Hackers Leaseweb defacen website beveiligingsbedrijf AVG - update

De hackers die eerder de website van Leaseweb vervingen hebben de website van beveiligingsbedrijf AVG gedefaced. De aanvallers vervingen de website van het beveiligingsbedrijf met een politieke boodschap.

Het is onduidelijk of de hackers, die zich toegang hebben verschaft tot de website van AVG, naast het defacement ook nog gegevens hebben kunnen buitmaken. Inmiddels heeft AVG de controle over zijn eigen site weer terug en is de homepage teruggeplaatst.

De hackers opereren om hun politieke boodschap te verspreiden en zijn actief op Twitter onder de naam Kdms Team. Zondag hadden diezelfde hackers via een dns-hijack de website van Leaseweb overgenomen: het zou goed kunnen dat het hier ook het geval is geweest. Naast AVG werd ook de website van WhatsApp het slachtoffer van de hackers.

Een traceroute die Tweakers heeft uitgevoerd wijst uit dat de server bij een Braziliaanse site vandaan komt, terwijl het ip-adres wijst op de Amerikaanse stad Dallas. Dat zegt alleen iets over waar de pagina staat en dus niets over waar de hackersgroep zich precies bevindt.

Update, 15:55: Ook de website van beveiligingsbedrijf Avira zou zijn gedefaced door dezelfde hackers.

Defacement AVG.com

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 08-10-2013 13:03 77

08-10-2013 • 13:03

77

Lees meer

Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP
Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP Nieuws van 6 april 2024
Gebruikers melden defacement van websites door 'Turkse hackers' - update
Gebruikers melden defacement van websites door 'Turkse hackers' - update Nieuws van 13 maart 2017
Google-onderzoeker stelt lek in Chrome-extensie van AVG vast
Google-onderzoeker stelt lek in Chrome-extensie van AVG vast Nieuws van 29 december 2015
AVG verzamelt browse- en zoekgeschiedenis klanten en verkoopt die mogelijk door
AVG verzamelt browse- en zoekgeschiedenis klanten en verkoopt die mogelijk door Nieuws van 17 september 2015
Avira brengt eigen 'veilige' browser uit
Avira brengt eigen 'veilige' browser uit Nieuws van 3 juli 2015
LeaseWeb haalt Coppersurfer-tracker offline na klacht van Brein
LeaseWeb haalt Coppersurfer-tracker offline na klacht van Brein Nieuws van 7 april 2015
Tunesische hackers defacen website Notepad++
Tunesische hackers defacen website Notepad++ Nieuws van 12 januari 2015
Ars Technica kampte met defacement
Ars Technica kampte met defacement Nieuws van 16 december 2014
AVG-toolbar maakte aanval op Internet Explorer-gebruikers mogelijk
AVG-toolbar maakte aanval op Internet Explorer-gebruikers mogelijk Nieuws van 8 juli 2014
LeaseWeb: hackers hadden toegang tot ticketsysteem - update
LeaseWeb: hackers hadden toegang tot ticketsysteem - update Nieuws van 31 oktober 2013
Gebruikers sociale-netwerkdienst Buffer versturen spam na hackaanval
Gebruikers sociale-netwerkdienst Buffer versturen spam na hackaanval Nieuws van 27 oktober 2013
Lek maakt privégegevens gebruikers homo-dating-app Grindr toegankelijk - update
Lek maakt privégegevens gebruikers homo-dating-app Grindr toegankelijk - update Nieuws van 24 oktober 2013
Hackers defacen website LeaseWeb - update
Hackers defacen website LeaseWeb - update Nieuws van 6 oktober 2013
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (77)

-Moderatie-faq
77
71
43
4
0
9
Wijzig sortering
Beelzebassie 8 oktober 2013 13:06
Avira idem...

http://www.avira.com/en/avira-free-antivirus
vharten @Beelzebassie8 oktober 2013 13:10
Onderaan deze pagina staat wel:
----------------------------------------------------------------------------------
Hacked by KDMS team
Now .. We Will Quit Hacking
----------------------------------------------------------------------------------

Dus zijn we er nu van af? :P
xFeverr @vharten8 oktober 2013 13:31
hun twitter zegt iets anders...
(...) we get #avg and #WhatsApp. what next ? w8 for us
bron: http://bit.ly/1gmCup1
xFeverr @Beelzebassie8 oktober 2013 13:27
Let op: zet je geluid uit (of zacht)

schrik me rot, ineens zo'n gek muziekje... gelijk iedereen wakker hier. wordt ook raar aangekeken door collega's. "Goh... hou je daar ook van?" |:(
Damic @Beelzebassie8 oktober 2013 13:48
En site is al terug normaal
Dennizz 8 oktober 2013 13:41
Dit is een hack bij Network Solutions (USA), waarbij de NS records zijn aangepast en domeinen zijn gehijacked. Ik ben er druk mee, samen met mijn collega's binnen onze organisatie...
marcelvb @Dennizz8 oktober 2013 15:52
Het is zeer zorgelijk dat er nu alweer een registrar gehackt is en dat blijkbaar zo eenvoudig het DNS is aan te passen. DNS is de ruggengraat van internet en zou ook zo behandeld moeten worden. Een registrar zou zo veilig moeten zijn als een bank.

En waarom gebruikt nog niet iedereen DNSSEC?
Dennizz @marcelvb8 oktober 2013 16:39
DNSSEC had in dit scenario waarschijnlijnk niet geholpen. Als je bij de registrar de NS records aan kan passen is het waarschijnlijk een fluitje van een cent de DS records te verwijderen of eigen DS records te injecteren. Het is inderdaad wel zorgelijk dat een dergelijke partij gehackt kan worden en het is heel moeilijk om daar als derde partij grip op te krijgen. We zijn voor wat betreft delegatie van het second level domain volledig afhankelijk van deze partij.

Inmiddels zijn de NS records weer aangepast, maar er zit nog een boel in de caches bij verschillende providers.
WhatsappHack
@Dennizz8 oktober 2013 19:51
Dat was me ook al opgevallen, ze staan allemaal bij Network Solutions. Heeeeel slechte zaak.
Het fijne voor mijzelf is dat ik daar net een behoorlijk aantal domeinen weg gehaald hebt.
Scraxxy 8 oktober 2013 17:39
Persbericht van Avira:

Dear fans,

today, October 8th 2013, 12:15 CET+2, we have experienced a major disruption in our DNS service.
It appears that several websites of Avira as well as other companies have been compromised by a group called KDMS. The websites of Avira have not been hacked, the attack happened at our Internet Service Provider “Network Solutions”.

What happened?

The DNS records of various websites, including those of Avira.com, were changed to point to other domains that do not belong to Avira.
It appears that our account used to manage the DNS records registered at Network Solutions has received a fake password-reset request not being initiated by anyone at Avira. Network Solutions appears to have honored this request and allowed a 3rd party to assume control of our DNS. Using the new credentials the cybercriminals have been able to change the entries to point to their DNS servers.
Our internal network has not has not been compromised in any way. As a measure of security we have shut down all exterior services until we have all DNS entries in our possession again.

What are the next steps?

We are working with the ISP to receive control on the domain name and only when we have solved the problem we will restore the access to the Avira services.
At this point we are not aware of any effect to our customers.

Of course, we will keep you updated on the matter!
Verwijderd 8 oktober 2013 13:05
Jammer dit. Ook vreemd van de taalfouten.

Kan je dan niet beter overheidswebsites hacken? Is wat toepasselijker voor een politieke boodschap en je laat bedrijven met rust.
Verwijderd @Verwijderd8 oktober 2013 13:20
Ik kan me niet voorstellen dat dit de echte boodschap is die ze willen overbrengen. Dit ziet eruit alsof iemand net van /pol/ komt. Vraag me af wat het doel van de defacement was, behalve dan blijkbaar aantonen dat AVG de boel niet echt op orde heeft met hun website.
Zer0 @Verwijderd8 oktober 2013 13:45
Kan je dan niet beter overheidswebsites hacken?
Van echt hacken is geen sprake, waarschijnlijk scannen ze diverse dns-servers op een bekende bug en pakken de eerste de beste die ze tegen komen en "hackbaar" is.
Amadeus1966 @Verwijderd8 oktober 2013 20:34
misschien zijn de taalfouten wel expres gemaakt, om zo een andere boodschap de wereld in te sturen.
misschien wel een geheime code.......of een schreeuw om beter onderwijs....Who knows
Wodanford @Verwijderd8 oktober 2013 13:25
Ook vreemd van de taalfouten.
Probeer jij eens het Arabisch alfabet te gebruiken? Een streepje verkeerd zetten mag een kleine fout lijken maar op een Palestijn komt dat knullig over.

On topic: Sun Ich verklaarde destijds dat hij DigiNotar had gebruikt omdat hij was "begonnen met de lijst van certificaatleveranciers die in webbrowser Mozilla zit". Zou hier niet hetzelfde aan de hand kunnen zijn, dat AVG, Avira, LeaseWeb en WhatsApp simpelweg op een bepaald lijstje staan?

Edit: Betrouwbaardere bron gebruikt

[Reactie gewijzigd door Wodanford op 22 juli 2024 15:45]

Verwijderd @Wodanford8 oktober 2013 13:32
De taal die zij gebruiken is toch Engels?

Fouten maken is ook in het Nederlands makkelijk genoeg. Dit is nog geen reden om 4 fouten te zien als normaal. Het is vreemd dat zo'n boodschap zoveel fouten bevat.
Wodanford @Verwijderd8 oktober 2013 13:54
De taal die ze gebruiken is - aangenomen dat het inderdaad Palestijnen betreft, maar zelfs als het Brazilianen zijn - niet hun eigen taal. Daarnaast gebruiken ze een ander schrift dan ze gewoon zijn. Ik vind het niet gek dat dat tot taalfouten leidt. Andersom werkt het net zo. Wij gaan het niet voor elkaar krijgen om foutloos Arabisch te schrijven.

Bovendien valt het met de taalfouten redelijk mee. In twee gevallen (Plaestinian en Tow) lijkt het te gaan om te snel typwerk. Verder wat weggelaten interpunctie en grammaticale fouten die je nou eenmaal maakt als je een taal gebruikt die je niet goed beheerst. Als je al een conclusie kunt trekken op basis van de taalfouten, dan vind ik het juist aannemlijk dat het hier daadwerkelijk lui betreft die het Engels niet goed machtig zijn in plaats van dat ze de Palestijnen deze aanval in de schoenen willen schuiven.

Edit: Palestijn of Braziliaan maakt niet uit

[Reactie gewijzigd door Wodanford op 22 juli 2024 15:45]

Verwijderd @Wodanford8 oktober 2013 14:14
Wel kunnen hacken maar niet eens je eigen naam/land kunnen schrijven? Zeer vreemd. Het ziet er gewoon erg lachwekkend uit.
Wodanford @Verwijderd8 oktober 2013 14:17
Ze zullen de naam van hun land prima kunnen schrijven in het Engels. Te snel typen is iets wat we allemaal wel eens doen. Als dat in een schrift gebeurt dat niet je eigen is, dan zal dat mogelijk minder snel opvallen. Kun jij 'Nederland' in het Arabisch schrijven? En dan bedoel ik zonder rechtstreeks te kopieren van een voorbeeld. Vast niet. Terwijl het de naam van je eigen land is, toch?

Edit: Zin aangepast

[Reactie gewijzigd door Wodanford op 22 juli 2024 15:45]

themac1983 @Wodanford8 oktober 2013 14:56
Nee, maar als ik een boodschap de wereld in wil sturen. Zorg ik ervoor dat ik dit klaar heb liggen, dat ik er een paar spelchecks overheen gegooid heb en dat ik het door een ander heb laten proofreaden. Dit komt gewoon knullig over, niet goed als je een boodschap wilt overbrengen. feit dat we het nu meer over de taalfouten hebben dan de boodschap maakt dat wel duidelijk.
Wodanford @themac19838 oktober 2013 15:09
Er is een verschil tussen technisch vaardig zijn en communicatief vaardig zijn. Hackers, zeker die van een bepaald niveau, staan nu niet bekend om laatstgenoemde. Zie ook deze vraag op Slashdot en deze reactie erop. Het feit dat we het nu meer over de taalfouten hebben dan over de boodschap wijt ik liever aan mezelf.
Verwijderd @Wodanford8 oktober 2013 15:49
Je vergeet dat Engels iets bekender is als taal dan Nederlands.
Ik kan namelijk zonder problemen "Nederland" in het Engels schrijven. Dat zou een gelijkwaardige situatie zijn.
Dit niveau is dusdanig bedroevend dat je dit niet serieus kunt nemen.
Verwijderd @Wodanford8 oktober 2013 15:59
WTF? Blijkbaar kunnen ze dat niet, dat zie je duidelijk in hun komische bericht.

Iedereen ziet toch het verschil in PLAESTINIAN en PALESTINIAN?

Is gewoon een typo. Had voorkomen kunnen worden door effe goed kijken. Daaronder schrijven ze het wel goed: Palestinian people.

En wat willen ze nou? Ze hebben niet eens een land. Die figuren zijn/worden door alle omringende landen nou niet echt geholpen. Niemand wil ze hebben.
MorgothG 8 oktober 2013 13:07
Je zou van AVG een site verwachten (bijna) niet te hacken is. Maar goed. Ik vind : "We want peace" wel het belangrijkste. Ik zie liever dit dan een bomaanslag.

Politiek eens of oneens, dat niet iedereen in die regio blij is, is een feit. Fijn dat er zo geen doden vallen.
Verwijderd @MorgothG8 oktober 2013 13:12
Je zou van AVG een site verwachten (bijna) niet te hacken is.
Wat leken horen: "AVG is gehackt"
Wat tweakers horen: "Een zoekveldje was kwetsbaar voor SQL injectie"

(disclaimer: geen idee of het een sql-injectie is. Mijn comment is bedoelt om aan te geven dat leken anders tegen zo'n hack aankijken. Dit speelt bij de hackers mee in het doel dat ze trachten te bereiken.)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:45]

RGAT @Verwijderd8 oktober 2013 13:18
Of: de dns werkt gehijackt, iets waar AVG helemaal niks mee te maken zou hebben...
Verwijderd @RGAT8 oktober 2013 13:24
Correct. Ik heb mijn post iets toegelicht. Mijn reactie was bedoeld om te laten zien dat leken anders tegen een incident als dit aankijken dan tweakers cq I(C)T-ers. Voor tweakers is het technische gedeelte (hoe) interessanter. Voor de "hacker" is het beeld dat ze neerzetten bij "het algemene publiek" (het in staat zijn van het hacken van AVG) van grotere betekenis.
MorgothG @Verwijderd8 oktober 2013 13:57
Ik vind als Tweaker het technische gedeelte in dit nieuws item niet echt relevant. Dat zou meer iets zijn voor het aankondigen van een 0day kwetsbaarheid waar ineens veel gebruik van wordt gemaakt. De nieuwswaardigheid zit het toch aan de 'leken' kant. Namelijk dat een site als AVG defached wordt. En ook Avira.

Doordat dit etalages zijn van bedrijven voor internetveiligheid is dit een publieke winst en nieuwswaardig feit. En dus bereiken de hackers, scriptkiddies of niet, hun doel. Het onder de aandacht brengen van hun kwestie.

En hoe irritant ook. Nog altijd beter dan een bom.
Hatsjoe @Verwijderd8 oktober 2013 13:17
Als SQL injectie inderdaad het geval was, is dit nog duizend maal kwalijker. Dat is iets wat zooooo makkelijk te voorkomen is. Exploits, daar doe je niet veel tegen (mits het een 0day is). Maar waarschijnlijk is dit gewoon weer DNS Hijacking geweest, aagezien dit gewoon script-kiddies zijn.

Hopelijk zijn we nu eindelijk van deze losers af. En we moeten hier met z'n allen gewoon geen aandacht aan schenken.
ATS @MorgothG9 oktober 2013 10:06
Waarom? Die site is niets meer dan een uithangbord.
MorgothG @ATS9 oktober 2013 10:29
Ja je hebt helemaal gelijk. Maar het blijft wel de poster of uithangbord van AVG (of CIA zoals bij xkcd). Het defachenvan een uithangbord van zo'n instantie heeft hiermee veel meer waarde dan dat de site van bijvoorbeeld Douwe Egberts Koffie wordt gehackt. Het heeft hiermee publieke waarde. De actie is publieksbeinvloeding, niet het aan Tweakers laten zien hoe goed ze zijn.

Off topic: Maar bedankt he! nu ben ik weer een kwartiertje of meer zoet met oude xkcd's lezen :)
real[B]art 8 oktober 2013 13:08
Ik krijg altijd een beetje een meewarig gevoel bij dit soort dingen... wel de moeite nemen om jouw boodschap op een omslachtige wijze de wereld in te slingeren, maar niet even de moeite nemen om zelfs de meest overduidelijke spel- en grammaticafouten er uit te halen. Dat geeft mij meestal de indruk dat het een stel scriptkiddies betreft die het puur ging om de lol van het 'hacken', waarbij de achtergelaten boodschap vooral een ter plekke bedachte rechtvaardiging achteraf is.
Verwijderd @real[B]art8 oktober 2013 13:38
Of het is precies de indruk die ze je willen geven.

Ik zoek het nu wat ver, maar vergeet niet dat politie en geheime diensten over de hele wereld groots inzetten op cybercrime en cyberwarfare. Er moet natuurlijk wel af en toe wat gebeuren willen ze daar mooie budgetten en wetswijzigingen voor krijgen.

EDIT: een beetje Googlen leert dat Plaestinian een vaak gebruikte spelling is door niet-westerse personen/media. Misschien is het dus geen spellingsfout, of in elk geval een bewuste.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:45]

Convirion 8 oktober 2013 13:16
Inmiddels krijg ik het volgende te zien op avg.com: http://i40.tinypic.com/33cnpc1.png

Avira en Whatsapp lijken nog steeds het bericht uit het nieuwsbericht te tonen.
Verwijderd @Convirion8 oktober 2013 13:39
13.38: Whatsapp staat alweer normaal.
Youckle @Verwijderd8 oktober 2013 19:36
Hier, op het UPC netwerk, is whatsapp nogsteeds niet bereikbaar.
MAX3400 8 oktober 2013 13:06
Als je dan toch een boodschap wil uitdragen door sites van anderen te defacen/hacken, zorg dan minstens dat je je boodschap ergens door de spellingchecker hebt gehaald en consequent gebruikt maakt van hoofdletters en andere leestekens.
mklcln 8 oktober 2013 13:07
Whatsapp.com is hier ook door getroffen :x Als ze maar niks met de berichtendienst hebben gedaan :)

[Reactie gewijzigd door mklcln op 22 juli 2024 15:45]

Lampie 8 oktober 2013 13:10
Het is wachten op de eerste hackergroepering met een designer in dienst.
YopY @Lampie8 oktober 2013 13:17
Nouja, d'r is een subgroep bij hackers / crackers die toch wel mooie demo's in elkaar schroeven, samen met goeie chiptunes muziek. Maar inderdaad.

Anonymous zou je ook punten kunnen geven voor hun video's.
Rigs @Lampie8 oktober 2013 13:17
haha ;-) het zie er inderdaad uit als een oude game op de super nintendo

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq