LeaseWeb: hackers hadden toegang tot ticketsysteem - update

Hackers zijn er in geslaagd om het ticketsysteem van LeaseWeb binnen te dringen, zo heeft het hostingbedrijf aan een deel van zijn klanten laten weten. Hen wordt geadviseerd om hun wachtwoorden te wijzigen. Ook is de politie ingeschakeld voor een onderzoek.

LeaseWeb company logoIn een e-mail die LeaseWeb naar een deel van zijn klanten heeft gestuurd is te lezen dat het bedrijf de hack op zijn ticketsysteem, dat gebruikt wordt door de supportafdeling, tijdens een routinecontrole op het spoor is gekomen. De aanvallers zouden op 'zeer geraffineerde wijze' de logindata van een LeaseWeb-medewerker hebben bemachtigd. LeaseWeb laat aan Tweakers weten dat daarvoor speciaal voor het hostingbedrijf aangepaste malware is gebruikt die niet door antivirusscanners op de mailserver en desktop werd gedetecteerd.

Met de buitgemaakte inloggegevens zijn in het ticketsysteem de gegevens van enkele klanten opgevraagd, zo zou blijken uit loggegevens. Het hostingbedrijf zegt geen aanwijzingen te hebben dat deze data actief is misbruikt. Daarmee zou de impact beperkt zijn gebleven.

LeaseWeb zegt de zaak zeer te betreuren en stelt dat klanten die de afgelopen zes maanden via het ticketsysteem wachtwoorden hebben gekregen deze uit voorzorg zo snel mogelijk te wijzigen. Ook zou de politie zijn ingeschakeld en medewerkers van LeaseWeb zouden hen assisteren bij een onderzoek naar de zaak.

Om de veiligheid in de toekomst te verbeteren wil het hostingbedrijf het ticketsysteem niet meer extern toegankelijk maken. Ook wil LeaseWeb bekijken of het two-factor authenticatie voor zijn medewerkers gaat invoeren.

Update, 22:04: Meer informatie van LeaseWeb toegevoegd.

Door Dimitri Reijerman

Redacteur

Feedback • 31-10-2013 19:19
26 • submitter: mitch2kbe

31-10-2013 • 19:19

26

Submitter: mitch2kbe

Lees meer

Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP
Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP Nieuws van 6 april 2024
LeaseWeb haalt Coppersurfer-tracker offline na klacht van Brein
LeaseWeb haalt Coppersurfer-tracker offline na klacht van Brein Nieuws van 7 april 2015
LaCie: hackers konden jaar lang creditcard-betalingen inzien
LaCie: hackers konden jaar lang creditcard-betalingen inzien Nieuws van 15 april 2014
Onderzoekers stelen data via onhoorbare akoestische mesh-netwerken
Onderzoekers stelen data via onhoorbare akoestische mesh-netwerken Nieuws van 25 november 2013
Hackers Leaseweb defacen website beveiligingsbedrijf AVG - update
Hackers Leaseweb defacen website beveiligingsbedrijf AVG - update Nieuws van 8 oktober 2013
Hackers defacen website LeaseWeb - update
Hackers defacen website LeaseWeb - update Nieuws van 6 oktober 2013
Nipte meerderheid leden stemt voor uitbreiding AMS-IX naar VS
Nipte meerderheid leden stemt voor uitbreiding AMS-IX naar VS Nieuws van 28 september 2013
Leaseweb neemt Amerikaans hostingbedrijf Shore.net over
Leaseweb neemt Amerikaans hostingbedrijf Shore.net over Nieuws van 18 september 2013
LeaseWeb publiceert eigen Transparency Report
LeaseWeb publiceert eigen Transparency Report Nieuws van 11 april 2013
Meer producten en artikelen
Netwerk en systeembeheer LeaseWeb

Reacties (26)

-Moderatie-faq
26
24
17
4
0
2
Wijzig sortering
TheDevilOnLine 31 oktober 2013 21:37
Edit: Lezen is een vak apart O-)

[Reactie gewijzigd door TheDevilOnLine op 5 augustus 2024 02:50]

Hatsjoe @TheDevilOnLine31 oktober 2013 21:40
Deze hack staat compleet los van de DNS Hijack van een tijd terug. Toen was het account van LeaseWeb bij hun registrar van leaseweb.com gehacked. Er zijn toen ook geen klantgegevens buitgemaakt, omdat de hackers geen toegang hadden tot de interne systemen.

Nu zijn ze binnen gedrongen in het ticket systeem, door waarschijnlijk een virus op de (prive) laptop/pc van een werknemer. Dat er om root wachtwoorden gevraagd wordt in tickets is logisch, hoe moet je anders pakketten installeren voor een klant? Of bepaalde problemen oplossen?

Ik vind het dommer van de klanten dat ze hun root wachtwoord niet aanpassen na het ontvangen hebben van support. Jouw "rant" is dus volledig ongegrond. Hoop niet dat jij in de IT werkt.
Carda @Hatsjoe31 oktober 2013 21:59
Als je een managed oplossing bied ga je helemaal niet klooien met wachtwoorden.
En je gaat al helemaal niet met root inloggen op een systeem. Gelukkig staat dat normaal ook uit via SSH.

Een voorbeeld zou zijn om een management account + ldap en certificaten te gebruiken.
Daarnaast kun je dan ook meteen 2-factor authenticatie voor dat account instellen via bijv. cloud security met push authenticatie :)
Hatsjoe @Carda1 november 2013 01:11
LeaseWeb is een unmanaged hosting provider, dus je reactie gaat hier niet op. Ze installeren dus geen SSH backdoors, accounts of keys. Als klanten support willen op software/OS niveau, zullen ze dus hun wachtwoord moeten afstaan.
Niet meer dan logsich.

[Reactie gewijzigd door Hatsjoe op 5 augustus 2024 02:50]

Bazziek 31 oktober 2013 19:26
"De aanvallers zouden op 'zeer geraffineerde wijze' de logindata van een LeaseWeb-medewerker hebben bemachtigd."

Daarbij ruik ik toch al snel simpele sociale engineering ipv zeer geraffineerd handelen...
Sorcerer8472 @Bazziek31 oktober 2013 19:52
"Hoi, met de baas. We hebben een storing en we hebben jouw wachtwoord nodig!"
Denk je dat het zo makkelijk gaat bij een bedrijf als LeaseWeb?...

Ben wel benieuwd welke manier het nou was. Kunnen anderen wellicht van leren!
fre0n @Sorcerer84721 november 2013 12:03
Waarschijnlijk is het inderdaad zo makkelijk. Natuurlijk niet precies op de manier die je schetst maar met enige psychologische kenniskom je blijkbaar een heel eind:

http://www.nl.capgemini.c...informatiebeveiliging.pdf
bbob
@Sorcerer847231 oktober 2013 20:31
Om de veiligheid in de toekomst te verbeteren wil het hostingbedrijf het ticketsysteem niet meer extern toegankelijk maken.

Zou dus een virus / malware keylogger of iets in een thuis pc van een medewerker kunnen zijn.
WhatsappHack
@Sorcerer847231 oktober 2013 23:59
Nou... Zo makkelijk ging het dus wel bij HostGator. De servers van WHMCS, dat sowieso al niet te boek staat als super veilig, zijn "gehacked" door iemand die gewoon contact opnam via Live Chat met HostGator na social engineering op de eigenaar van WHMCS, en de technician paste doodleuk het root wachtwoord aan...
Nu is dat wel iets anders als de login van een medewerker resetten, maar het blijkt maar dat het zomaar zou kunnen gebeuren.

En HostGator is denk ik wel zeker nog een stuk groter dan LeaseWeb.
Let wel, het ging hier om malware, maar ik wou toch even reageren met dit stukje. :)
bones @Bazziek31 oktober 2013 19:52
x2, nep facebook accountje aanmaken met wat fotos erop van een leuke meid. Vrienden worden en daarna alle benodigde informatie achterhalen.
Verwijderd @bones31 oktober 2013 20:30
x2, nep facebook accountje aanmaken met wat fotos erop van een leuke meid. Vrienden worden en daarna alle benodigde informatie achterhalen.
Dus als jouw nieuwe vriendin vraagt om je password voor een werk account dan gaat er geen lampje branden? Als dat bij jou werkt hoop ik dat je nooit een IT functie krijgt.
Verwijderd @Verwijderd1 november 2013 11:47
bones doelt waarschijnlijk op het onderzoek van Aamir Lakhani, waarbij een groot bedrijf volledig gecomprimeerd wordt door social engineering.

http://www.itworld.com/se...ed-security-aware-it-guys

[Reactie gewijzigd door Verwijderd op 5 augustus 2024 02:50]

mae-t.net @Verwijderd2 november 2013 03:43
Hoe goed comprimeert zo'n groot bedrijf tegenwoordig nou nog? Was het na afloop een midden-en-kleinbedrijf of zelfs een ZZP'er?

Waarschijnlijk bedoel je gecompromitteerd, maar opzich klinkt gecomprimeerd ook wel logisch, alleen daarna expanderen zal wat lastig worden. Kijk maar naar de affaire met Diginotar, die vielen in een zwart gat en werden dus maximaal gecomprimeerd.

Overigens wel schokkend dat zoiets via social media lukt, of eigenlijk nog schokkender als je ziet hoe simpel het ging en dat er zelfs antivirus-medewerkers in een e-cardexploit trapten. Diep treurig.

[Reactie gewijzigd door mae-t.net op 5 augustus 2024 02:50]

bones @Verwijderd4 november 2013 12:06
Gelukkig dat iemand mij snapt. ;)
kritischelezer @Verwijderd1 november 2013 00:48
Ik denk dat Bones meer doelt op gegevens verzamelen en niet rechtstreeks een ww vragen. Of de ander verleiden iets te openen om een script te laten installeren.

En ja, op deze wijze wordt veel gehandeld.
TECHcrime 31 oktober 2013 19:42
.

[Reactie gewijzigd door TECHcrime op 5 augustus 2024 02:50]

fds @TECHcrime31 oktober 2013 22:28
Ook een VPN is lang niet altijd veilig te noemen. Bij veel implementaties kan je met een vinkje de gegevens voor toegang op je eigen computer opslaan. Erg makkelijk, maar bye bye veiligheid. Vooral als je dan volledige toegang hebt tot het netwerk, wat normaal is bij een VPN.

Ik ben malware tegengekomen die de lokaal opgeslagen info benaderd, dus er hoogst waarschijnlijk iets mee doet. Computers worden ook gestolen (laptops!) en dan wordt (dankzij het vinkje) de VPN door anderen toegankelijk (gelukkig monitoren we accounts en IP adressen). Ook "misbruik" komt voor: een kind van 3 dat een map op een server weet te verwijderen met een beetje spelen op het toetsenbord (weer dankzij het vinkje!). Dit soort zaken ben ik al diverse malen tegengekomen.

Als je bedenkt dat je met een VPN toegang krijgt tot een (bedrijfs)netwerk, dan is een VPN dus niet veilig te noemen als de gebruikers er niet veilig mee om weten gaan. Een gestolen laptop wordt niet eens gerapporteerd. Gebruikers heb je nou eenmaal niet in de hand en daar zit de zwakte in veel systemen.

Gelukkig heeft ons huidige systeem tot nu toe nog geen zwakheden getoond (afkloppen...). Maar dat heeft dan ook geen vinkje en geeft ook geen volledige toegang tot het bedrijfsnetwerk. Het is dus ook geen VPN.

[Reactie gewijzigd door fds op 5 augustus 2024 02:50]

Verwijderd @TECHcrime1 november 2013 01:53
Maar dat gaat niet echt op aangezien zo'n ticketsysteem voor leaseweb public moet zijn.

De kleinste hacks beginnen daar waar je het niet verwachten zou.
Jeffroiscool @TECHcrime1 november 2013 12:59
Ik kom jou ook op de meest random plekken tegen hiero xD
eamelink @TECHcrime31 oktober 2013 20:13
Goed idee, als je klanten je eigen medewerkers zijn. Een organisatie als Leaseweb, waarbij de klanten niet in hun netwerk zitten, kan dat natuurlijk niet doen :)
Batje4 @Verwijderd1 november 2013 04:44
?
Zo gek is de reactie van eamelink toch niet? Bijna alle support afdelingen die ik ken, hebben een webinterface naar hun servicetooling, dat toegankelijk is voor klanten.
Het werkt een stuk prettiger dan alles via de mail, en de interactie tussen je bedrijf en je klant (die je brood betaalt) verloopt ook soepeler.

Alles dichttimmeren is alleen handig als je data superveilig moet bewaren, bijv obv WBP2.

Het gaat hier om balans tussen veiligheid en klantvriendelijkheid. In reactie op "Hoop niet dat je in de IT werkt trouwens", wil ik toevoegen dat een goede IT-er ook nadenkt in het belang van zijn klant en klantrelatie. Mocht je een oplossing hebben die klantvriendelijk is en functioneel aansluit op je eigen interne processen en eisen aan beveiliging, dan hoor ik dat graag.
Hatsjoe @velenski1 november 2013 15:46
Ik weet niet waar jij je informatie vandaan haalt, maar het is incorrect. LeaseWeb gebruikt geen WHMCS, of delen daarvan. Het is een compleet zelf gebouwd systeem door hun.

Hun ticket systeem is Requesttracker. Dit kun je o.a. zien aan de mail headers, mocht je een keer een ticket aangemaakt hebben bij hun. Requesttracker is een erg robuust systeem, wat door veel grote bedrijven gebruikt wordt. Onder andere de NASA en Parallels gebruiken Requesttracker, en met hun nog vele andere.
Verwijderd 1 november 2013 09:34
Wachtwoorden horen ook niet thuis in een ticket systeem!
__fred__ @Verwijderd1 november 2013 10:44
Ga dat maar uitleggen aan leaseweb. Ze bellen je echt niet voor een wachtwoord. Afhankelijk van je SLA kun je uren tot dagen wachten voordat je ticket wordt opgepikt en als je niet vlot via de tickets opvolgt met informatie (bijvoorbeeld een wachtwoord), dan duurt het heel lang voor iets is opgelost.

Beste wat je kunt doen is een apart support account aanmaken op je infrastructuur en die steeds disablen / enablen + ww iedere keer aanpassen als ticket gesloten is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq