoN @Renssanting • 26 januari 2021 17:27

Als ze in december 2019 slachtoffer zijn geworden van een hack via software die een maand later is gepatched is het kwaad al geschied. Dan zegt het dus niets over je patchmanagement.

Daarbij betreft het geen bank, maar een toezichthouder.

supersnathan94

Datalek

26 januari 2021 14:59

Kiteworks wordt gebruikt door verschillende banken, overheden en zorginstellingen, zegt Accellion op zijn website. Zo gebruikt bijvoorbeeld Rabobank Kiteworks.

Kanttekening is daarbij wel dat dit om het .com domein gaat en rabo een internationaal bedrijf is. Dit betekent dus niet dat het automatisch ook door de Nederlandse tak gebruikt wordt. Een vraag uitzetten daaromtrent is misschien wel handig.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (9)

Sorteer op:

Weergave: