'LulzSec kreeg toegang tot honderden Nederlandse en Belgische sites'

Hackersgroep LulzSec verkreeg naar verluidt begin 2012 toegang tot duizenden kleine Nederlandse en Belgische sites. Dat gebeurde door een kwetsbaarheid in webhostingbeheersoftware Parallels Plesk. Vooral veel sites van kleine bedrijven en verenigingen lijken getroffen.

De lijst met sites komt uit chatlogs waarop DailyDot de hand legde. Uit die logs blijkt dat een kwetsbaarheid in Parallels Plesk de toegang tot de sites mogelijk maakte. Het gaat vermoedelijk om een hack bij een Nederlands hostingbedrijf. Tweakers heeft dat hostingbedrijf op de hoogte gebracht, maar nog geen reactie ontvangen.

Hoewel de hacker 3520 sites noemt, staan in de chatlog rond 850 sites, waarvan 561 met de .nl-extensie en 70 .be-sites. Veel van de .com-sites die zijn genoemd lijken bovendien Nederlands te zijn. In veel gevallen gaat het om sites van bedrijven, verenigingen of evenementen. Er staan tussen de sites ook veel dubbelingen, zoals dezelfde sites met .biz-, .com- en .info-extensies.

Een LulzSec-hacker voerde deze hacks uit in januari 2012 op verzoek van LulzSec-aanvoerder Sabu, die later een informant van de Amerikaanse politiedienst FBI bleek te zijn. Eerder dit jaar bleek al dat er aanvallen waren uitgevoerd op sites in tientallen landen, maar welke landen dat waren, was tot nu toe onbekend. De Nederlandse sites lijken bijvangst; in de chats gaat het voornamelijk over Braziliaanse overheidssites.

Lijst Nederlandse sites waar Lulzsec toegang toe had

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 02-10-2014 11:03 52

02-10-2014 • 11:03

52

Lees meer

Amerikaanse rechter laat LulzSec-oprichter vrij vanwege hulp aan FBI
Amerikaanse rechter laat LulzSec-oprichter vrij vanwege hulp aan FBI Nieuws van 27 mei 2014
LulzSec-leider krijgt strafeis van slechts zeven maanden wegens hulp
LulzSec-leider krijgt strafeis van slechts zeven maanden wegens hulp Nieuws van 25 mei 2014
'Lulzsec-voorman voerde aanvallen op landen uit voor VS'
'Lulzsec-voorman voerde aanvallen op landen uit voor VS' Nieuws van 24 april 2014
Amerikaanse Stratfor-hacker krijgt celstraf van tien jaar
Amerikaanse Stratfor-hacker krijgt celstraf van tien jaar Nieuws van 15 november 2013
Nederlander neemt initiatief voor backup van alle data IsoHunt - update
Nederlander neemt initiatief voor backup van alle data IsoHunt - update Nieuws van 21 oktober 2013
Lulzsec-hacker die Sony kraakte moet een jaar de cel in
Lulzsec-hacker die Sony kraakte moet een jaar de cel in Nieuws van 9 augustus 2013
Team High Tech Crime doet huiszoeking bij mogelijk Lulzsec-lid
Team High Tech Crime doet huiszoeking bij mogelijk Lulzsec-lid Nieuws van 14 juli 2013
Britse rechter geeft LulzSec-leden celstraffen
Britse rechter geeft LulzSec-leden celstraffen Nieuws van 16 mei 2013
Amerikaans LulzSec-lid tot 1 jaar cel veroordeeld voor Sony-hack
Amerikaans LulzSec-lid tot 1 jaar cel veroordeeld voor Sony-hack Nieuws van 19 april 2013
Drie LulzSec-leden bekennen schuld Sony-hack
Drie LulzSec-leden bekennen schuld Sony-hack Nieuws van 10 april 2013
Lulzsec-hacker legt bekentenis af in Sony-zaak
Lulzsec-hacker legt bekentenis af in Sony-zaak Nieuws van 14 oktober 2012
Politie arresteert tweede LulzSec-hacker
Politie arresteert tweede LulzSec-hacker Nieuws van 29 augustus 2012
Twee vermoedelijke LulzSec-leden bekennen deels schuld
Twee vermoedelijke LulzSec-leden bekennen deels schuld Nieuws van 25 juni 2012
Database Cryptic Studios gehackt
Database Cryptic Studios gehackt Nieuws van 26 april 2012
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (52)

-Moderatie-faq
52
51
28
1
0
10
Wijzig sortering
Anoniem: 16328 2 oktober 2014 11:33
Het gaat vermoedelijk om een hack bij een Nederlands hostingbedrijf. Tweakers heeft dat hostingbedrijf op de hoogte gebracht, maar nog geen reactie ontvangen.
Tweakers weet de naam maar zegt het niet? Want hoe kunnen ze anders een bedrijf op de hoogte brengen als ze niet zeker weten om welk bedrijf het gaat? De hackers hadden potentieel toegang tot veel domeinen, maar hebben ze de hack niet geplaatst om toegang te krijgen tot een specifiek domein?
elpino.rv @Anoniem: 163282 oktober 2014 11:43
Je kunt alle .nl/.be domeinen die gehacked zijn hier zien:
https://drive.google.com/...xMKJ-cDFfVks1Q0gxLXc/view

ff uitzoeken waar die draaien en je weet de host ofcoz
Kees BOFH
@Anoniem: 163282 oktober 2014 11:46
Ja de naam van het hostingsbedrijf is waarschijnlijk bekend en om een reactie gevraagt, maar je weet het niet zeker dus wachten we eerst de reactie van de hoster af.

Verder was de target inderdaad een domein dat op een overheidsdomein leek, maar blijkbaar draaide die op een gedeelde server en op die server waren nog eens 3520 andere domeinnamen gehost.
Anoniem: 16328 @Kees2 oktober 2014 12:00
Van mij mag die informatie best in het artikel worden gezet. Als je inderdaad de chatlog bekijkt zie je dat ze helemaal geen interesse hebben in die normale domeinen.
goarilla @Kees2 oktober 2014 12:14
Het is volgens mij Yourname Webhosting (https://yourname.nl/).
Uitgaande van het feit dat dit de huidige hoster is van enkele van de getroffen domeinen
(facebroek.be, dextro.be, ...).

[Reactie gewijzigd door goarilla op 27 juli 2024 16:11]

xzaz 2 oktober 2014 11:17
Interessanter vind ik HOE ze aan die chatlogs zijn gekomen.
Anoniem: 476714 @xzaz2 oktober 2014 11:22
Edit : Makkie! Sabu was informant toch?
Staat ook in het artikel.

[Reactie gewijzigd door Anoniem: 476714 op 27 juli 2024 16:11]

Synthax @Anoniem: 4767142 oktober 2014 11:32
Maar als ik het goed begrijp, is Sabu pas informant geworden toen ze hem bedreigden met jaren celstraf? Ik dacht dat hij gewoon een dealtje gesloten had met de overheid.
xzaz @Synthax2 oktober 2014 11:34
Dit dus, Sabu was (naar mijn idee) niet vanaf het begin informant. Hij heeft eieren voor zijn geld gekozen nadat hij is benaderd door de CIA(?). Maar hoe zijn ze er ooit achtergekomen dat hij het was.

Er zijn hier wel spelletjes gespeeld die het daglicht niet konden en kunnen verdragen.
Finniemc @xzaz2 oktober 2014 12:00
Als ik me niet vergis is een security firma achter zijn echte naam en adres gekomen door een filmpje dat Sabu van zijn auto had gemaakt en heeft hij dan de FBI op zijn dak gekregen. (het staat allemaal in We are Anonymous van Parmy Olson maar het is alweer een tijdje geleden dat ik dat nog gelezen heb).

Sabu was in ieder geval geen informant van bij het begin.
Thystan @xzaz2 oktober 2014 13:42
http://cdn0.dailydot.com/...014/10/1/hammond-sabu.png

Edit: Sowieso is LulzSec een vrij amateuristisch en publiek vindbare groep hacktivists, maar ik vind het beschamend voor een leider van hun dat deze niet direct uit de groep is gestapt.

[Reactie gewijzigd door Thystan op 27 juli 2024 16:11]

rob_erwt @xzaz2 oktober 2014 11:20
Een LulzSec-hacker voerde deze hacks uit in januari 2012 op verzoek van LulzSec-aanvoerder Sabu, die later een informant van de Amerikaanse politiedienst FBI bleek te zijn.
Ik vermoed dat Sabu dat keurig opgeslagen had.
terracide @xzaz2 oktober 2014 11:22
door met bots irc kanalen te monitoren die over hacking gaan.
Synthax @terracide2 oktober 2014 11:33
Bots zie je bij mijn weten gewoon in het kanaal zitten hoor.
Thystan @terracide2 oktober 2014 13:37
In de betreffende kanalen wordt op bots gescand en de prive kanalen kent men elkaar. Sowieso zitten er wachtwoorden op en onbekende "luisteraars" worden zelfs in de publieke kanalen besproken en vrij snel ge-kickt als ze geen antwoord geven.

Tevens zijn de hackers op een IRC-server niet voor niets op die IRC-server. Vaak is er een IRCop direct "bevriend" met iemand van de groep.
coretx @terracide2 oktober 2014 13:51
En bijna ieder groot "hax0r" IRC netwerk is beheerd door *een* $inlichtingendienst.
Wanneer het grote "hax0r" IRC netwerk dat niet is, ontvangen ze net zo lang
DDOS aanvallen totdat het grut overloopt naar een ander netwerk wat wel onder
controle van $inlichtingendienst staat.
( En wanneer je DDOS mitigation beheerst, zetten ze je op een terreurlijst of framen ze je voor een $random delict. Zie o.a lieve gekkies zoals Sven Olaf Kamphuis die is overgeleverd en vrijgesproken, maar wel financieel kapot is gegaan door het proces. )

[Reactie gewijzigd door coretx op 27 juli 2024 16:11]

nickelz 2 oktober 2014 11:06
Fijn dat Lulzsec ook kleine bedrijven pakt.... Ik snap niet wat ze daarmee willen bereiken, het heeft een hoog scriptkiddie gehalte.

Was het al bekend dat Parallels Plesk deze kwetsbaarheid bevatte?
wica @nickelz2 oktober 2014 11:09
Yep, leks in Plesk waren bekent, jammer genoeg niet maar 1.
http://lmgtfy.com/?q=parallels+plesk+remote+exploit

Reden om kleine aan te pakken, is dat deze meestal bij een provider zitten met voldoende brandbreedte, om hun echte target aan te pakken.

/edit
De volledige PDF https://ia802508.us.archi...220149970-Hammond-069.pdf

[Reactie gewijzigd door wica op 27 juli 2024 16:11]

zeduude @wica2 oktober 2014 11:36
Erger nog, om plesk te updaten is vaak een hoop gerommel en problemen mee gemoeid... dusss isp's en vele bedrijven die een paar sites voor hun klanten regelen updaten nooit...
Ik ben dan ook erg blij dat plesk al een aantal jaren de deur uit geknikkerd is, wat een ontzettende rotzooi...

om maar niet te spreken van idd de zwitserse gatenkaas beveiliging : wachtwoorden in plain text in de database om maar iets te noemen , maar goed dat was vroegah, misschien nu niet meer
AibohphobiA BoB @zeduude2 oktober 2014 11:49
Plesk updaten is schier-onmogelijk. Onbegrijpelijk dat er nog mensen zijn die dat gebruiken. Het lijkt mij een van de basisvoorwaarden voor de keuze van een dergelijk pakket.
mkools24 @AibohphobiA BoB2 oktober 2014 12:14
En als je het dan persée wilt gebruiken hang het dan nog achter htaccess en/of maak het IP restricted.
goarilla @mkools242 oktober 2014 12:19
Beter nog maak het enkel toegankelijk achter een VPN.
mkools24 @goarilla2 oktober 2014 12:24
Beter nog, dump het helemaal doe niet zo lui en gebruik gewoon een shell om beheer te doen, vereist wat meer kennis maar het is vaak nog sneller ook ;)
goarilla @mkools242 oktober 2014 12:28
Beter nog, dump het helemaal doe niet zo lui en gebruik gewoon een shell om beheer te doen, vereist wat meer kennis maar het is vaak nog sneller ook ;)
Maar dan heb je ervaren werkvolk nodig. En je zal toch al het een en ander deftig moeten gescript hebben voordat je van snelheidswinst kan spreken. Deze Panels zijn ook maar scripts met een vriendelijk (en onveilig) front-endje ervoor.
Anoniem: 58485 @mkools243 oktober 2014 05:36
Nice. Voor een hostingbedrijf en hun klanten totaal niet toepasselijk.
goarilla @AibohphobiA BoB2 oktober 2014 12:23
Voor hosters is zo'n pakket goud waard. Hoe zit het eigenlijk met de
beveiliging van concurrent cPanel (WHM) ?
realmadridsi @nickelz2 oktober 2014 11:42
Lulzsec wil helemaal niks bereiken, waarom denk je dat ze iets willen bereiken? Dat er sommige groepen onder de naam 'Anonymous' wel wat wil bereiken betekend niet dat ze allemaal een doel hebben.

Lulzsec is juist 'just for the lulz' oftewel 'omdat het kan'.

[Reactie gewijzigd door realmadridsi op 27 juli 2024 16:11]

fevenhuis @realmadridsi2 oktober 2014 12:17
Wat zij wilde bereiken is een strafbaar feit voor veroordeling, alleen wisten zij dat zelf nog niet:

"Een LulzSec-hacker voerde deze hacks uit in januari 2012 op verzoek van LulzSec-aanvoerder Sabu, die later een informant van de Amerikaanse politiedienst FBI bleek te zijn"

Het lijkt een zoveelste voorbeeld te zijn van hoe de FBI aan haar arrestaties komt, door zelf mensen aan te sporen (en te helpen) om tot strafbare feiten over te gaan.
postbus51 @fevenhuis2 oktober 2014 12:37
En dus een eigen beslissing om tot die hack over tegaan , ja je kan ook zeggen Funk You en die Sabu tekakken zetten
dakka @nickelz2 oktober 2014 16:40
wat ze er mee willen berijken is voor lulz, het zit in de naam
Anoniem: 58485 @nickelz3 oktober 2014 05:33
Alsof dat wat uitmaakt. Zij vinden een exploit, en treffen een hosting bedrijf. For teh win zullen we maar zeggen.
xp2002 2 oktober 2014 11:20
Dus als ik het goed begrijp heeft deze NL hostingbedrijf Plesk niet tijdig geupdate?
Iemand een idee wie die hoster is?

Het is vaak een voordeel om bij een hele groter hoster te gaan (ik heb zelfs soms de voorkeur om bij een internationale club te gaan). Het heeft z'n voordelen (vaak actuele updates, goede chat support) en nadelen (ip is in het buitenland wat misschien je zoekresultaten kan beïnvloeden), maar steeds meer neig ik daarnaar. Zeker in deze tijd is het toch weer belangrijk om alles up-to-date te houden. Dan nog zijn er lekken...
Kees BOFH
@xp20022 oktober 2014 11:41
Tenzij het een 0-day exploit was waar gewoon geen update voor beschikbaar was. Maar een beetje handige tweaker zorgt ervoor dat er geen plesk op zijn server staat en beheert hem gewoon zelf. En haalt voor net iets meer euro's per maand een VPS zodat je die vrijwel helemaal zelf kan beheren.
Anoniem: 476714 @Kees2 oktober 2014 12:47
Dat is natuurlijk waar, maar zoals da_PSI hierboven al aangeeft zijn het veelal de mensen die gewoon gelijk van start willen zonder al te veel poespas. Ook kan je een tweaker in hart en nieren zijn, maar dat betekent nog niet dat je alle ins en outs kent van (web)hosting en wil je gewoon met één klik een mysql database opzetten en dan je Joomla/Wordpress pakketje gaan installeren.

Je kiest natuurlijk voor die gemakken op het moment dat je zulke pakketten koopt. daarna mag je in je handjes knijpen en hopen dat ze ook up to date blijven met hun softwarepakketten.
Anoniem: 476714 @xp20022 oktober 2014 11:27
Dikke kans dat Hosting2Go ook daarbij hoorde, Snelle host maar PLESK was echt pas heel laat ge-update.
da_PSI @Anoniem: 4767142 oktober 2014 11:44
Ik durf met zekerheid te zeggen dat Hosting2Go ook in deze lijst staat. Een klant heeft meerdere website's @ hosting2go en beide staan in de lijst.

[Reactie gewijzigd door da_PSI op 27 juli 2024 16:11]

drakonl @da_PSI2 oktober 2014 17:37
waar is die lijst te vinden ben benieuwd of mijn domijn er ook bij staat aangezien die ook bij Hosting2GO draait.


Heb de lijst in een post hieronder al gevonden.
Sta er niet tussen gelukkig.

[Reactie gewijzigd door drakonl op 27 juli 2024 16:11]

Synthax 2 oktober 2014 11:12
Ik vraag me dan toch af waarom de FBI geen stappen onderneemt om die kwetsbaarheden te melden aan de getroffen bedrijven.
wild_dog @Synthax2 oktober 2014 11:22
NSA? Je wilt als overheidsinstantie in een informatie maatschappij natuurlijk niet jezelf in de voet schieten door je eigen backdoors te sluiten.

ben het met je eens, dit is een slechte praktijk, maar als er gekozen moet worden tussen niemand, ook wij niet, kan binnen komen en iedereen kan binnen komen dan gaan deze instanties (bijna altijd) voor de laatste kiezen.
Anoniem: 58485 @wild_dog3 oktober 2014 05:34
:')

Het is niet aan de NSA of FBI plesk te melden dat hun software lek is.

Echter kan zoiets gewoon worden verzwegen zodat die hack ook exploiteerbaar blijft.
Auredium 2 oktober 2014 11:10
Tja...slecht natuurlijk maar kleine websites hebben vaak een huis-en-tuin webdeveloper. Die weten niet heel veel van beveiliging af en zullen zichzelf als low profile ziet. Alhoewel hackersgroepering juist zulke websites en hun servers zullen zien als een mooi doelwit. Informatie hoggen, malware verspreiden, als DDos proxxy gebruiken of om signalen via te routen.

Het heeft nogal een nasmaak dat LulzSec zelf als een proxy is gebruikt geworden door de FBI.
Inspector @Auredium2 oktober 2014 11:23
Ongeacht of deze websites goed of slecht beveiligd waren, de 'hack' is uitgevoerd door een vulnerability in de software van Plesk te exploiten. Dit staat dus los van de individuele beveilging van de websites. Daarnaast zijn niet zozeer de kleine websites aangevallen maar meer de hosting. De kleine websites waren een leuke bijkomstigheid. Doel is natuurlijk om alle Vhosts in te kunnen kijken om zo .gov domeinen op te sporen en die te targetten.
Thystan 2 oktober 2014 12:39
Ben ik de enige die het ZEER verontrustend vind dat de FBI hacktivists gebruikt om andere landen aan te vallen onder het mom van "undercover"
Kees BOFH
@Thystan2 oktober 2014 13:05
Tja, aan de andere kant valt het wel heel erg op als de informant zegt 'we gaan alleen maar servers hacken die in de US zijn en zich op de US richten met alleen US-specifieke domeinnamen.'

Verder is het natuurlijk niet specifiek op een land gemunt; de FBI heeft hem niet gezegt 'val nederland aan' of 'pak braziliaanse overheidssites'. In dit geval is de targetting door de groep zelf zijn gedaan en niet door de FBI.

En tja, dat is het risico van undercover zijn; je moet soms dingen doen die tegen de wet ingaan om je cover te behouden zoals bijvoorbeeld drugs smokkelen. Dat wil dan niet zeggen dat de FBI dan de opdracht geeft om drugs te smokkelen, maar die proberen dat juist te stoppen.

Zo ook in dit geval, doordat die groep deze informant vertrouwde hebben ze leden ervan kunnen oppakken om zo juist de aanvallen op die landen/servers/domeinen te stoppen.
FreshMaker @Thystan2 oktober 2014 12:59
De geuzennaam hacktivist was hij niet meer waardig op het moment dat hij de keuze maakte om vóór de FBI/Overheid te gaan werken.
Anoniem: 404283 @FreshMaker2 oktober 2014 13:38
Denk niet dat hij veel keuze had eerlijk gezegt, denk niet dat ze het hem vriendelijk gevraagd hebben. Zal meer iets in de zin geweest zijn van meewerken of je kan de rest van je leven achter tralies doorbrengen.
mcgloud 2 oktober 2014 11:29
Tuig. Dat is het enigste wat je ervan kunt vinden. Dit zijn geen hackers of crackers dit is gewoon tuig.
Thystan @mcgloud2 oktober 2014 13:28
Scriptkiddies voornamelijk. Werken in principe in opdracht van een paar "slimmere" hackers, maar bij de meeste wordt nog een digitaal handje vast gehouden als het moeilijker wordt ;)
eXite 2 oktober 2014 13:29
Zo te zien een gehackte Plesk-server bij Yourname, die toevallig is meegepakt in een hele reeks scans naar servers met een 8443 (Plesk) poortje. Beetje vreemd dat dit twee jaar later als nieuwtje wordt gepresenteerd.
crazylemon 2 oktober 2014 14:23
Vroeger streden hackers voor een vrij internet. Dit zijn in mijn ogen ook geen hackers maar een trieste groep die te lui zijn om naar buiten te gaan en daar rotzooi te trappen en het maar op het internet doen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq