Gegevens van DirectAdmin-klanten buitgemaakt

Hackers hebben bij een aanval op het bedrijf achter DirectAdmin gegevens van klanten buitgemaakt. Naar een onbekend aantal DirectAdmin-klanten zijn e-mails met malware gestuurd. Creditcardinformatie is veilig, belooft het bedrijf.

In een post op het DirectAdmin-forum bevestigt een beheerder dat er met succes een hackaanval is uitgevoerd op het bedrijf. Hoewel DirectAdmin de zaak nog onderzoekt, is al wel duidelijk dat hackers toegang wisten te krijgen tot een server en dat ze persoonsgegevens van klanten hebben buitgemaakt. Daarbij gaat het onder andere om namen, e-mailadressen en licenties.

Bovendien hebben de hackers de mailserver van DirectAdmin gebruikt om klanten te spammen. De mail doet zich voor als een officiële DirectAdmin-mail, waarin gebruikers een beveiligingsupdate wordt aanbevolen. De link in de mail verwijst echter naar een pagina die een rootkit probeert te installeren op de pc van de gebruiker. Volgens DirectAdmin zijn bij de hack geen betalingsgegevens, zoals creditcardnummers en PayPal-accounts, buitgemaakt. Volgens het bedrijf beschikt het zelf niet over die gegevens.

De aanval is pijnlijk voor DirectAdmin, dat software aanbiedt waarmee webservers kunnen worden beheerd. Juist bij dergelijke software is de veiligheid immers belangrijk. Het is nog onduidelijk hoe de hackers toegang tot de server wisten te krijgen.

Direct Admin hack

Screenshot: hipy

IT-banen

Reacties (54)

gerwim 26 mei 2011 09:57

Het bericht wat ik heb gekregen:

Dear Gerwim F***

Please note that currently there is a security vulnerability concerning the current
DirectAdmin version, in order to learn how to protect your server until we can issue
a patch please visit http://gevaarlijkelink.com

Thank you,
DirectAdmin.com

Ik heb DirectAdmin gevraagd of de update servers zijn gehackt (aangezien ik mijn server gisteren net heb geüpdatet) maar dit is al gecontroleerd en blijkt veilig te zijn gelukkig.

DLGandalf @gerwim • 26 mei 2011 10:21

De link in mijn mailtje gaf een 404'tje, waarschijnlijk toen al opgespoord door verscheidene instanties.
niet dat ik geloofde dat er werkelijk een patch was, maar ik heb toch weinig te vrezen voor 0-day exploit onder ubuntu.

gerwim @DLGandalf • 26 mei 2011 10:52

Klopt, de link 404'ed nu niet meer, maar je wordt doorgestuurd naar een andere website.

fre0n @DLGandalf • 26 mei 2011 13:17

de 404 pagina verspreide een trojan/java virus

pretorian1

26 mei 2011 09:14

Het is de laatste tijd wel scheer en inslag, benieuwd wat de volgende hack gaat worden.

w4rguy @pretorian1 • 26 mei 2011 09:21

Er is denk ik een groot verschil

.

Kijk, bedrijven werden vroeger ook al gehackt, zeker in de jaren 90! Alleen nu is het ineens hip voor journalisten om te vertellen wie er gehackt is. Hacken is "hot" op dit moment.

Oftewel:
Bedrijven werden al gehackt, alleen alles ging in de doofpot. Nu komt alles uit en hoor je waar en hoe het allemaal mis gaat.

Security is geen maatrelen, het is een mentaliteit die je als bedrijf moet handhaven. Niet als schil er overheen, maar vanaf de kern ingebouwd

GWTommy @w4rguy • 26 mei 2011 09:36

En beter weten wij wat er gaande is dan dat we denken dat we de software en/of het bedrijf gewoon kunnen vertrouwen. Als het bedrijf ook meteen informatie verstrekt over de hack zelf kunnen de klanten/gebruikers ook meteen (deels) gerustgesteld worden. Eveneens is deze publiciteit een aansporing voor het bedrijf om eens goed alle beveiliging na te kijken.

Mellow Jack @GWTommy • 26 mei 2011 09:43

Ben ik het niet helemaal mee eens... Als je de kranten leest (niet alleen op IT gebied) wordt je bijna paranoïde... Het enigste waarover je leest is oorlog, financiële crises, demonstraties, verkrachtingen en bedrijven die gehacked worden. Omdat al die vieze jurno's (sorry tweakers

) zo sensatie geil zijn worden de mensen die het lezen bijna bang om te leven (iets wat overdreven). Ik vind dus ook dat ze dit niet meer moeten doen en lekker alleen posten op tech sites omdat de mensen die daar komen weten wat de consequenties zijn... Zelfde als dat een maatje van mij laatst naar me toe kwam dat hij geen whatss app meer gaat gebruiken omdat iedereen alles van hem zou kunnen lezen... Ik een beetje verder vragen natuurlijk en wilde weten of hij dat via een open wifi doet of via 3G... Dat wist hij niet eens maar omdat het in de krant stond gaat hij er vanuit dat het door een simpele sniffer oid uit te lezen is (niet nagedacht over de 3G encryptie)

Auteur

Joost @Mellow Jack • 26 mei 2011 10:12

Omdat al die vieze jurno's (sorry tweakers ) zo sensatie geil zijn worden de mensen die het lezen bijna bang om te leven (iets wat overdreven).

Gedeeltelijk mee eens. Een bericht als dit is denk ik interessant voor onze doelgroep, zeker omdat er ook DirectAdmin-klanten tussen zitten. En daarnaast is het simpelweg mijn baan om er over te schrijven. Aan de andere kant zie je dat mainstream-media nu buitengewoon veel aandacht hebben voor beveiligingslekken - wat in principe goed is, maar veel journalisten missen de technische kennis om het te relativeren.

Ik denk eigenlijk ook niet dat de aandacht van mainstream-media voor dit soort onderwerpen uit een oprechte interesse voorkomt.

Mellow Jack @Joost • 26 mei 2011 10:31

Sorry mogelijk was ik niet helemaal duidelijk. Ik vind het ook dat dit op tweaker gepost moet worden. Vooral omdat de redactie ook echte IT kennis heeft en al de zaken die niet duidelijk zijn, uitgelegd worden door mensen die hier echte kennis over hebben. Ik doelde inderdaad op de mainstream media die hiermee de mensen alleen maar bang aan het maken is (zie ook mijn voorbeeld van whats app)

Zer0 @w4rguy • 26 mei 2011 09:49

Bedrijven werden al gehackt, alleen alles ging in de doofpot. Nu komt alles uit en hoor je waar en hoe het allemaal mis gaat.

Als alles in de doofpot ging zou je er nu ook niks over horen. Informatie over hacks bij bedrijven komt al jaren gewoon naar buiten, alleen wordt er niet gelijk gebeld naar de krant met de vraag het te publiceren.
Het verschil is dat journalisten nu op dit soort nieuwtjes zitten te wachten en het publiceren, waar ze eerder nieuws over hacks negeerden omdat er geen "vraag" naar was.

Security is geen maatrelen, het is een mentaliteit die je als bedrijf moet handhaven. Niet als schil er overheen, maar vanaf de kern ingebouwd

Onzin, de mentaliteit van een bedrijf moet met zijn core-business te maken hebben, security is meestal een bijzaak, een belangrijke bijzaak, maar voor veel bedrijven niet core-business, en zeker niet iets waar je je bedrijf omheen gaat bouwen.

Kenhas @Zer0 • 26 mei 2011 11:03

Is zo'n beetje hetzelfde verhaal als met natuurrampen. Vroeger hoorde je nu en dan iets over een natuurramp. Nu moet er nog maar een zware vrachtwagen voorbij rijden en de volgende dag staat in de krant dat er een licht aardbeving heeft plaats gevonden.

totaalgeenhard @w4rguy • 26 mei 2011 11:34

Security is een integraal onderdeel van elk proces.
En zelfs dan is 100% niet te garanderen.

Met mentaliteit houd je niets tegen. (behalve in de Matrix.)

DrPoncho @w4rguy • 26 mei 2011 09:54

Het is voor journalisten van een techsite zoals Tweakers.net altijd al ' hot' geweest om te vertellen wie er gehackt is.

Mellow Jack @DrPoncho • 26 mei 2011 10:01

Alleen Tweakers weten wat het inhoud, waar het door veroorzaakt is en wat de consequenties zijn... De journalist van de telegraaf vind het alleen gaaf maar snapt het verder echt niet

Anoniem: 388707 @w4rguy • 26 mei 2011 16:56

Helemaal waar, maar ja, in de jaren 90 was er ook niet veel aan. Administrator zonder paswoord op wel ja ... 80% van de windows boxes die online stonden. Het was vergeleken met nu kinderspel.

Nu is het moeilijker geworden hoewel informatie makkelijker verkrijgbaar is.

Toch als je zelf bugs kan vinden in bepaalde software en deze kan misbruiken dan is het natuurlijk nog steeds kinderspel...

Squ1zZy 26 mei 2011 09:25

Is dit niet het gevolg van een bepaalde exploit die gevonden is die nu wordt toegepast om meerdere sites te hacken? Ik zie veel berichten dat sites zijn gehackt. Misschien zijn er 2 exploits gevonden welke op meerdere sites toegepast kunnen worden zoals de SQL inject.

Ik ben zelf ICT'er en wordt toch wel wat voorzichtiger met waar ik mijn gegevens invul. Mijn credit card was gekoppeld aan mijn PSN account bijvoorbeeld wat ik toch dacht dat het redelijk veilig zou zijn. Nieuwsberichten zoals deze maakt me toch wat voorzichtiger.

sfranken @Squ1zZy • 26 mei 2011 09:40

Als je een beetje aan basale beveiliging doet is een SQL inject zo af te vangen. Met een server sided taal als PHP is het in ieder geval kinderspel.

Van ASP(.NET) en java heb ik geen verstand maar ik denk dat het daar ook niet moeilijk is.

Anoniem: 241942 @sfranken • 26 mei 2011 09:51

In het .net framework moet je flink je best doen om uberhaupt sql-injections mogelijk te maken.

Mellow Jack @Squ1zZy • 26 mei 2011 09:34

Misschien zijn er 2 exploits gevonden welke op meerdere sites toegepast kunnen worden zoals de SQL inject.

Dat is toch geen bug/exploit maar gewoon slecht (slordig) geprogrammeerd?

Over het algemeen heb ik bij vrijwel elk "hack" bericht het gevoel gekregen van "eigen schuld dikke bult"... Elke keer zijn het foutjes in de code of servers die qua software zwaar achterlopen

[Reactie gewijzigd door Mellow Jack op 24 juli 2024 13:37]

FreezeXJ @Mellow Jack • 26 mei 2011 09:57

Maar dat is het nou net, er is maar een beperkt aantal zero-day exploits, en die worden ook nog eens af en toe gevonden door bedrijven zelf, of door bonafide hackers. Daarna wordt er een mooie update voor gemaakt, en na een dag of 3-4 is het lek gedicht. Het enige wat dan nog rest is systeembeheerders die de boel updaten. Daar gaat het dan ook mis. Beveiliging is gewoon 'eens per maand de updates draaien', anders kan er hier lokaal wel eens iets misgaan... Soms updatet men pas veeeeel later, zodat de bugs uit de bugfix zijn... Tja, dan ben je dus tussentijds kwetsbaar voor een (inmiddels aangekondigd) probleem.

fatlobster 26 mei 2011 09:45

Als ICT security specialist ben ik eigenlijk wel "blij" met al die aandacht voor het beschermen van o.a. klant data. (Natuurlijk juich ik het stelen van data niet toe.)

Ik hoop echter nog steeds dat bedrijven nu eindelijk de nodige aandacht aan een goede (systeem)beveiliging gaan besteden en ook voldoende budget vrij maken om de applicaties op dat gebied te onderhouden/monitoren.

Wij tweakers weten natuurlijk allang dat:
een applicatie die vanmorgen veilig was, 's middags al zo lek als een mandje kan blijken zijn.

barry457 26 mei 2011 09:15

"al wel duidelijk dat hackers toegang wisten te krijgen tot een server en dat ze persoonsgegevens van klanten hebben buitgemaakt. "

"Het is nog onduidelijk hoe de hackers toegang tot de server wisten te krijgen"

Eerst weten ze wel hoe er toegang is verkregen tot de server en op het eind niet meer

Quad

@barry457 • 26 mei 2011 09:18

Als je het achter elkaar zet, dan klopt het wel hoor.
Ze weten dat ze toegang hebben gekregen tot de server, alleen ze onderzoeken nog HOE.

Dus het klopt wel

Asteryz @barry457 • 26 mei 2011 09:18

Quad was me voor..

[Reactie gewijzigd door Asteryz op 24 juli 2024 13:37]

Elcivor @barry457 • 26 mei 2011 09:19

Ze bedoelen dat ze wel weten dat ze de servers binnen gekomen zijn, maar niet hoe. Denk ik.

Croga

@barry457 • 26 mei 2011 09:19

"al wel duidelijk dat hackers toegang wisten te krijgen

Eerst weten ze wel hoe er toegang is verkregen tot de server en op het eind niet meer

Er is een verschil tussen weten *dat* er toegang verkregen is en weten *hoe* dat gebeurt is......

Brantje @barry457 • 26 mei 2011 09:19

Lees goed, er staat dat ze toegang tot een server wisten te krijgen.
Er staat niet bij hoe ze toegang hebben gekregen.

OT:
Zelf gebruik ik ook DA als webpanel, werkt erg prettig.
Jammer dat dit gebeurd is, maar hier zullen ze alleen maar van kunnen leren.

[Reactie gewijzigd door Brantje op 24 juli 2024 13:37]

Luppie @barry457 • 26 mei 2011 09:21

Als je hele huis overhoop is gehaald door inbrekers, maar je deur is niet geforceerd en je ramen zijn nog heel, dan weet je toch ook dat er is ingebroken, maar alleen nog niet hoe ???

Anoniem: 326972 @barry457 • 26 mei 2011 09:21

Staat er in de eerste zin HOE ze dat hebben gedaan? Ik lees daar alleen DAT ze het hebben gedaan. De tweede zin ligt dit toe, en verteld dat ze niet weten hoe. Ik zie hier absoluut geen contradictie in.

Sypher 26 mei 2011 10:22

Dit verbaasd me eigenlijk totaal niet.. Als je ziet hoe hakkie-takkie hun product is, dan zal dat hetzelfde ook wel zijn met de beveiliging van hun eigen servers.
Waarschijnlijk het gevolg van draaien op oude versies.

Bolk @Sypher • 26 mei 2011 12:22

Het gaat om hun eigen site, niet om het product zelf...

jep @Bolk • 26 mei 2011 13:44

En bovendien; het is een uitstekend product. We draaien het al vele jaren op honderden servers. Het is snel, flexibel en zit logisch in elkaar. Een genot voor de beheerder. Helemaal in vergelijking met Plesk.

Geert de Graaf

26 mei 2011 11:27

Ik heb begrepen dat ze zijn gesnift op een netwerk van een ander waardoor toegang tot hun backoffice was verkregen. Iemand die thuis werkt of niet op een vaste lijn. Dus geen softwarelek. Blijkbaar geen https

hipy @Geert de Graaf • 26 mei 2011 13:06

Een admin van Directadmin heeft zelf gezegd dat hun mail server op NIET-root niveau gehacked is.

Ze hebben hun mail server plat gegooit om te voorkomen dat nog meer mensen deze mail kregen.

Geert de Graaf

@hipy • 26 mei 2011 15:06

Ik zeg ook niet dat ze op root niveau zijn gekomen. Ik denk dat ze een login van een medewerker (geen hoge admin) hebben gekregen met mailinglist functies en klantbeheerfuncties meer niet. Alsof je iemands wachtwoord van de email van iemand anders weet en iedereen een mailtje gaat sturen.

fre0n 26 mei 2011 13:15

En weer een prachtig voorbeeld. Echt een voordeel zo'n centrale server/cloud waar alles aan gekoppeld is...

Vroegah, toen installaties nog op zichzelf stonden zonder direct en altijd verbinding met een moeder-server te hoeven hebben, toen was alles beter. De cloud is deaud, leve de cloud!

jep @fre0n • 26 mei 2011 13:42

Uh, Directadmin heeft alleen een klantendatabase op een enkele server. De servers van klanten draaien standalone en daarop hebben zij (normaalgesproken) geen toegang. Niks cloud dus. Gewoon een (blijkbaar slecht beveiligde) server met emailadressen van klanten.

WhiteDog @jep • 26 mei 2011 15:09

Dat is toch niet helemaal correct.

cPanel bijvoorbeeld belt regelmatig naar huis om de licentie even te checken en eventueel updates te installeren. Ik mag er niet aan denken dat iemand er in slaagt om een valse update in dit systeem te smokkelen.Al geldt dit natuurlijk voor alle software met auto-update functionaliteit.

jep @WhiteDog • 26 mei 2011 15:11

Directadmin doet dat standaard niet.

Anoniem: 58485 26 mei 2011 20:16

De aanval is pijnlijk voor DirectAdmin, dat software aanbiedt waarmee webservers kunnen worden beheerd. Juist bij dergelijke software is de veiligheid immers belangrijk. Het is nog onduidelijk hoe de hackers toegang tot de server wisten te krijgen.

Leest publieke forum versie:

Powered by vBulletin® Version 3.8.4

googled versienummer - Voila. Als het een goede hack is krijg je via via ook wel toegang tot de webserver z'n root, en daarbij ook onderliggende gegevens zoals licenties enz. Het had dus voorkomen kunnen worden.

[Reactie gewijzigd door Anoniem: 58485 op 24 juli 2024 13:37]

jep 27 mei 2011 08:55

Voor de volledigheid nog een antwoord van Directadmin zelf.

In the last 24 hours an e-mail was sent to clients with the subject: "DirectAdmin Client Message." This message claimed there was a serious DirectAdmin security issue and included a link to a phishing website.

We apologize to all our clients because this was a result of our server being compromised. Please DELETE the phishing e-mail and run a virus scanner if you clicked on the link. Most people were not exposed to the phishing site because it was taken down very quickly. For this reason you may have seen a 404 error only.

First and foremost, your billing information remains 100% safe. We store no financial information on our server. In addition, we use a merchant gateway that restricts us, even as owners, from viewing your credit card information. Secondly, there is no security issue with the latest version of DirectAdmin. We have no reason to belive that DirectAdmin or any related software is vulnerable to attack. There are thousands of DirectAdmin servers and no reports of any being compromised.

Please note that we encrypt ALL passwords; for example, any password generated (e.g. client account password) and any password you provide (e.g. server password on the order form). Although cracking encrypted passwords is unlikely, changing your password is the best way to guarantee 100% security. Aside from that, there is nothing else you need to do as a customer. Your DirectAdmin server is not open to any new vulnerabilities.

We sincerely apologize and take responsibility for this incident. If you require more specific information please contact me at mark@jbmc-software.com for a personal response, or you can use our regular support@directadmin.com address. I'm available for addressing specific questions and concerns.

Op dit item kan niet meer gereageerd worden.

Gegevens van DirectAdmin-klanten buitgemaakt

Lees meer

IT-banen

Reacties (54)

Sorteer op:

Weergave: