Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Hostingprovider Argeweb vraagt zijn klanten om wachtwoorden van ftp-accounts en zijn portal te wijzigen. Iemand zou hebben ingebroken op het netwerk waarbij Argeweb is aangesloten. De provider benadrukt dat het een voorzorgsmaatregel is.

Een klant van Argeweb zegt tegen Tweakers.net vrijdagmorgen door de provider te zijn gebeld met het verzoek om bepaalde wachtwoorden te wijzigen. Directeur Gerben van Leeuwen van Argeweb bevestigt dat. Klanten worden momenteel ingelicht over het mogelijke beveiligingsprobleem; later op vrijdag volgt een officiële verklaring. "Het gaat echt om een voorzorgsmaatregel", benadrukt Van Leeuwen.

De aanval vond plaats bij een klant van Amsio, het bedrijf dat het netwerk beheert waarbij onder meer Argeweb is aangesloten. Van Leeuwen wil niet zeggen welke klant het is, maar: "Het is een kleine klant. Je kent hem niet." Amsio en Argeweb vormen samen een holding. Argeweb levert shared hosting, terwijl Amsio vps-diensten aanbiedt en het netwerk van de twee bedrijven beheert.

"De aanval gebeurde woensdagnacht. Donderdagmorgen kwam Fox-IT langs met een team van vijf man om het incident te onderzoeken", zegt Van Leeuwen. De hostingprovider kan niet uitsluiten dat bij de aanval een tabel met wachtwoorden van alle Argeweb- en Amsio-klanten is benaderd. "Het gaat om gecodeerde wachtwoorden, maar ons beleid is dat in dit geval alle wachtwoorden moeten worden gewijzigd", aldus de directeur.

Bij Argeweb gaat het onder meer om het wachtwoord van de klantenportal, waar gebruikers kunnen inloggen om bijvoorbeeld administratieve taken te verrichten, en van het ftp-account. De klantenportal-wachtwoorden worden automatisch gewijzigd, maar de ftp-wachtwoorden moeten door gebruikers handmatig worden aangepast. Standaard is het ftp-wachtwoord gelijk aan het wachtwoord voor e-mail en de database, waardoor die in veel gevallen ook moeten worden aangepast. Voor Amsio-klanten worden de wachtwoorden van hun vps-accounts automatisch gewijzigd.

Van Leeuwen zegt het te betreuren dat de zaak in de media komt. "Ik hoop dat er geen paniek wordt gezaaid", zegt hij. "Waarschijnlijk komen we over een paar dagen tot de conclusie dat dit niet nodig is geweest."

Mocht er toch sprake zijn van een beveiligingsprobleem, dan is de impact groot; Argeweb is een van de grootste hostingproviders van Nederland, met drie datacenters en 137.500 domeinnamen in beheer.

Moderatie-faq Wijzig weergave

Reacties (48)

Dit is de inhoud van het mailtje:

Geachte ...

Gisteren is er een aanval ontdekt op het netwerk van Amsio. Een klant van Amsio is doelgericht aangevallen. We kunnen hierbij helaas niet uitsluiten dat een buitenstaander toegang heeft gekregen tot inloggegevens van (virtuele) servers van klanten.

Uiteraard zijn er direct maatregelen getroffen: Een team van specialisten van het gerenommeerde FOX-IT is op locatie aanwezig om alles te onderzoeken. Zoals u begrijpt zullen wij de uitslag van het onderzoek niet afwachten en een aantal voorzorgsmaatregelen nemen.

Customer Site
Om uw gegevens te beschermen is ons protocol om in het geval van een dergelijk incident het huidige wachtwoord van de Customer Site te laten verlopen en u te vragen uw wachtwoord te wijzigen. Ondanks dat de wachtwoorden gecodeerd staan opgeslagen willen wij geen enkel risico lopen. Wij hopen hiervoor op uw begrip.

Wij verzoeken u direct naar onze Customer Site te gaan en in te loggen. U krijgt dan het verzoek om een nieuw wachtwoord aan te vragen, waarna u per e-mail instructies krijgt om uw wachtwoord definitief te wijzigen.

Wachtwoord van uw (virtuele) server
Ook zullen wij, indien noodzakelijk, proactief het wachtwoord wijzigen van uw server(s). U ontvangt dan van ons op een later tijdstip uw nieuwe wachtwoord.

Let op: indien uw website gebruikt maakt van een database en uw databasewachtwoord ook gewijzigd wordt, zult u deze wijziging ook in uw applicatie(s) door moeten voeren.

Vooralsnog hebben wij geen reden aan te nemen dat er daadwerkelijk misbruik heeft plaatsgevonden. Desondanks vragen wij u met klem onze instructies te volgen. Naar aanleiding van het nu lopende onderzoek zullen wij passende maatregelen treffen.

Mocht u na het lezen van deze pagina nog vragen hebben kunt u natuurlijk contact opnemen met onze Service Desk via support@amsio.com.

Excuses voor het ongemak, maar het is een protocol dat wij ook voor uw veiligheid hebben ingevoerd. Voorkomen is beter dan genezen!

Met vriendelijke groet,

Henk Mosterd
Directeur Amsio BV
Van Leeuwen zegt het te betreuren dat de zaak in de media komt. "Ik hoop dat er geen paniek wordt gezaaid", zegt hij. "Waarschijnlijk komen we over een paar dagen tot de conclusie dat dit niet nodig is geweest."
Mocht er toch sprake zijn van een beveiligingsprobleem, dan is de impact groot; Argeweb is een van de grootste hostingproviders van Nederland, met drie datacenters en 137.500 domeinnamen in beheer.
Klinkt meer als een foutje onder het tapijt willen vegen. Ben blij dat Tweakers.nl toch dit bericht er aan wijdt. Weer de goede vragen gesteld en er een duidelijk artikel van gemaakt.

Ditsoort fouten zijn kwalijke zaken bij zulke grote spelers. Slecht trouwens dat de klanten dit trouwens pas later op de dag horen. Is de journalistiek van Tweakers.nl nou zo goed of de klantenomgang daar zo slecht?
Hier nog een klant van Argeweb. En ik durf te wedden dat de hack al zeker 2 weken plaats heeft gevonden om de volgende reden: ik had (jaren geleden) mijn wachtwoord voor database en FTP gewijzigd, 2 weken geleden echter lag mijn website plat wegens niet kunnen maken van een database connectie, na wat onderzoek bleek dat het database wachtwoord terug was veranderd in het 'oude' Argeweb wachtwoord.

Ik heb toen direct de volgende 2 zaken aangekaart bij de helpdesk:
  • hoe kan mijn database wachtwoord zomaar gewijzigd worden?
  • hoe kan het zijn dat dit gewijzigd wordt in het "oude" Argeweb wachtwoord? (Dat impliceert namelijk dat het wachtwoord ergens opgeslagen is, misschien zelfs in plain-text, wat zeker in deze tijd nou niet bepaald best-practice is)
Hieronder het antwoord van de helpdesk, dd 29-3-2012:
Beste meneer ***,

Een wachtwoord reset van een database wordt niet zonder een aanvraag van de klant uitgevoerd. In uw ticket historie zie ik hier ook geen verzoek van staan. Wachtwoorden worden uiteraard in ons systeem beveiligd op geslagen. Ook kan een reset van een wachtwoord niet telefonisch worden gewijzigd. Hier dient altijd een ticket voor worden aangemaakt via onze Customer Site. Het wachtwoord wat wordt ingesteld op de database is een random wachtwoord dat een % teken bevat. Dit is niet aan te passen naar een eigen wachtwoord. Helaas heb ik geen verklaringen waardoor het oude wachtwoord kon worden gebruikt.

Mocht u nog vragen hebben dan hoor ik dit graag van u. Ik wens u een fijne dag.

Met vriendelijke groet,

*** *****
Argeweb Support
Bij Argeweb hadden dus op 29-3 al alarmbellen kunnen gaan rinkelen... Misschien is dat ook wel gebeurd, en komt het nu pas naar buiten, maar de aanval van "afgelopen woensdagnacht" is zeker niet de eerste geweest.

[Reactie gewijzigd door lammert op 13 april 2012 11:46]

Hiervan zouden bij mij ook niet echt alarmbellen gaan rinkelen. Als je account gehackt zou zijn dan heeft de hacker dus toegang gehad tot zowel je nieuwe als je oude wachtwoord. En hij veranderd je gegevens terug naar het oude wachtwoord? Als iemand je account wil kapen zal hij toch zeker wel een heel eigen wachtwoord toepassen?
Hoe zou een hacker bij mijn oude wachtwoord moeten komen dan? Ik vond hem zelf terug in het sms-je dat ik destijds gehad heb namelijk.

[Reactie gewijzigd door lammert op 13 april 2012 13:54]

Dit is toch uit voorzorg? Wees blij.

Ze kunnen ook niks vermelden waarop de boel in elkaar klapt als het echt zo blijkt te zijn.
Heb voor elke website een ander wachtwoord. Zou iedereen moeten doen. Dan zijn dit soort kraakjes geen probleem en is het ook niet meer nieuwswaardig.

[Reactie gewijzigd door TvdW op 13 april 2012 11:25]

Dit soort kraakjes zijn altijd een probleem omdat er een beveiligingslek is. Een bijkomend probleem is dat er wachtwoorden worden ontfutseld. Die wachtwoorden worden dan mogelijk ook voor andere accounts gebruikt.

De kraak heeft veel meer impact dan het stelen van wachtwoorden. Wat dacht je van malware uploads op de websites van alle klanten. Of het downloaden van creditcard gegevens.

Ik vind je reactie dan ook behoorlijk kortzichtig.
Uiteraard komt er af en toe wat privacygevoelige informatie op straat te liggen, ja. Maar zolang een website netjes alle gebruikers hun wachtwoorden laat wijzigen na een kraak en die gebruikers datzelfde wachtwoord verder nergens gebruiken, is er alleen maar een privacyprobleem, en verder niks.

Ik heb het hier trouwens over een probleem voor de gebruiker; die website heeft namelijk sowieso een groot probleem.

[Reactie gewijzigd door TvdW op 13 april 2012 11:40]

Hoezo alleen een privacy probleem? Een klant heeft niets aan het wijzigen van zijn wachtwoord als zojuist zijn creditcard gegevens zijn gestolen. En wat dacht je van alle mensen die geÔnfecteerd worden door een virus/malware en daardoor nog veel meer schade oplopen? Is dat ook 'alleen maar een privacyprobleem'?

Dit soort kraakjes bij een hostingprovider van dit kaliber zijn gevaarlijk. Dat er wachtwoorden worden gestolen is waarschijnlijk het kleinste probleem dat je kunt hebben. Dat is tenminste nog eenvoudig op te lossen.

Ik vind dit dan ook volkomen nieuwswaardig. Alleen al vanwege de 137.500 domeinen die een potentieel gevaar opleveren bij een grote hack. De malware die nu.nl in 1 uur verspreide was al een probleem. Kun je nagaan wat zoveel meer domeinen kunnen doen in dezelfde tijd.
Dan nog kun je overal wel een ander wachtwoord hebben, maar als ze de server(s) nou eenmaal hacken en ingebroken hebben kunnen ze je wachtwoord in principe achter halen door middel van bijv. Rainbow tabellen. Hiermee is er een mogelijkheid om wachtwoorden te cracken.

Kortom; Klanten van Argeweb dienen gewoon naar de voorzorgsmaatregel te luisteren en ALLE wachtwoorden te veranderen.
Erg netjes van ze dat ze hun klanten daarover opbellen! Zelfs als er geen wachtwoorden zijn buitgemaakt!
Ik ban anders nog niet gebeld, laat staan dat ik bericht heb gekregen. Ik heb daar mijn zakelijk website (stelt verder niet zoveel voor) en mail lopen.

Daar betaal ik toch een lieve 180 euro per jaar voor. Eigenlijk te veel geld, maar het portal om zelf een website in elkaar te knutselen is wel handig.

EDIT: om 11:52 uur een mailtje gehad met het verhaal en het verzoek om het wachtwoord te wijzigen.

[Reactie gewijzigd door pegagus op 13 april 2012 13:22]

Wooo het artikel is zelfs 3 minuten eerder geplaatst dan dat ik het mailtje kreeg met het verzoek wachtwoorden te wijzigen :)

[Reactie gewijzigd door janwillem_v op 13 april 2012 11:39]

Ik heb zowel een persoonlijk als zakelijk account bij Argeweb maar ik heb nog niks mogen vernemen. :|
Jij al een mailtje gehad? Ik "weet nog van niks". Niet dat ik me daar erg druk om maak, het aantal bezoekers van mijn website nadert toch nul, en er staan wat statische pagina's op.
Desalniettemin, zou het wel heel prettig zijn als ik er via de officiŽle weg iets van hoorde :)
Een van de vervelende dingen aan het beheerpanel van argeweb is dat je het ftp & mysql wachtwoord dus niet zelf kunt wijzigen. Je moet dat via een ticket aanvragen.

Wanneer ze dat dan uitvoeren is verschillend maar tot nu lukte het altijd dezelfde dag. Het mailtje gaat dan naar het klantadres. Dan moet je als de bliksem je cms configuratie aanpassen. Anders krijg je een mooie reeks connectie foutmeldingen.

Geef mij maar DirectAdmin of iets dergelijks dan kies ik zelf het moment, kan ik zelf een wachtwoord kiezen en kunnen MySQL en FTP verschillende wachtwoorden zijn ..
Een van de vervelende dingen aan het beheerpanel van argeweb is dat je het ftp & mysql wachtwoord dus niet zelf kunt wijzigen.
Inderdaad, dat is zo jaren '90...

Je krijgt van het systeem een amper te onthouden wachtwoord (iets in de trant van !@12#$aB) en van vaste beperkte lengte (namelijk 8 tekens) toegestuurd, have fun ermee!

Wat je dan krijgt als je niet uitkijkt is dat gebruikers die wachtwoorden op post-its aan het scherm gaan hangen, of op de computer opslaan (wachtwoord-onthoudfunctie van browser, in FTP-client, tekstbestand etc.).
Dus een meekijker/inbreker/passwordtrojan heeft zo alles wat ze willen.

En natuurlijk maakt dat ook een brute-force/dictionary attack op de FTP-server relatief simpel, gewoon alle combinaties van 8 tekens proberen.
Zie bijv. http://xkcd.org/936/
Wat dan wel weer achterlijk is, is dat het customersite-wachtwoord tussen de 8 en 12 karakters moet zijn 8)7
Maak het bruteforce hackers nog makkelijker, zo kunnen ze alvast een hele reeks mogelijkheden overslaan.
Is dat zo? Je moet de eerste 8 alsnog raden namelijk. Brute force blijft hierdoor nog steeds lastig.
Je kan alles tussen de 1-7 tekens overslaan, wat toch een flinke hoeveelheid pogingen zijn :)
Als je meer vrijheid hebt bij het verzinnen van een wachtwoord (laten we zeggen tussen de 8 en 32 tekens), dan heb je eerder een wachtwoord:

A ) dat makkelijk te onthouden is
B ) dat lastig te kraken/raden is

Dit stripje illustreert dat goed:
http://xkcd.org/936/

Hier nog wat leesvoer:
nieuws: Helft gebruikers Tweakers.net blijkt zwak wachtwoord te hebben

[Reactie gewijzigd door Iva_Bigone op 13 april 2012 12:16]

Ik betreur het dat Dhr van Leeuwen dit in de doofpot wilde stoppen!
Negatieve reclame is ůůk reclame, zeker als men straks "erachter komt dat dit niet nodig was geweest".
hoe kom je toch aan dat doofpot gedoe, ???
Nooit geweten dat Argeweb zo groot was

Is een bedrijf in Maassluis gerund door oudklasgenoot van me.
Dacht eigenlijk altijd dat argeweb een kleine speler was op de hosting markt

In iedergeval wel goed te zien dat er gelijk een gerenomeerd bedrijf is ingeschakeld om onderzoek te doen ipv zelf eerst een aantal dagen aan te modderen, hoe goed de eigen beheerders dan ook zullen zijn.

juist het in het nieuwe brengen kan voordelen hebben, op zich is de publicatie tijd nog kort vergeleken bij andere hacks. Door de publicatie inclusief het externe bedrijf dat bekend staat om de expertise nu, kan het klanten juist vertrouwen geven dat er aandacht besteed wordt aan het oplossen en verbeteren

[Reactie gewijzigd door WPN op 13 april 2012 11:33]

Ik vraag mezelf ernstig af of er accounts van Argeweb klanten zijn misbruikt om te spammen.
Zelf heb ik de laatste dagen regelmatig problemen met het verzenden van mijn mail "Mail delivery failed: returning message to sender".

Het lijkt er op dat er servers op een blacklist terecht zijn gekomen.

Maar niet hun klanten informeren hoor. :'(
Klopt, vanochtend ook 2 klachten uit ons bedrijf gekregen dat hun mail niet aan kwam. Dit bleek te komen door een bad reputation van hun anti-spam platform Mailshover wat een ingekochte dienst is bij een externe partij. Dit zie je verder overal opduiken, UPC heeft ook een bad reputation bijvoorbeeld .. iedereen komt vroeg of laat wel eens op een blacklist dus ik ga er geen drama van maken, maar het is wel lastig. Moeten we de mail zelf maar gaan afleveren, nou? ;) (totdat we intern een pc krijgen die spam de wereld in sturen gaat) :D

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True