Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Onbekende aanvallers hebben ingebroken bij vpn-provider PureVPN en een valse mailing naar klanten gestuurd, waarin gesteld werd dat de dienst zijn deuren zou sluiten. Het is nog onduidelijk of en welke klantgegevens zijn buitgemaakt.

In de mail die de aanvallers aan een deel van de PureVPN-klanten uitstuurden, werd gesteld dat PureVPN 'al zijn klantgegevens over moest dragen aan de autoriteiten' en daarop zijn deuren sluit. Een paar uur later werd de mail opgevolgd met een mededeling van PureVPN dat de e-mail niet legitiem was. De dienst heeft geen juridische problemen en blijft gewoon open, benadrukt PureVPN.

Opvallend is dat beide mails, waaronder dus ook de valse e-mail, verstuurd zijn via dezelfde mailserver, wat er op duidt dat de aanvallers toegang hadden tot het mailsysteem. De aanvallers hebben waarschijnlijk toegang gehad tot e-mailadressen en namen. Of de aanvallers ook andere gegevens hebben bemachtigd, is onduidelijk, maar PureVPN bezweert dat het op zijn servers geen betalingsgegevens opslaat en geen logs van vpn-verkeer bijhoudt, waardoor het risico beperkt zou zijn. Met de vpn-dienst zelf zijn bovendien geen problemen, aldus het bedrijf.

Mogelijk is PurePVN het slachtoffer van een sql-injectie in WHMCS, een softwarepakket dat wordt gebruikt voor beheer van klanten. Afgelopen week werd een bug in dat softwarepakket gepatcht, nadat de ontdekker van het lek het in de openbaarheid had gebracht.

nepmail purevpn

De valse email die werd verstuurd aan klanten.

Moderatie-faq Wijzig weergave

Reacties (31)

WHMCS Security Advisory for 5.x is pas vorige week donderdag uitgekomen. Kan begrijpen dat sommige bedrijven niet gelijk hun system kunnen patchen zonder volledig getest te hebben. Lijkt mij ook niet moeilijk om sites te vinden die WHMCS gebruiken en de versienummer te achterhalen. Met inurl in google zou je een eind moeten komen. Waarschijnlijk dat de templates ook een versienummer bevatten.

Ben bang dat we meer gaan horen over deze sql-injectie icm WHMCS :(

Edit: Zoeken in google met als hit 'powered by whmcompletesolution inurl:submitticket.php' is genoeg om WHMCS sites te vinden. Ook staan er al tutorials online om deze hacks uit te voeren :|

Probleem zit het hem blijkbaar in /includes/dbfunctions.php.

Voor diegene die willen testen:

Hier de exploit geschreven in Python:
http://www.mediafire.com/download/bep724fwr8t4scl/whmcs.py

Hier de exploit geschreven in PHP:
http://www.mediafire.com/...blp9bo92q/cyberaon(2).php

[Reactie gewijzigd door Squ1zZy op 7 oktober 2013 08:41]

Ik maak bij veel bedrijven mee dat testen van iets dergelijks om zo snel mogelijk in productie te nemen vaak/meestal ook niet de hoogste prioriteit heeft...Dus daar gaat dan makkelijk een paar weken overheen.
Ik maak bij veel bedrijven mee dat testen van iets dergelijks om zo snel mogelijk in productie te nemen vaak/meestal ook niet de hoogste prioriteit heeft...Dus daar gaat dan makkelijk een paar weken overheen.
Zou het misschien kunnen dat niet iedereen de hele dag / week daar tijd voor heeft ?
Als ik onze ICT afdelingen zie, en hun planning, dan heb ik daar best begrip voor.
Zeker op middengrote bedrijven, waar de ICT ook direct en face to face helpdesk is ( al dan niet gewild ) lopen die mensen vaak van hot naar her, om de andere afdelingen te ondersteunen.

Als je als ICT'er dan aangeeft dat je even de WHMCS moet patchen .... :|
"OK, maar kan je nu naar mijn muis kijken dan ?"

( op een tech-website is het makkelijk commentaar geven .. op veel plaatsen is er gewoon een dag, of periodeplanning voor onderhoud en controle )
Ik werk zelf in de ICT, softwareontwikkeling, en kom met enige regelmaat bij klanten dus ik zie hoe het gaat :) Het is ook geen verwijt richting een specifiek iemand maar een vaststelling. Dat jullie ICT afdeling daar niet aan toe komt kan dus bijzonder vervelende gevolgen hebben zoals hierboven beschreven. Dat er een dagplanning is waarin geen tijd is om op tijd veiligheidsmaatregelen te nemen kan erg vervelende gevolgen dus hebben. Ergens heeft iemand daar verantwoordelijkheid voor.

Ik maak gewoon mee dat beveiliging soms voor de helft de hoogste prioriteit heeft, bij het in gebruik nemen van een nieuw systeem. Maar vaak blijven andere veiligheidsvraagstukken zoals patchen dan lang liggen. In jouw specifieke voorbeeld ligt (wat ik er van dit kleine beetje informatie van kan maken) de verantwoordelijkheid (en schuld) ergens tussen de ICT manager van de afdeling en het bestuur. Ergens daartussen moeten keuzes worden gemaakt. Het afschuiven op een dagplanning/drukte heeft geen enkele zin, als je zo star wilt blijven werken dat er totaal geen enkele flexibiliteit mogelijk is dan krijg je dit soort ongein.

[Reactie gewijzigd door JT op 7 oktober 2013 09:02]

Gelukkig ben ik 'maar' een gebruiker op het werk, en heb nagenoeg niets met de ICT afdeling te maken.

Zeker sinds een overname zijn de cruciale systemen overgegaan op een landelijk dekkende afdeling, en lopen de heren hier inderdaad alleen nog maar muizen te wisselen, en de "lokale joomla" installatie te onderhouden, totdat ze een nieuwe doelstelling krijgen, maar in het verleden regelmatig meegekregen dat er inderdaad dat soort taken vooruitgeschoven werden, niet star, maar zonder medewerking van management kom je gewoon nergens
Dat is dan heel vervelend, maar als het verkeerd gaat schuif je dit gewoon op het bordje van je manager. Of je maakt je manager duidelijk wat het probleem is, dan heb je het zooitje in ieder geval gewaarschuwd ;)
Het is wel star, van de manager ;) Ik snap dat de mensen op de werkvloer er weinig aan kunnen doen behalve hun zorgen kenbaar maken.
Misschien is het een idee om je klant beheer website ACHTER een VPN te plaatsen?

Een klant administratie behoort niet op het grote internet. De meeste bedrijven zijn niet echt bekend met de gevaren van het internet, maar van een bedrijf dat VPN verbindingen aanbied mag je beter verwachten..
Waarom hoort dat niet?
Iedere klant verwacht tegenwoordig zijn facuren online in te kunnen zien en zijn naw gegevens te kunnen wijzigen.
Lekkere tekst is dat, vooral over PayPal-dispute en creditcard chargeback. Ik gok dat iemand een beetje ruzie heeft met de eigenaar, of heel erg jaloers is. Zielige actie...
Lekkere tekst is dat, vooral over PayPal-dispute en creditcard chargeback. Ik gok dat iemand een beetje ruzie heeft met de eigenaar, of heel erg jaloers is. Zielige actie...
Ik heb ook een keer een chargeback gedaan omdat ik de service niet meer gebruikte. Binnen 48 uur had ik bericht dat ik mijn geld terug kreeg. Super service
Dat is dus niet de bedoeling. Overigens is een service non-refundable bij Paypal. Op een CC kan je inderdaad een chargeback doen. Dit is ook de reden dat in NL het niet zo vaak aangeboden wordt aangezien er ook voldoende alternatieven zijn. Een chargeback omdat je de service niet gebruikt is ieder geval misbruik maken van je mogelijkheden (naar mijn mening).
Dat is dus niet de bedoeling. Overigens is een service non-refundable bij Paypal. Op een CC kan je inderdaad een chargeback doen. Dit is ook de reden dat in NL het niet zo vaak aangeboden wordt aangezien er ook voldoende alternatieven zijn. Een chargeback omdat je de service niet gebruikt is ieder geval misbruik maken van je mogelijkheden (naar mijn mening).
Ik had deze service via de chat support opgezegd. Hier heb ik ook bevestiging op gekregen. Twee maanden later ontdekte ik dat ik nog steeds maandelijks een rekening kreeg. Hierna is de chargeback ook goedgekeurd.
Helder. Dan nog was het wel zo netjes geweest om ze de kans te geven om het te refunden. Nu heb je ze per chargeback met 10-15 euro aan kosten opgezadeld + slechtere risicoscore. Iets vergeten is menselijk :)
Helder. Dan nog was het wel zo netjes geweest om ze de kans te geven om het te refunden. Nu heb je ze per chargeback met 10-15 euro aan kosten opgezadeld + slechtere risicoscore. Iets vergeten is menselijk :)
Toen ik in de factuur keek werd dit aangegeven als 'refund' optie als er iets mis was met de factuur. Dat heb ik toen gevolgd. Het was een extern systeem. Maar bedankt voor de tip :)
dat een daily of zelfs weekly upgrade policy niet altijd of volledig haalbaar is kan ik nog met enige moeite aanvaarden maar had men een IDS geen soulaas kunnen bieden ?

een "cheapo snort bakje" met een regelmatige update had dit naar mijn insziens wellicht kunnen vermijden
Central, Central, Central klinkt ook niet echt als een legitieme vestigingsplaats voor een bedrijf.
was die mailserver niet gewoon een open relay?
Ik denk dat je heel goed moet nadenken over je de manier waarop je, je reguliere planningen combineert met incidenten. Het lijkt me zeker niet de bedoeling als een blind paard alle patches en updates maar te installeren. Ik gok dat zo'n 30% van problemen met ICT juist het gevolg zijn van een te ijverige installaties van patches en updates. Oorzaak: integratie. Een ICT omgeving is niet van 1 leverancier, maar al gauw van tientallen leveranciers/bouwers. Dat moet nu juist getest worden. Aande andere kant wil je de meest gevaarlijke problemen ook niet op je af roepen.
Oplossing: misschien een soort combinatie van regulier onderhoud met hoge prioriteit installaties en updates (en vooraf, dus pro-acvtive). Hoewel een gemiddeld klein- en middelbedrijf niet de kennis en middelen heeft omdat te organiseren, laat staan te beseffen.
Nou, als ze ingebroken hebben via WHMCS dan hebben ze wel degelijk toegang gehad tot de database hoor. ;) En als dump permissies aan stonden dan kan je er vanuit gaan dat ie ook nog eens in z'n geheel gejat is.

Maar de vorige keer dat Tweakers claimde dat WHMCS in het spel was bleek dat niet te kloppen, wordt de vinger ook hier te vroeg gewezen of...?
Als het echt alleen een mailserver/mailinglist software is oid dan lijkt het me niet dat WHMCS de schuldige is.
In de reactie die PureVPN naar zijn klanten heeft gestuurd, hebben zij zelf het lek in WHMCS aangewezen als oorzaak van de hack. Terechte vermelding dus in dit geval. :)

Mededeling van PurePVN op hun blog.: "Preliminary reports suggest that we are hit with a zero day exploit, found in WHMcs; 3rd party CRM that we use on our website: http://blog.whmcs.com/?t=79427

We are able to confirm that the breach is limited to a subset of registered users Email IDs and names."

[Reactie gewijzigd door Skeiz op 7 oktober 2013 15:50]

Poeh, dan ben ik benieuwd hoe ze dat precies voor zich zien, want de exploit van WHMCS van afgelopen week gaf een enorme toegang; inclusief database...
Ben dus benieuwd hoe zij kunnen beweren dat hier geen sprake van is als hun WHMCS install verkracht is...
Dat zou wel even schikken zijn geweest voor sommige klanten.. ;)
Ik las in eerste instantie ook alleen de *fake* mail, en daarna pas het artikel.
verschil is dat via de headers van jouw email te achterhalen is dat deze niet via de mailservers van microsoft maar bv. via die van Ziggo verstuurd is ;)

In dit geval waren beide emails via dezelfde mailserver van PureVPN verstuurd waren

[Reactie gewijzigd door Yucko op 7 oktober 2013 12:50]

Dit. Bovendien moet je het adresbestand eerst maar eens zien de bemachtigen.
Dit staat geheel buiten de overheid. Heb je het artikel wel gelezen?

De brief was niet legitiem, maar verzonden door mensen met toegang tot de mail server.

[Reactie gewijzigd door Sn3akz op 7 oktober 2013 08:44]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True