Fortinet bevestigt cyberaanval, mogelijk 440GB aan bedrijfsgegevens gestolen

Fortinet bevestigt dat het slachtoffer is van een cyberaanval waarbij mogelijk klanten- en bedrijfsgegevens gestolen zijn. De gegevens van het cyberbeveiligingsbedrijf zouden door middel van inloggegevens gestolen zijn en online aangeboden worden.

In een statement zegt het Amerikaanse bedrijf dat er ongeoorloofde toegang tot een cloudserver is geweest waarbij 'onder meer een beperkte hoeveelheid data van een klein aantal Fortinet-klanten' is gestolen. Het is niet duidelijk om hoeveel klanten het precies gaat, maar volgens Fortinet betreft het minder dan 0,3 procent van zijn klantenbestand. Getroffenen zouden al door het bedrijf ingelicht zijn over het datalek. Volgens het bedrijf is de gelekte data voor zover bekend niet voor kwaadaardige doeleinden gebruikt.

Volgens de vermeende aanvaller, op basis van Fortinets statement één persoon, gaat het om 440GB aan gegevens, die van een Microsoft Azure SharePoint-server gestolen zouden zijn. Dat schrijft Bleeping Computer op basis van een bericht op een hackersforum. De cybercrimineel zou losgeld van Fortinet geëist hebben, maar dat heeft het bedrijf niet betaald. In reactie hierop zou de aanvaller de inloggegevens voor een S3-bucket hebben gepubliceerd.

Update, 14.50 uur: De rol van de S3-bucket in het verhaal klopte niet. De tekst is daarop aangepast.

Door Yannick Spinner

Redacteur

Feedback • 13-09-2024 13:30
46 • submitter: Eddye

13-09-2024 • 13:30

46

Submitter: Eddye

Lees meer

Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk
Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk Nieuws van 8 april 2025
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten Nieuws van 16 januari 2025
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls Nieuws van 16 januari 2025
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit'
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit' Nieuws van 13 november 2024
Fortinet repareert kritieke kwetsbaarheid in FortiManager
Fortinet repareert kritieke kwetsbaarheid in FortiManager Nieuws van 24 oktober 2024
FortiManager heeft mogelijk kritieke kwetsbaarheid, bedrijf zegt niets - update
FortiManager heeft mogelijk kritieke kwetsbaarheid, bedrijf zegt niets - update Nieuws van 23 oktober 2024
'Filamentverkoper eSun reset wachtwoorden gebruikers naar e-mail'
'Filamentverkoper eSun reset wachtwoorden gebruikers naar e-mail' Nieuws van 14 oktober 2024
Cybercriminelen stalen mogelijk gegevens werknemers en patenten Casio
Cybercriminelen stalen mogelijk gegevens werknemers en patenten Casio Nieuws van 11 oktober 2024
Ransomwaregroep lekt 53.900 documenten met medische informatie van Belgen
Ransomwaregroep lekt 53.900 documenten met medische informatie van Belgen Nieuws van 4 oktober 2024
MIVD: Chinese FortiGate-spionagecampagne is omvangrijker dan eerder gedacht
MIVD: Chinese FortiGate-spionagecampagne is omvangrijker dan eerder gedacht Nieuws van 10 juni 2024
Fortinet waarschuwt voor zeroday waarmee SQL-injectie op FortiClient mogelijk is
Fortinet waarschuwt voor zeroday waarmee SQL-injectie op FortiClient mogelijk is Nieuws van 22 maart 2024
Fortinet waarschuwt voor kritieke kwetsbaarheden in FortiOS en FortiProxy
Fortinet waarschuwt voor kritieke kwetsbaarheden in FortiOS en FortiProxy Nieuws van 14 maart 2024
Fortinet waarschuwt voor ernstige remotecode-executionbug in FortiOS-vpn
Fortinet waarschuwt voor ernstige remotecode-executionbug in FortiOS-vpn Nieuws van 9 februari 2024
Fortinet brengt patch uit voor remote code execution-bug in FortiOS en -vpn
Fortinet brengt patch uit voor remote code execution-bug in FortiOS en -vpn Nieuws van 13 juni 2023
Fortinet waarschuwt voor actief misbruikte rce-kwetsbaarheid in FortiOS SSL-VPN
Fortinet waarschuwt voor actief misbruikte rce-kwetsbaarheid in FortiOS SSL-VPN Nieuws van 13 december 2022
Fortinet waarschuwt klanten voor ernstig rce-lek in FortiGate-firewalls
Fortinet waarschuwt klanten voor ernstig rce-lek in FortiGate-firewalls Nieuws van 8 oktober 2022
Meer producten en artikelen
Beveiliging en antivirus Fortinet Datalek Ransomware

Reacties (46)

-Moderatie-faq
46
44
21
1
0
14
Wijzig sortering
wildhagen
13 september 2024 13:35
'onder meer een beperkte hoeveelheid data van een klein aantal Fortinet-klanten'
Nou, 440 GB vind ik nou niet echt een 'beperkte hoeveelheid', bij die term denk ik eerder aan een paar honderd MB ofzo. Bijna een halve terabyte noem ik een behoorlijk grote hoeveelheid.

Dat het een beperkt aantal klanten is zal best, maar het zal je data maar zijn die nu op straat (of Darknet) rondzwerft.
Volgens het bedrijf is de gelekte data voor zover bekend niet voor kwaadaardige doeleinden gebruikt.
Dat is natuurlijk wel erg makkelijk om te roepen, maar hoe kunnen ze dit hard maken? Hoe controleren ze of de data ook werkelijk niet voor iets kwaadaardigs gebruikt is, of in de toekomst nog gebruikt gaat worden?

Dit is niet het eerste security-akkefietje dat Fortinet de laatste jaren treft. Als je als beveiligingsbedrijf keer op keer met security-incidenten te maken krijgt, dan is dat niet echt denderend voor je reputatie. Je wordt geacht de boel juist veilig te houden, niet voor honderden gigabytes aan informatie op een kennelijk (te) slecht beveiligde lokatie op te slaan.
DDX @wildhagen13 september 2024 13:43
Van fortinet website :
An individual gained unauthorized access to a limited number of files stored on Fortinet’s instance of a third-party cloud-based shared file drive, which included limited data related to a small number (less than 0.3%) of Fortinet customers.
Daar komt dus die 'beperkte hoeveelheid vandaan.
Toch wel benieuwd wat voor data dit dan zou moeten zijn en wat voor mega files er dan verder nog op hun sharepoint server opgeslagen staat.
Equator Crew Council @DDX13 september 2024 13:54
Mooi om te lezen hoe ze het kleiner maken dan het misschien wel was.
A limited number of files
limited data
small number of customers
less than 0,3%
Vogel666 @Equator13 september 2024 14:44
"less then 0.3%" lijkt me anders redelijk expliciet aangeven welk percentage van de klanten getroffen is.
Niet alles is een conspiracy.
Je kunt zelf een oordeel vellen of je 0.3% een klein deel of een groot deel van de klanten vindt.
Dat is het voordeel als iets expliciet gekwantificeerd is.
pagani @Vogel66613 september 2024 15:42
Van hun eigen site: "More than 755,000 customers trust Fortinet solutions"

Dan is 0.3% 2.265 klanten. Het gaat niet om het deel van de klanten maar om het absolute aantal klanten met een issue.
IHVD @Equator13 september 2024 14:21
Marketing speak om de aandeelhouders en gebruikers gerust te stellen dat "het allemaal wel meevalt".
Temenos @DDX13 september 2024 15:28
Van Fortinet's eigen website:
"Global Customer Base: 775,000+"

Dan komt 0.3% dus neer op 2,265 klanten waarvan de bedrijfsdata nu gelekt is. Dat vind ik een behoorlijke hoeveelheid. Die gegevens zeggen ook niets over welke bedrijven geraakt zijn. Zijn dat hun grootste klanten? Ik denk dat als ze de gesloten data afzetten tegen de totale hoeveelheid, dat er een heel ander percentage uit komt dan 0,3%.
The Zep Man
@wildhagen13 september 2024 13:39
Nou, 440 GB vind ik nou niet echt een 'beperkte hoeveelheid',
Er is veel marketingspeak in het verhaal van Fortinet die technisch correct is. Iets dat niet onbeperkt (unlimited) is, is beperkt (limited). Het maakt daarbij niet uit hoe klein of groot het onderwerp is.

Dit is ook zo'n leuk, nietszeggend stuk:
Volgens het bedrijf is de gelekte data voor zover bekend niet voor kwaadaardige doeleinden gebruikt.
Dat zegt niets over of er grondig onderzoek is gedaan of dat men de vingers in de oren stopt. Iets kan niet bekend zijn omdat je het actief mijdt. ;)

[Reactie gewijzigd door The Zep Man op 13 september 2024 19:38]

m-a-r-t-1 @The Zep Man14 september 2024 08:55
Precies, het enige wat ze daarmee zeggen is dat ze geen idee hebben of er iets met de data gedaan is.
Llopigat @wildhagen13 september 2024 16:17
440GB is ongeveer de download van 1 Llama3 405B model.

Het kan klantgegevens zijn maar ook een stel interne project powerpoints, vergaderingsopnamen en andere fluff. Als ik zie wat bij ons in de sharepoint staat is het vooral onnodige zooi. Helaas wordt sharepoint snel een onoverzichtelijk geheel doordat elke MS app en met name Teams maar lukraak mappen aanmaakt om zooi in te bewaren. Het wordt eigenlijk vanzelf 1 grote puinhoop en daardoor is opruimen en vooral opgeruimd houden niet mogelijk.

Maar mijn punt is: De hoeveelheid data zegt niet zoveel. Een hele kritieke file met data van klanten kan 2 MB zijn, of die 440GB kan alleen maar onzin zijn. Het gaat er meer om wat gestolen is.
nokie @wildhagen13 september 2024 13:52
Op zich vind ik 440GB niet echt veel. Een beetje gebruiker bij ons heeft 50GB of meer storage in gebruik, dus dan gaat het over < 10 eindgebruikers. Als die gebruikers mijn collega’s zijn, dan zijn het dan ook nog eens 10 keer dezelfde powerpoints (want die slaan we naast SharePoint zeker ook nog eens lokaal op) en een hele rist filmpjes in 4K gefilmd.

En voor alle duidelijkheid, ik ben één van hen… (lees bovenstaande dus als de nodige zelfkritiek)
PjotterP @nokie13 september 2024 14:00
440gb aan blue ray quality hollywood films Is ‘weinig’ data.

440gb aan technische beschrijvingen, concepten, ideeen, gevoelige informatie kan ontzettend veel zijn.
SSH @PjotterP13 september 2024 19:25
Fortinet houdt ook logs bij voor abbonomenten, dan heb je 440GB aan onzin.
HADES2001 @SSH13 september 2024 20:16
Logs voor de abbos is onzin? Je wil niet weten hoeveel informatie je kan halen uit logs. Wie heeft er allemaal een abbo? Welke software pakketten hebben ze? Hebben ze extra service contracten?
Als hacker erg mooie info als er een exploit uitkomt dat ik meteen weet wie welke pakketten heeft, scheelt vissen
Jiriki @SSH14 september 2024 14:04
Firewall logs staan niet op een SharePoint drive, die staan in hun Forticloud (Fortimanagers). Daar kom je niet zomaar bij.

Daarnaast, Fortinet heeft een van de grootste security teams ter wereld, Fortiguard Labs, dus ze zullen wel weten wat er aan de hand is. Logisch, ze zijn ook veruit de grootste firewall leveranciers. En gelukkig ook transparant normaal gesproken dus we zullen wel horen wat er is gebeurd zodra het onderzoek klaar is.
DDX 13 september 2024 13:39
The cybersecurity company also confirmed that the incident did not involve any data encryption, ransomware, or access to Fortinet's corporate network.
Nee dan is het goed, die 440GB stond in de cloud dus niets aan de hand |:(
Vogel666 @DDX13 september 2024 14:49
Het is in dit specifieke voordeel wel degelijk relevant.
Fortinet produceert firewalls met Intrusion Prevention.

Het is een redelijke aanname dat zij hun eigen systemen met hun eigen producten beschermen.
Hun primaire product heeft dus niet gefaald.
klakkie.57th @Vogel66613 september 2024 16:23
Inderdaad veel slechtere reclame voor je “beveiligings-bedrijf” kun je,je niet echt inbeelden 8)7
SSH @klakkie.57th13 september 2024 19:27
SP zit niet standaard achter een firewall. Er is een MS product misbruikt.
FrostyPeet 13 september 2024 13:38
Meer details.

https://hackread.com/fort...-breach-hacker-data-leak/
Yariva Moderator internet & netwerken @FrostyPeet13 september 2024 13:46
FortiBitch en FortiLeak... Deze hackert is bekend met het product portfolio van Fortinet.
Ex-KPN-er 13 september 2024 13:40
"...maar hoe kunnen ze dit hard maken?"

- Dat is erg gemakkelijk - dit noemen ze 'marketing'.

Er is 'voor zover bekend' (en ze hebben waarschijnlijk NIET (goed) gezocht/gekeken) niets aan de hand. Gewoon de logs NIET bekijken; en dan weet je het toch niet? (of het darkweb afzoeken e.d.).
Als je niet zoekt; is het niet bekend. Kan je lekker zeggen dat je niks weet.


En mogelijk misbruik in de toekomst hebben ze het gewoon niet over; dat klinkt zo negatief..
Sjapmeister 13 september 2024 14:12
Als feedback op het stuk:
Het stuk lijkt geschreven alsof Fortinet een super bekend bedrijf is? Maar ik heb er in ieder geval nog nooit van gehoord. Dat had ik ook niet van het Crowdstrike overigens. En gelukkig is het maar data uit een S3-bucket? nee dat zegt me iets? :)
Maar goed misschien is het stuk geschreven puur voor insiders, maar voor mij als tech geïnteresseerde outsider zegt het me niks.
wildhagen
@Sjapmeister13 september 2024 14:16
Fortinet is één van de bekendere bedrijven in de IT-beveiliging, met Fortigate, Fortiweb etc als produkten. O.a. voor firewalling en nog veel meer op security-gebied.

S3 is Amazon Simple Storage Service. De naam zegt het al: ze bieden opslagruimte aan die je via het web kunt benaderen. Die draait dus in de Amazon-cloud, ipv lokaal in een eigen datacenter bij, in dit geval, Fortinet.
Sjapmeister @wildhagen13 september 2024 14:20
Dank je wel! Al was mijn feedback meer gericht om aan te geven dat dit stukje vrij 'inner crowd' geschreven is dan dat ik echt op zoek was naar het antwoord. Die antwoorden had ik op Google vast wel kunnen vinden. Maar wel bedankt dat je de moeite nam te reageren.
CypressGTX @Sjapmeister13 september 2024 14:39
Je leest dit stuk dan toch ook enkel als je geïnteresseerd bent en of de producten kent? Als ik naar de ici paris website ga is voor mij ook alles onbekend, daar leggen zo toch ook niet ieder woord uit?


maak kennis met de Double Wear Zero-Smudge Lengthening Mascara van Estée Lauder!

Dit zegt mij net zoveel als voor u Fortinet, en als ik nu echt wil weten wat Double Wear Zero-Smudge inhoudt, dan Google ik dat even .
vrow @CypressGTX13 september 2024 15:26
Double Wear is dat je het twee keer kunt gebruiken, toch?
En zero-smudge is zonder vlekken/klonten.
Zonder Google!
Llopigat @vrow13 september 2024 16:20
Ken je vrouwen die 2 dagen achter elkaar dezelfde makeup gebruiken?
leadpumper @vrow13 september 2024 16:55
Jah, maar gezien je username ben je ook (bijna) de doelgroep! :+
Christoxz @wildhagen13 september 2024 14:41
Tevens is de data niet gestolen uit een S3 bucket, maar wordt de gestolen data nu aangeboden in een S3 bucket.
DDX @wildhagen13 september 2024 14:41
In dit geval is de S3 bucket de plek waar de 'hacker' zijn data aanbied :
Early this morning, a threat actor posted to a hacking forum that they had stolen 440GB of data from Fortinet's Azure Sharepoint instance. The threat actor then shared credentials to an alleged S3 bucket where the stolen data is stored for other threat actors to download.
Al loopt dat stukje ook niet lekker, er is data gestolen vanaf een sharepoint omgeving.
Maar daarna zijn inloggegevens op een s3 bucket gezet ?
Gaat het hier dan over de sharepoint inlog gegevens of inlog gegevens die in die 440GB data staan ?

[Reactie gewijzigd door DDX op 13 september 2024 14:49]

Christoxz @DDX13 september 2024 14:46
Hij heeft de gestolen data op een S3 bucket gezet, en deelt hiervan de login gegevens zodat je de gestolen data kan verkrijgen vanaf een S3 bucket.
DDX @Christoxz13 september 2024 14:48
Ah ja een komma in die zin had geholpen :)
MonteurX @Sjapmeister13 september 2024 14:20
Dat kan, maar dat ligt niet aan deze site maar aan je eigen kennis niveau. Als je werkt in de tech kom je elke week/maand wel nieuwe dingen tegen die je niks zeggen. En dat is ook helemaal niet erg, want je kan onmogelijk alles weten. Dan is het als techneut om je te ontwikkelen en te leren van dingen die tot nu toe onbekend voor je waren. Dus ipv de nieuwsberichten te willen laten aanpassen kun je het ook omdraaien door te denken, ik zorg er voor dat ik in de toekomst wèl weet wat Fortinet is.
wica @MonteurX13 september 2024 14:31
Kom op, tweakers kan onder elke term en naam, best wel een linkje plaatsen naar lmgtfy. :+
vrow @wica13 september 2024 15:27
Dat mag niet van de mods, ik heb dat al eens geprobeerd :-)
telenut @Sjapmeister13 september 2024 14:17
Fortinet en cloudstrike zijn gekende producten in de ICT security... De tech wereld is wel groot natuurlijk
nullbyte @Sjapmeister14 september 2024 17:49
Dat ligt aan jouw referentiekader, Fortinet is 1 van de bekendste firewall fabrikanten. Wel bekend binnen de ICT in het algemeen en zeker binnen cyber security.

Ik zal er nog wat opnoemen, welbekend binnen IT maar minder op de bouw of in de zorg:
Cisco, F5, Netapp, Citrix, Juniper, Akamai, Palo Alto, Trellix (Fire eye), ServiceNow, Veem, Elastic, DXC Technology, Kyndryl, Zscaler, Splunk, Infoblox, Nutanix, Ivanti, Tenable, Check Point, Solar Winds, Rubrik, Gigamon.

Toegegeven, ik kende sommige grote spelers ook niet terwijl ik toch al een tijdje in de IT werkte. Als ik dit lijstje dat uit het hoofdje komt in Chat GPT gooi en vraag om bekende maar soortgelijke bedrijven dan komen er nog enkele naar boven die ik ook niet ken.

Al doende leert men, maar Fortinet is op netwerkgebied een zeer bekende speler.
Botmeister 13 september 2024 14:42
Help me even.
De gegevens van het cyberbeveiligingsbedrijf zouden door middel van inloggegevens uit een S3-bucket gestolen zijn en online aangeboden worden.
Dus we hebben inloggegevens op een AWS omgeving....
gaat het om 440GB aan gegevens, die van een Microsoft Azure Sharepoint-server gestolen zouden zijn
.... en data van een MS omgeving.

Passwords voor toegang tot SPO staan op een S3 host?
Of cloud netwerken zijn gekoppeld met elkaar o.i.d.?
Draait er een file sync tussen beide waar credentials worden uitgewisseld?
DDX @Botmeister13 september 2024 14:45
Als je de bron van tweakers artikel leest, is er niets gestolen vanaf een S3 bucket, maar is de S3 bucket gebruikt om data openbaar te maken.
PukThePunny @Botmeister13 september 2024 14:47
Het is verkeerd neergezet in dit artikel, het staat beter verwoord onder het gelinkte artikel op bleepingcomputer:
Early this morning, a threat actor posted to a hacking forum that they had stolen 440GB of data from Fortinet's Azure Sharepoint instance. The threat actor then shared credentials to an alleged S3 bucket where the stolen data is stored for other threat actors to download.
dus ze hebben het gestolen van sharepoint, en zelf op een S3 bucket gezet ter verspreiding.
Botmeister @PukThePunny13 september 2024 14:55
Ja ik zie het nou. Thanks allebei. Artikel heeft inmiddels een update gehad.
Coolstart 13 september 2024 15:22
Als een
global US-based company, we are a leader in enterprise-class cybersecurity and networking innovation, securing over 700,000 enterprises, service providers, and government organizations worldwide
Kan zo’n hack wel tellen. Dit wil zeggen dat hun processen niet op punt staan want het lijkt er op dat je met een simpele login op een Amazon S3 server kon inloggen.
satya 13 september 2024 18:33
Zoals ik het lees is er dus een Azure SharePoint zwakheid misbruikt, misschien wel degene die deze week is gedicht die toegang gaf tot data die vanuit of via fortinet apparatuur beschikbaar is.

Mijn hoofd denkt dan aan logging data, die in sommige landen zoals de VS bij overheidsinstanties of bedrijven daarvan gerelateerd verplicht een jaar bewaard moet worden. Als je veel monitord en ook nog zelfs het verkeer tussen je VLANs dan kan dat hard oplopen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq