Aanvallers breken in bij vpn-provider PureVPN

Onbekende aanvallers hebben ingebroken bij vpn-provider PureVPN en een valse mailing naar klanten gestuurd, waarin gesteld werd dat de dienst zijn deuren zou sluiten. Het is nog onduidelijk of en welke klantgegevens zijn buitgemaakt.

In de mail die de aanvallers aan een deel van de PureVPN-klanten uitstuurden, werd gesteld dat PureVPN 'al zijn klantgegevens over moest dragen aan de autoriteiten' en daarop zijn deuren sluit. Een paar uur later werd de mail opgevolgd met een mededeling van PureVPN dat de e-mail niet legitiem was. De dienst heeft geen juridische problemen en blijft gewoon open, benadrukt PureVPN.

Opvallend is dat beide mails, waaronder dus ook de valse e-mail, verstuurd zijn via dezelfde mailserver, wat er op duidt dat de aanvallers toegang hadden tot het mailsysteem. De aanvallers hebben waarschijnlijk toegang gehad tot e-mailadressen en namen. Of de aanvallers ook andere gegevens hebben bemachtigd, is onduidelijk, maar PureVPN bezweert dat het op zijn servers geen betalingsgegevens opslaat en geen logs van vpn-verkeer bijhoudt, waardoor het risico beperkt zou zijn. Met de vpn-dienst zelf zijn bovendien geen problemen, aldus het bedrijf.

Mogelijk is PurePVN het slachtoffer van een sql-injectie in WHMCS, een softwarepakket dat wordt gebruikt voor beheer van klanten. Afgelopen week werd een bug in dat softwarepakket gepatcht, nadat de ontdekker van het lek het in de openbaarheid had gebracht.

nepmail purevpn

De valse email die werd verstuurd aan klanten.

Door Joost Schellevis

Redacteur

Feedback • 07-10-2013 07:55 31

07-10-2013 • 07:55

31

Lees meer

Gevaarlijke bug in Drupal 7 maakt cms gevoelig voor sql-injecties - update
Gevaarlijke bug in Drupal 7 maakt cms gevoelig voor sql-injecties - update Nieuws van 16 oktober 2014
Sql-lek Nedgame gaf toegang tot gegevens 123.000 klanten
Sql-lek Nedgame gaf toegang tot gegevens 123.000 klanten Nieuws van 6 november 2013
'Servers Belgacom gehackt door buitenlandse inlichtingendienst' - update
'Servers Belgacom gehackt door buitenlandse inlichtingendienst' - update Nieuws van 16 september 2013
'NSA maakte misbruik van lek DigiNotar'
'NSA maakte misbruik van lek DigiNotar' Nieuws van 14 september 2013
Groot deel Amerikaanse internetters heeft digitale voetsporen gewist
Groot deel Amerikaanse internetters heeft digitale voetsporen gewist Nieuws van 5 september 2013
Onderzoekers passen gsm-toestel aan om gesprekken anderen te blokkeren
Onderzoekers passen gsm-toestel aan om gesprekken anderen te blokkeren Nieuws van 27 augustus 2013
Ontwikkelaarssite Apple blijkt gehackt - update
Ontwikkelaarssite Apple blijkt gehackt - update Nieuws van 22 juli 2013
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (31)

-Moderatie-faq
31
27
21
2
0
1
Wijzig sortering
Squ1zZy 7 oktober 2013 08:03
WHMCS Security Advisory for 5.x is pas vorige week donderdag uitgekomen. Kan begrijpen dat sommige bedrijven niet gelijk hun system kunnen patchen zonder volledig getest te hebben. Lijkt mij ook niet moeilijk om sites te vinden die WHMCS gebruiken en de versienummer te achterhalen. Met inurl in google zou je een eind moeten komen. Waarschijnlijk dat de templates ook een versienummer bevatten.

Ben bang dat we meer gaan horen over deze sql-injectie icm WHMCS :(

Edit: Zoeken in google met als hit 'powered by whmcompletesolution inurl:submitticket.php' is genoeg om WHMCS sites te vinden. Ook staan er al tutorials online om deze hacks uit te voeren :|

Probleem zit het hem blijkbaar in /includes/dbfunctions.php.

Voor diegene die willen testen:

Hier de exploit geschreven in Python:
http://www.mediafire.com/download/bep724fwr8t4scl/whmcs.py

Hier de exploit geschreven in PHP:
http://www.mediafire.com/...blp9bo92q/cyberaon(2).php

[Reactie gewijzigd door Squ1zZy op 25 juli 2024 07:58]

JT @Squ1zZy7 oktober 2013 08:32
Ik maak bij veel bedrijven mee dat testen van iets dergelijks om zo snel mogelijk in productie te nemen vaak/meestal ook niet de hoogste prioriteit heeft...Dus daar gaat dan makkelijk een paar weken overheen.
FreshMaker @JT7 oktober 2013 08:49
Ik maak bij veel bedrijven mee dat testen van iets dergelijks om zo snel mogelijk in productie te nemen vaak/meestal ook niet de hoogste prioriteit heeft...Dus daar gaat dan makkelijk een paar weken overheen.
Zou het misschien kunnen dat niet iedereen de hele dag / week daar tijd voor heeft ?
Als ik onze ICT afdelingen zie, en hun planning, dan heb ik daar best begrip voor.
Zeker op middengrote bedrijven, waar de ICT ook direct en face to face helpdesk is ( al dan niet gewild ) lopen die mensen vaak van hot naar her, om de andere afdelingen te ondersteunen.

Als je als ICT'er dan aangeeft dat je even de WHMCS moet patchen .... :|
"OK, maar kan je nu naar mijn muis kijken dan ?"

( op een tech-website is het makkelijk commentaar geven .. op veel plaatsen is er gewoon een dag, of periodeplanning voor onderhoud en controle )
JT @FreshMaker7 oktober 2013 08:59
Ik werk zelf in de ICT, softwareontwikkeling, en kom met enige regelmaat bij klanten dus ik zie hoe het gaat :) Het is ook geen verwijt richting een specifiek iemand maar een vaststelling. Dat jullie ICT afdeling daar niet aan toe komt kan dus bijzonder vervelende gevolgen hebben zoals hierboven beschreven. Dat er een dagplanning is waarin geen tijd is om op tijd veiligheidsmaatregelen te nemen kan erg vervelende gevolgen dus hebben. Ergens heeft iemand daar verantwoordelijkheid voor.

Ik maak gewoon mee dat beveiliging soms voor de helft de hoogste prioriteit heeft, bij het in gebruik nemen van een nieuw systeem. Maar vaak blijven andere veiligheidsvraagstukken zoals patchen dan lang liggen. In jouw specifieke voorbeeld ligt (wat ik er van dit kleine beetje informatie van kan maken) de verantwoordelijkheid (en schuld) ergens tussen de ICT manager van de afdeling en het bestuur. Ergens daartussen moeten keuzes worden gemaakt. Het afschuiven op een dagplanning/drukte heeft geen enkele zin, als je zo star wilt blijven werken dat er totaal geen enkele flexibiliteit mogelijk is dan krijg je dit soort ongein.

[Reactie gewijzigd door JT op 25 juli 2024 07:58]

FreshMaker @JT7 oktober 2013 09:15
Gelukkig ben ik 'maar' een gebruiker op het werk, en heb nagenoeg niets met de ICT afdeling te maken.

Zeker sinds een overname zijn de cruciale systemen overgegaan op een landelijk dekkende afdeling, en lopen de heren hier inderdaad alleen nog maar muizen te wisselen, en de "lokale joomla" installatie te onderhouden, totdat ze een nieuwe doelstelling krijgen, maar in het verleden regelmatig meegekregen dat er inderdaad dat soort taken vooruitgeschoven werden, niet star, maar zonder medewerking van management kom je gewoon nergens
paradoXical @FreshMaker7 oktober 2013 09:24
Dat is dan heel vervelend, maar als het verkeerd gaat schuif je dit gewoon op het bordje van je manager. Of je maakt je manager duidelijk wat het probleem is, dan heb je het zooitje in ieder geval gewaarschuwd ;)
JT @FreshMaker7 oktober 2013 09:35
Het is wel star, van de manager ;) Ik snap dat de mensen op de werkvloer er weinig aan kunnen doen behalve hun zorgen kenbaar maken.
Niemand_Anders @Squ1zZy7 oktober 2013 12:14
Misschien is het een idee om je klant beheer website ACHTER een VPN te plaatsen?

Een klant administratie behoort niet op het grote internet. De meeste bedrijven zijn niet echt bekend met de gevaren van het internet, maar van een bedrijf dat VPN verbindingen aanbied mag je beter verwachten..
Bender @Niemand_Anders7 oktober 2013 13:25
Waarom hoort dat niet?
Iedere klant verwacht tegenwoordig zijn facuren online in te kunnen zien en zijn naw gegevens te kunnen wijzigen.
Sorcerer8472 7 oktober 2013 08:29
Lekkere tekst is dat, vooral over PayPal-dispute en creditcard chargeback. Ik gok dat iemand een beetje ruzie heeft met de eigenaar, of heel erg jaloers is. Zielige actie...
jochem4207 @Sorcerer84727 oktober 2013 09:03
Lekkere tekst is dat, vooral over PayPal-dispute en creditcard chargeback. Ik gok dat iemand een beetje ruzie heeft met de eigenaar, of heel erg jaloers is. Zielige actie...
Ik heb ook een keer een chargeback gedaan omdat ik de service niet meer gebruikte. Binnen 48 uur had ik bericht dat ik mijn geld terug kreeg. Super service
r.elu @jochem42077 oktober 2013 12:49
Dat is dus niet de bedoeling. Overigens is een service non-refundable bij Paypal. Op een CC kan je inderdaad een chargeback doen. Dit is ook de reden dat in NL het niet zo vaak aangeboden wordt aangezien er ook voldoende alternatieven zijn. Een chargeback omdat je de service niet gebruikt is ieder geval misbruik maken van je mogelijkheden (naar mijn mening).
jochem4207 @r.elu7 oktober 2013 12:52
Dat is dus niet de bedoeling. Overigens is een service non-refundable bij Paypal. Op een CC kan je inderdaad een chargeback doen. Dit is ook de reden dat in NL het niet zo vaak aangeboden wordt aangezien er ook voldoende alternatieven zijn. Een chargeback omdat je de service niet gebruikt is ieder geval misbruik maken van je mogelijkheden (naar mijn mening).
Ik had deze service via de chat support opgezegd. Hier heb ik ook bevestiging op gekregen. Twee maanden later ontdekte ik dat ik nog steeds maandelijks een rekening kreeg. Hierna is de chargeback ook goedgekeurd.
r.elu @jochem42077 oktober 2013 12:59
Helder. Dan nog was het wel zo netjes geweest om ze de kans te geven om het te refunden. Nu heb je ze per chargeback met 10-15 euro aan kosten opgezadeld + slechtere risicoscore. Iets vergeten is menselijk :)
jochem4207 @r.elu7 oktober 2013 13:31
Helder. Dan nog was het wel zo netjes geweest om ze de kans te geven om het te refunden. Nu heb je ze per chargeback met 10-15 euro aan kosten opgezadeld + slechtere risicoscore. Iets vergeten is menselijk :)
Toen ik in de factuur keek werd dit aangegeven als 'refund' optie als er iets mis was met de factuur. Dat heb ik toen gevolgd. Het was een extern systeem. Maar bedankt voor de tip :)
Anoniem: 304166 7 oktober 2013 08:36
dat een daily of zelfs weekly upgrade policy niet altijd of volledig haalbaar is kan ik nog met enige moeite aanvaarden maar had men een IDS geen soulaas kunnen bieden ?

een "cheapo snort bakje" met een regelmatige update had dit naar mijn insziens wellicht kunnen vermijden
_Thanatos_ 7 oktober 2013 10:24
Central, Central, Central klinkt ook niet echt als een legitieme vestigingsplaats voor een bedrijf.
fre0n 7 oktober 2013 10:53
was die mailserver niet gewoon een open relay?
atillav 7 oktober 2013 12:17
Ik denk dat je heel goed moet nadenken over je de manier waarop je, je reguliere planningen combineert met incidenten. Het lijkt me zeker niet de bedoeling als een blind paard alle patches en updates maar te installeren. Ik gok dat zo'n 30% van problemen met ICT juist het gevolg zijn van een te ijverige installaties van patches en updates. Oorzaak: integratie. Een ICT omgeving is niet van 1 leverancier, maar al gauw van tientallen leveranciers/bouwers. Dat moet nu juist getest worden. Aande andere kant wil je de meest gevaarlijke problemen ook niet op je af roepen.
Oplossing: misschien een soort combinatie van regulier onderhoud met hoge prioriteit installaties en updates (en vooraf, dus pro-acvtive). Hoewel een gemiddeld klein- en middelbedrijf niet de kennis en middelen heeft omdat te organiseren, laat staan te beseffen.
WhatsappHack
7 oktober 2013 15:15
Nou, als ze ingebroken hebben via WHMCS dan hebben ze wel degelijk toegang gehad tot de database hoor. ;) En als dump permissies aan stonden dan kan je er vanuit gaan dat ie ook nog eens in z'n geheel gejat is.

Maar de vorige keer dat Tweakers claimde dat WHMCS in het spel was bleek dat niet te kloppen, wordt de vinger ook hier te vroeg gewezen of...?
Als het echt alleen een mailserver/mailinglist software is oid dan lijkt het me niet dat WHMCS de schuldige is.
Skeiz @WhatsappHack7 oktober 2013 15:47
In de reactie die PureVPN naar zijn klanten heeft gestuurd, hebben zij zelf het lek in WHMCS aangewezen als oorzaak van de hack. Terechte vermelding dus in dit geval. :)

Mededeling van PurePVN op hun blog.: "Preliminary reports suggest that we are hit with a zero day exploit, found in WHMcs; 3rd party CRM that we use on our website: http://blog.whmcs.com/?t=79427

We are able to confirm that the breach is limited to a subset of registered users Email IDs and names."

[Reactie gewijzigd door Skeiz op 25 juli 2024 07:58]

WhatsappHack
@Skeiz7 oktober 2013 16:27
Poeh, dan ben ik benieuwd hoe ze dat precies voor zich zien, want de exploit van WHMCS van afgelopen week gaf een enorme toegang; inclusief database...
Ben dus benieuwd hoe zij kunnen beweren dat hier geen sprake van is als hun WHMCS install verkracht is...
ProudElm 7 oktober 2013 07:58
Dat zou wel even schikken zijn geweest voor sommige klanten.. ;)
ToWi1989 @ProudElm7 oktober 2013 09:48
Ik las in eerste instantie ook alleen de *fake* mail, en daarna pas het artikel.
Yucko @mkools247 oktober 2013 12:49
verschil is dat via de headers van jouw email te achterhalen is dat deze niet via de mailservers van microsoft maar bv. via die van Ziggo verstuurd is ;)

In dit geval waren beide emails via dezelfde mailserver van PureVPN verstuurd waren

[Reactie gewijzigd door Yucko op 25 juli 2024 07:58]

Anoniem: 445817 @Yucko7 oktober 2013 15:18
Dit. Bovendien moet je het adresbestand eerst maar eens zien de bemachtigen.
Sn3akz @unglaublich7 oktober 2013 08:43
Dit staat geheel buiten de overheid. Heb je het artikel wel gelezen?

De brief was niet legitiem, maar verzonden door mensen met toegang tot de mail server.

[Reactie gewijzigd door Sn3akz op 25 juli 2024 07:58]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq