Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Submitter: mitch2kbe

Hackers zijn er in geslaagd om het ticketsysteem van LeaseWeb binnen te dringen, zo heeft het hostingbedrijf aan een deel van zijn klanten laten weten. Hen wordt geadviseerd om hun wachtwoorden te wijzigen. Ook is de politie ingeschakeld voor een onderzoek.

LeaseWeb company logoIn een e-mail die LeaseWeb naar een deel van zijn klanten heeft gestuurd is te lezen dat het bedrijf de hack op zijn ticketsysteem, dat gebruikt wordt door de supportafdeling, tijdens een routinecontrole op het spoor is gekomen. De aanvallers zouden op 'zeer geraffineerde wijze' de logindata van een LeaseWeb-medewerker hebben bemachtigd. LeaseWeb laat aan Tweakers weten dat daarvoor speciaal voor het hostingbedrijf aangepaste malware is gebruikt die niet door antivirusscanners op de mailserver en desktop werd gedetecteerd.

Met de buitgemaakte inloggegevens zijn in het ticketsysteem de gegevens van enkele klanten opgevraagd, zo zou blijken uit loggegevens. Het hostingbedrijf zegt geen aanwijzingen te hebben dat deze data actief is misbruikt. Daarmee zou de impact beperkt zijn gebleven.

LeaseWeb zegt de zaak zeer te betreuren en stelt dat klanten die de afgelopen zes maanden via het ticketsysteem wachtwoorden hebben gekregen deze uit voorzorg zo snel mogelijk te wijzigen. Ook zou de politie zijn ingeschakeld en medewerkers van LeaseWeb zouden hen assisteren bij een onderzoek naar de zaak.

Om de veiligheid in de toekomst te verbeteren wil het hostingbedrijf het ticketsysteem niet meer extern toegankelijk maken. Ook wil LeaseWeb bekijken of het two-factor authenticatie voor zijn medewerkers gaat invoeren.

Update, 22:04: Meer informatie van LeaseWeb toegevoegd.

Moderatie-faq Wijzig weergave

Reacties (26)

Edit: Lezen is een vak apart O-)

[Reactie gewijzigd door TheDevilOnLine op 31 oktober 2013 23:05]

Deze hack staat compleet los van de DNS Hijack van een tijd terug. Toen was het account van LeaseWeb bij hun registrar van leaseweb.com gehacked. Er zijn toen ook geen klantgegevens buitgemaakt, omdat de hackers geen toegang hadden tot de interne systemen.

Nu zijn ze binnen gedrongen in het ticket systeem, door waarschijnlijk een virus op de (prive) laptop/pc van een werknemer. Dat er om root wachtwoorden gevraagd wordt in tickets is logisch, hoe moet je anders pakketten installeren voor een klant? Of bepaalde problemen oplossen?

Ik vind het dommer van de klanten dat ze hun root wachtwoord niet aanpassen na het ontvangen hebben van support. Jouw "rant" is dus volledig ongegrond. Hoop niet dat jij in de IT werkt.
Als je een managed oplossing bied ga je helemaal niet klooien met wachtwoorden.
En je gaat al helemaal niet met root inloggen op een systeem. Gelukkig staat dat normaal ook uit via SSH.

Een voorbeeld zou zijn om een management account + ldap en certificaten te gebruiken.
Daarnaast kun je dan ook meteen 2-factor authenticatie voor dat account instellen via bijv. cloud security met push authenticatie :)
LeaseWeb is een unmanaged hosting provider, dus je reactie gaat hier niet op. Ze installeren dus geen SSH backdoors, accounts of keys. Als klanten support willen op software/OS niveau, zullen ze dus hun wachtwoord moeten afstaan.
Niet meer dan logsich.

[Reactie gewijzigd door Hatsjoe op 1 november 2013 01:11]

"De aanvallers zouden op 'zeer geraffineerde wijze' de logindata van een LeaseWeb-medewerker hebben bemachtigd."

Daarbij ruik ik toch al snel simpele sociale engineering ipv zeer geraffineerd handelen...
"Hoi, met de baas. We hebben een storing en we hebben jouw wachtwoord nodig!"
Denk je dat het zo makkelijk gaat bij een bedrijf als LeaseWeb?...

Ben wel benieuwd welke manier het nou was. Kunnen anderen wellicht van leren!
Waarschijnlijk is het inderdaad zo makkelijk. Natuurlijk niet precies op de manier die je schetst maar met enige psychologische kenniskom je blijkbaar een heel eind:

http://www.nl.capgemini.c...informatiebeveiliging.pdf
Om de veiligheid in de toekomst te verbeteren wil het hostingbedrijf het ticketsysteem niet meer extern toegankelijk maken.

Zou dus een virus / malware keylogger of iets in een thuis pc van een medewerker kunnen zijn.
Nou... Zo makkelijk ging het dus wel bij HostGator. De servers van WHMCS, dat sowieso al niet te boek staat als super veilig, zijn "gehacked" door iemand die gewoon contact opnam via Live Chat met HostGator na social engineering op de eigenaar van WHMCS, en de technician paste doodleuk het root wachtwoord aan...
Nu is dat wel iets anders als de login van een medewerker resetten, maar het blijkt maar dat het zomaar zou kunnen gebeuren.

En HostGator is denk ik wel zeker nog een stuk groter dan LeaseWeb.
Let wel, het ging hier om malware, maar ik wou toch even reageren met dit stukje. :)
x2, nep facebook accountje aanmaken met wat fotos erop van een leuke meid. Vrienden worden en daarna alle benodigde informatie achterhalen.
x2, nep facebook accountje aanmaken met wat fotos erop van een leuke meid. Vrienden worden en daarna alle benodigde informatie achterhalen.
Dus als jouw nieuwe vriendin vraagt om je password voor een werk account dan gaat er geen lampje branden? Als dat bij jou werkt hoop ik dat je nooit een IT functie krijgt.
bones doelt waarschijnlijk op het onderzoek van Aamir Lakhani, waarbij een groot bedrijf volledig gecomprimeerd wordt door social engineering.

http://www.itworld.com/se...ed-security-aware-it-guys

[Reactie gewijzigd door Frits vanCampen op 1 november 2013 11:49]

Hoe goed comprimeert zo'n groot bedrijf tegenwoordig nou nog? Was het na afloop een midden-en-kleinbedrijf of zelfs een ZZP'er?

Waarschijnlijk bedoel je gecompromitteerd, maar opzich klinkt gecomprimeerd ook wel logisch, alleen daarna expanderen zal wat lastig worden. Kijk maar naar de affaire met Diginotar, die vielen in een zwart gat en werden dus maximaal gecomprimeerd.

Overigens wel schokkend dat zoiets via social media lukt, of eigenlijk nog schokkender als je ziet hoe simpel het ging en dat er zelfs antivirus-medewerkers in een e-cardexploit trapten. Diep treurig.

[Reactie gewijzigd door mae-t.net op 2 november 2013 03:47]

Gelukkig dat iemand mij snapt. ;)
Ik denk dat Bones meer doelt op gegevens verzamelen en niet rechtstreeks een ww vragen. Of de ander verleiden iets te openen om een script te laten installeren.

En ja, op deze wijze wordt veel gehandeld.
.

[Reactie gewijzigd door TECHcrime op 1 november 2013 12:17]

Ook een VPN is lang niet altijd veilig te noemen. Bij veel implementaties kan je met een vinkje de gegevens voor toegang op je eigen computer opslaan. Erg makkelijk, maar bye bye veiligheid. Vooral als je dan volledige toegang hebt tot het netwerk, wat normaal is bij een VPN.

Ik ben malware tegengekomen die de lokaal opgeslagen info benaderd, dus er hoogst waarschijnlijk iets mee doet. Computers worden ook gestolen (laptops!) en dan wordt (dankzij het vinkje) de VPN door anderen toegankelijk (gelukkig monitoren we accounts en IP adressen). Ook "misbruik" komt voor: een kind van 3 dat een map op een server weet te verwijderen met een beetje spelen op het toetsenbord (weer dankzij het vinkje!). Dit soort zaken ben ik al diverse malen tegengekomen.

Als je bedenkt dat je met een VPN toegang krijgt tot een (bedrijfs)netwerk, dan is een VPN dus niet veilig te noemen als de gebruikers er niet veilig mee om weten gaan. Een gestolen laptop wordt niet eens gerapporteerd. Gebruikers heb je nou eenmaal niet in de hand en daar zit de zwakte in veel systemen.

Gelukkig heeft ons huidige systeem tot nu toe nog geen zwakheden getoond (afkloppen...). Maar dat heeft dan ook geen vinkje en geeft ook geen volledige toegang tot het bedrijfsnetwerk. Het is dus ook geen VPN.

[Reactie gewijzigd door fds op 31 oktober 2013 22:46]

Maar dat gaat niet echt op aangezien zo'n ticketsysteem voor leaseweb public moet zijn.

De kleinste hacks beginnen daar waar je het niet verwachten zou.
Ik kom jou ook op de meest random plekken tegen hiero xD
Goed idee, als je klanten je eigen medewerkers zijn. Een organisatie als Leaseweb, waarbij de klanten niet in hun netwerk zitten, kan dat natuurlijk niet doen :)
?
Zo gek is de reactie van eamelink toch niet? Bijna alle support afdelingen die ik ken, hebben een webinterface naar hun servicetooling, dat toegankelijk is voor klanten.
Het werkt een stuk prettiger dan alles via de mail, en de interactie tussen je bedrijf en je klant (die je brood betaalt) verloopt ook soepeler.

Alles dichttimmeren is alleen handig als je data superveilig moet bewaren, bijv obv WBP2.

Het gaat hier om balans tussen veiligheid en klantvriendelijkheid. In reactie op "Hoop niet dat je in de IT werkt trouwens", wil ik toevoegen dat een goede IT-er ook nadenkt in het belang van zijn klant en klantrelatie. Mocht je een oplossing hebben die klantvriendelijk is en functioneel aansluit op je eigen interne processen en eisen aan beveiliging, dan hoor ik dat graag.
Ik weet niet waar jij je informatie vandaan haalt, maar het is incorrect. LeaseWeb gebruikt geen WHMCS, of delen daarvan. Het is een compleet zelf gebouwd systeem door hun.

Hun ticket systeem is Requesttracker. Dit kun je o.a. zien aan de mail headers, mocht je een keer een ticket aangemaakt hebben bij hun. Requesttracker is een erg robuust systeem, wat door veel grote bedrijven gebruikt wordt. Onder andere de NASA en Parallels gebruiken Requesttracker, en met hun nog vele andere.
Wachtwoorden horen ook niet thuis in een ticket systeem!
Ga dat maar uitleggen aan leaseweb. Ze bellen je echt niet voor een wachtwoord. Afhankelijk van je SLA kun je uren tot dagen wachten voordat je ticket wordt opgepikt en als je niet vlot via de tickets opvolgt met informatie (bijvoorbeeld een wachtwoord), dan duurt het heel lang voor iets is opgelost.

Beste wat je kunt doen is een apart support account aanmaken op je infrastructuur en die steeds disablen / enablen + ww iedere keer aanpassen als ticket gesloten is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True