BrowserStack kampt met hack

Een hacker is binnengedrongen in de infrastructuur van BrowserStack. De betaalde dienst om websites op veel browsers en besturingssystemen te testen claimt dat alleen de e-mailadressen uit een lijst zijn benaderd. Klanten kregen een mail met claims dat er meer aan de hand is.

Via Twitter bevestigt BrowserStack dat de dienst met een hack kampt en de dienst daarom offline gehaald is. In een latere update staat de claim dat na onderzoek is gebleken dat de hacker alleen toegang had tot een lijst met e-mailadressen en dat BrowserStack binnen enkele uren weer beschikbaar is. De dienst belooft snel een update te brengen met meer informatie.

De meldingen volgen op een mail die onder andere een lezer van Hacker News zondag ontving en die afkomstig leek van de support-afdeling van BrowserStack. In de mail staat de claim dat BrowserStack in zijn geheel stopt en in zijn algemene voorwaarden heeft gelogen over de beveiliging. "We maken geen gebruik van firewalls en ons beleid op het gebied van wachtwoorden is verschrikkelijk. Alle virtuele machines staan volledig open", staat in de e-mail, waarin ook een wachtwoord wordt genoemd. Waarschijnlijk is de mail afkomstig van de hacker die de e-mailadressen van klanten in bezit heeft gekregen.

BrowserStack is een dienst die met behulp van virtuele machines ontwikkelaars in staat stelt hun websites te testen op 700 browsers en 11 besturingssystemen. De betaalde dienst claimt 25.000 gebruikers te hebben en BrowserStack werkt onder andere samen met Microsoft.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 10-11-2014 11:10 22

10-11-2014 • 11:10

22

Lees meer

BrowserStack: hacker kwam binnen op oude testmachine via Shellshock-bug
BrowserStack: hacker kwam binnen op oude testmachine via Shellshock-bug Nieuws van 13 november 2014
Microsoft brengt 'modern.ie'-browsertools uit
Microsoft brengt 'modern.ie'-browsertools uit Nieuws van 31 januari 2013
Netwerk en systeembeheer

Reacties (22)

-Moderatie-faq
22
20
17
0
0
1
Wijzig sortering
Hurm 10 november 2014 11:13
edit:
Spelfouten heb ik gemeld in: Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 43


OT: Het is natuurlijk niet goed te praten dat een hacker gaat mailen vanuit BrowserStack, maar aan de andere kant wel mooi dat ie de fout/hack gebruikt om de gebruikers op de hoogte te stellen van de onvolkomenheden bij BrowserStack

[Reactie gewijzigd door Hurm op 22 juli 2024 13:19]

Verwijderd @Hurm10 november 2014 11:16
Had ik reeds gemeld :) Spel- en tikfoutjes

Beetje een rare stunt overigens om de gebruikers op de hoogte te stellen met een mail en daarin een wachtwoord te zetten, i.p.v. BrowserStack te benaderen en daarna de publiciteit op te zoeken waarin je meldt dat er een lek is en er samen met BrowserStack aan werkt.
3x3 @Verwijderd10 november 2014 11:19
Als afpersen niet lukt, dan moet je waarmee je dreigt waarmaken is het niet?
i-chat @Verwijderd10 november 2014 11:24
ik wilde dat ook al zeggen, een bedrijf afbranden kan in sommige gevallen wenselijk zijn,
bijv een bank, die 2weken na het melden van een bepaald lek nog niet heeft gereageerd,
maar dan nog doe je zoiets via de media en ga je niet zo'n kinderachtige mail zitten sturen, alleen al daarom denk ik direct aan een scriptkiddy ofzo.
het is natuurlijk wel slordig dat lijsten met mail-adressen in handen komen van een of andere hacker, maar verder vind ik de claims nogal vaag, het gaat notabene om een dienst die systeempjes aanbied om websites in een andre browswer te bekijken, al zouden die vms zo lek als een mandje zijn zou me dat, nagenoeg nog niets kunnen schelen, die dingen reset je neem ik aan toch na elke sessie. en ik neem ook voor het gemak maar aan dat er op die vms werkelijk niets draait dat risco loopt... zelfs inloggen op admin interfaces via dergelijke vms doe je neem ik aan met een testadmin/test account op een non-productie server, met andere worden al zaten die vms vol met keyloggers ... zou dat .. hoewel behoorlijk beschammend, nog weinig kwaad kunnen...
kwikstaart @i-chat10 november 2014 14:11
zelfs inloggen op admin interfaces via dergelijke vms doe je neem ik aan met een testadmin/test account op een non-productie server, met andere worden al zaten die vms vol met keyloggers ... zou dat .. hoewel behoorlijk beschammend, nog weinig kwaad kunnen...
Je kunt erop rekenen dat dit op productie-systemen gebeurt met admin-logins. Veiligheid van die VMs is dus wel degelijk van belang.
Ptiel @kwikstaart10 november 2014 17:34
De hacker in kwestie claimt ook het admin password eenvoudig te hebben achterhaald en dat deze in plaintext op elke VM stond:

"As well, our infrastructure uses the same root passwords on all machines, which is also stored in plaintext on every VM launched ("c0stac0ff33")."

Mocht dat waar zijn dan is dat wel heel slordig.
i-chat @sanderv10 november 2014 13:08
nu ben je natuurlijk wel heel erg selectief aan het quoten, want volgens mij was ik vrij specifiek over welk deel ik het had, email adressen van betalende klanten kwijt raken (lees lekken) is slordig, en daar mag je zeker een bedrijf op afrekenen, maar het hele vm platform op deze manier afkraken is gewoon zielig en op basis van de geleverde bewijzen nauwelijks op zijn plaats ... je kunt gelekte emailadressen echt niet met een strak gezicht extrapoleren naar een compleet lekke infrastructuur zonder verdere bronnen.
PatrickH89 @Hurm10 november 2014 11:20
Die wel of niet waar zijn. Het lijkt niet echt mooi dat een hack op deze manier gebruikt wordt, los van het feit of het laster of smaad is.
Loller1 @Hurm10 november 2014 11:59
edit:
Spelfouten heb ik gemeld in: Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 43


OT: Het is natuurlijk niet goed te praten dat een hacker gaat mailen vanuit BrowserStack, maar aan de andere kant wel mooi dat ie de fout/hack gebruikt om de gebruikers op de hoogte te stellen van de onvolkomenheden bij BrowserStack
De vraag is, in hoeverre zijn die "onvolkomenheden" waar? Dit kan net zo goed een gefrustreerde ex-medewerker zijn of gewoon een grap van een hacker.
preske 10 november 2014 12:10
700 browsers? Ik neem aan dat dit dan gaat over alle browserversies op alle os'en?
XyritZz @preske10 november 2014 12:32
Ik tel even snel een stuk of 6 verschillende IE versies, 34 verschillende Firefox versies, een stuk of 27 versies van Chrome en een stuk of 20 versies van Opera. Tel daar nog verschillende OS'en bij op, en mobile versies die geemuleerd kunnen worden en dan kom je een eind.

700 zal dan inderdaad worden bereikt door IE10 op Win7 apart te tellen van IE10 op Win8.
i-chat @XyritZz10 november 2014 13:10
en wat denk je van firefox onder de verschillende ossen win lin en osx
kwarkjes @XyritZz10 november 2014 13:44
+ heel veel Android & iOS browsers
Verwijderd @preske10 november 2014 13:37
Hier een volledig overzicht van alle browsers die ze kunnen testen:

http://www.browserstack.c...nd-platforms?product=live
Fairy 10 november 2014 12:02
Zo'n hacker beseft totaal niet dat een bedrijf waar vele mensen werken zo ten gronde gericht kan worden.
Wat mij betreft mogen ze die gast opsporen en berechten.

Als je een beveiligingslek vind hoor je deze te melden, verder niets. Misbruik maken van een lek is wat mij betreft uit den boze. Mocht je na lang wachten nog steeds geen gehoor krijgen, dan kun je wel iets publiceren (maar daar gaat eerst een goed gesprek aan vooraf!), maar niet via de infrastructuur van de hack of met data die gestolen is zoals mailadressen. Sowieso, wie bepaalt de termijn waarin het opgelost moet worden? Leuk als elke hacker straks een deadline van 24 uur gaat stellen...

Dit soort acties hebben op verschillende soorten bedrijven zeer uiteenlopende gevolgen, waardoor het niet aan een individu is om hier misbruik van te maken. Voor een ICT bedrijf kan het vergaande gevolgen hebben, maar de bakker verkoopt er geen brood minder om als zijn site gedefaced is.

Je hoort een inbreker al zeggen: "Ja de achterdeur was niet op slot, dus ik heb de TV maar meegenomen, maar ze wisten het al want de achterdeur staat altijd open, dus ben ik onschuldig".

Ik heb zelf ook eens een beveiligingslek gevonden bij een particulier. Hij heeft hetzelfde domotica systeem als ik heb en hij had guest access aangeboden om in zijn systeem te kijken voor zijn zonnepanelen opbrengst, maar wel met een lock op het schakelen van apparatuur.

Ik ken echter de achterliggende infrastructuur en zag dat hij een aantal dingen niet geblokkeerd had waardoor ik de locks er zo af kon halen en praktisch alles in zijn uit uit- en aan kon zetten. Ik kon letterlijk een kerstboom van zijn huis maken omdat er configuratiepagina's open stonden.

Dit direct gemeld (+oplossing) waardoor hij meteen zijn systeem kon beveiligen en dat heeft ie ook gedaan. Zo hoort het... Als ik echter mails was gaan rondsturen met een how-to, om van zijn huis een kerstboom te maken en zijn inverter te laten uitfikken, dan was ik strafbaar geweest, en terecht ook!

[Reactie gewijzigd door Fairy op 22 juli 2024 13:19]

i-chat @Fairy10 november 2014 13:22
ik denk dat de meeste professionele hackers wel weten hoe je een lek meld,
in binnen die groep zijn er ook wel genoeg die een juiste termijn in weten te schatten,
bovendien ligt het nogal aan het gebruikte systeem, als ik morgen een lek in het EPD (of hoe dat tegenwoordig ook mag heten) vind, dan krijgen ze idd maar 24uur de tijd om het lek onklaar te maken, en stuur ik ook direct een mailtje naar tweakers.net onder embargo wat voor lek ik gevonden heb etc want mensen hebben gewoon het recht om dat soort beveiligingsfouten te weten te komen,

maar bij een systeem als dit, zolang er geen klantgegevens of betaalgegevens blood liggen kun je die termijn voor die paar mailadressen nog wel een tijdje stil houden, en voor het vm platform al helemaal ... natuurlijk is de maat ergens wel een keer vol, want een bedrijf dat 3 weken niet reageerd op een beveiligingslek kan ook niet...

en verder is het door jouw aangehaalde voorbeeld ook niet helemaal kloppend, als je namelijk zijn invertor laat uitfikken dan berokken je ernstige schade en dat is in alle gevallen strafbaar.
ook het andere mensen uitlokken (door die howto) om in iemands systeem binnen te dringen is gewoon strafbaar...
SuperDre 10 november 2014 13:29
alleen toegang had tot een lijst met e-mailadressen
Dat is wat BrowserStack claimt omdat veel mensen toch al een mail hebben gehad, maar waar de hacker in werkelijkheid toegang tot heeft gehad is natuurlijk de vraag...
Verwijderd 10 november 2014 11:26
"alleen toegang had tot een lijst met e-mailadressen"

Zet je spambot maar goed aan... Vind het een beetje jammer dat er word gedaan of het niks voor stelt dat er email adressen zijn gestolen. In potentie kan hij dus al je gegevens hebben.
Verwijderd @Verwijderd10 november 2014 13:35
Is het zo erg dan dat je email adres is gestolen?
Verwijderd @Verwijderd10 november 2014 14:38
Als je van spam en andere zooi houd niet...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq