Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 15 reacties

De Syrian Electronic Army heeft door een wijzigingen in de dns-entries van inlogdienst Gigya bij registrar GoDaddy bezoekers van tal van grote websites doorgestuurd naar websites die in handen zijn van de hackers. De dns-entries zouden door GoDaddy inmiddels zijn gerepareerd.

Het Gigya-platform wordt gebruikt om internetgebruikers de mogelijkheid te geven om in te loggen op websites en reacties achter te laten. De Syrian Electronic Army, een groep die sympathiseert met het regime van president Bashar al-Assad, is er donderdag in geslaagd om de dns-entries van Gigya bij registrar GoDaddy aan te passen. Hierdoor werden sommige bezoekers van een aantal drukbezochte websites door middel van redirects doorgestuurd naar websites van de hackersorganisatie. Ook kregen internetgebruikers javascript-pop-ups te zien waarin stond dat zij waren 'gekraakt'.

Onder andere de websites van Microsoft, Dell, Forbes, The Guardian, The Telegraph en La Repubblica zijn getroffen door de aanval op GoDaddy. Inmiddels hebben GoDaddy en Gigya de dns-entries weer hersteld, al kan het door de opzet van het dns-systeem enige tijd duren voordat het probleem geheel is verholpen.

De Syrian Electronic Army is sinds 2011 actief. Het hackerscollectief slaagde er begin dit jaar in om gebruikersdata te stelen bij Forbes en heeft het vaker dns-entries van bedrijven en organisaties aangepast.

Moderatie-faq Wijzig weergave

Reacties (15)

Wij beheren hier een aantal sites die werken met Gigya en vanaf 13.50 (NL tijd) zie ik van alles in de logs en om 14.10 was het weer voorbij, echter lopen de logs nu weer vol dat de hosts bij Gigya weer onbereikbaar zijn. Ik denk dat het nog niet helemaal voorbij is dus.

update: dat gigya hosts onbereikbaar zijn ligt er aan dat ze bij AWS nameserver de host niet meer willen resolven. Tijdelijk gewijzigd naar Google nameservers en daarmee werkt het weer.

[Reactie gewijzigd door Cartman! op 27 november 2014 16:15]

ik was in de console bezig en vanaf 12 uur NL tijd begon deze al raar te doen. Ging toen naar www.gigya.com wat inmiddels een directory listing was geworden. Er stond hier n bestand: 404.shtml met de inhoud: alert("You've been hacked by the Syrian Electronic Army(SEA)");

had toevallig net email contact met de support, dus maar even gevraagd of ze werden gehacked..

rond 12.45 gingen de javascripts raar doen..
Maar wie of wat is nu precies 'gehacked'? DNS wijzigingen lijken me dus gevalletje nameservers van GoDaddy, maar hebben ze Gigya gehacked om inlog te verkrijgen van GoDaddy ligt dus de hack weer bij Gigya.
Klinkt niet als een hack van een van deze bedrijven, maar eerder iets als phishing of Social engineering om de inloggegevens te achterhalen, wat deze groep wel meer doet.
Nou, nogal wat: "...de websites van Microsoft, Dell, Forbes, The Guardian, The Telegraph en La Repubblica zijn getroffen door de aanval..."

Het bericht is wel een beetje summier gezien het grote belang en reikwijdte van de aanval, betrouwbare DNS is wel belangrijk.
Als Syrir heb ik het volgende te zeggen:

" De Syrian Electronic Army, een groep die sympathiseert met het regime van president Bashar al-Assad"

"regime" moet veranderd worden in "regering".
Want?

Met "regime" wordt in bestuurlijke betekenis meestal een dictatuur bedoel. Bijvoorbeeld een absolute monarchie, een autocratie, een eenpartijstaat, een militaire junta, een totalitaire dictatuur, enz, enz.

Aan welke zijde van dat conflict je ook staat, het is niet incorrect om de regering van Assad (in het verleden en heden) als regime te bestempelen.

@ hieronder:

Serieus?


Toegegeven, sinds in 2012 een nieuwe grondwet van kracht is geworden gaan ze in ieder geval de goede richting op. Jammer alleen dat het in Syri sinds maart 2011 zo'n onoverzichtelijke rotzooi is, waar niemand beter van wordt.

Echter:

In de oude grondwet was wel degelijk zeer uitgebreide macht aan de president toegewezen, wat aanzienlijk versterkt werd door het feit dat tot 2011 (sinds 1963) in Syri een "state of emergency" gold. Welke er onder meer voor zorgde dat een groot deel van de constitutionele bescherming van burgers en maatschappij niet gewaarborgd was. Zo hoefden bijvoorbeeld wetten en maatregelen die de president voordroeg niet perse door het parlement hoefden te worden goedgekeurd om toch van kracht te worden.
Tevens was in de oude grondwet wel degelijk letterlijk vastgelegd dat de Syrische Ba'ath partij de maatschappij n de staat leidt, en werden alle (behalve sporadische uitzonderingen die er wellicht geweest zijn) van belang zijnde functies ingevuld door leden en/of aanhangers van de Ba'ath partij, of andere gelieerde satelliet partijen (ook deel uitmakend van het Nationaal Progressief Front).

Uit het bovenstaande zou je kunnen afleiden dat het wel degelijk een eenpartijstaat was, waarbij de president autocratische macht had. En zowel de president als de partij waarvan hij de top van de piramide was vertoonden wel degelijk sterk totalitaire neigingen.

En de "verkiezing" waarbij Bashar al-Assad werd verkozen als opvolger van zijn vader Hafez al-Assad was natuurlijk een farce. Geen tegenkandidaten, enkel een voor of tegen stem, en een oppositie geen toestemming noch middelen krijgt om een campagne te voeren. Zijn herverkiezing in 2007 was hetzelfde geval. Dat heeft in geen velden of wegen niets met democratie te maken.

[Reactie gewijzigd door houseparty op 27 november 2014 22:08]

Volgens je eigen definities heb je ongelijk.
Het is geen (absolute) monarchie => Assad is geen koning, keizer of id.
Het is geen autocratie => Assad is staatshoofd met een regering, premier en parlement etc. Je kunt dit spiegelen aan het democratisch gehalte in NL, maar vanuit die optiek neigt de VS ook naar een oligarchie (Bush nr. 3 komt er aan) maar toch wordt dat als democratie pure sang gezien.
Het is geen eenpartijstaat => oppositiepartijen bestaan en zijn verkiesbaar
Het is geen militaire junta => het leger regeert niet
Het is geen totalitaire dictatuur.

Vanuit westers perspectief is het democratisch gehalte anders. Maar dat maakt het nog geen regime. Vooral niet als Syrir zelf (wellicht niet allemaal maar dat hoeft ook niet) dat ook niet zo zien.
ook de website van Dell had hier last van, maar dit lijkt weer verholpen

edit : gaat het hier enkel om een DNS-wijziging, of is er ook risico voor de bezoekers van betreffende website(s)?

[Reactie gewijzigd door Fataldarkness op 27 november 2014 15:32]

Als ze drive-by malware serveren wel, je bezoekt ook immers een andere site als je van plan was.
wij hebben nu nog steeds problemen..
vandaar dat ik op itworld een melding kreeg dat je gehacked was door deze groep.
iedere keer godaddy, misschien tijd die ook te lozen?
Laatste info direct van Gigya:

Event

At approximately 6:45 AM EST on November 27, 2014, we identified an issue with our domain registrar. An initial inquiry revealed that there was an unauthorized access at our domain registrar that resulted in the redirection of some CDN related DNS records, for a subset of users, to a malicious address controlled by the attackers.

Scope

All of our customers were likely impacted at some level, but due to the time DNS changes take to happen, we estimate that 20% of end users were affected.

DNS is a cache-based system governed by TTL settings. As long as the TTL has not expired the DNS server will not fetch an update. This behavior played in our favor when the hackers changed the registration and that is the reason most users were not affected.

Neither Gigya’s platform itself nor any user, administrator, or operational data was compromised. Additionally, SSL certificates were not compromised. Although Gigya services would not have been functional, HTTPS pages would not have been exposed to resources hosted on the attacker's servers due to failed SSL negotiation.

Root Cause

A Gigya administrator email account was compromised via an attack that bypassed multiple security measures. This exploit was then used to employ the password reset option of our domain registrar to send a password reset link to the compromised email account.

From there they modified the domain registration settings to use the attackers’ own DNS service which was configured to point certain service domains to a server controlled by the attackers. On that server, the attackers placed a file called socialize.js, which was used to display an alert to the end user.

Update to November 27, 2014 Event
At approximately 6:45 AM EST on November 27, 2014, we identified an issue with our domain registrar. An initial inquiry revealed that there was an unauthorized access at our domain registrar that resulted in the redirection of some CDN related DNS records, for a subset of users, to a malicious address controlled by the attackers.

Final Resolution
As the NS records were corrected at 7:40 AM EST on Thursday, November 27, 2014 and it has now been 48 hours, all DNS servers worldwide should now be updated and no further issues are expected.

Recommended Actions
We recommend that all sites now reference http(s)://cdn(s).gigya.com/js/gigya.js instead of socialize.js in order to work around any residual browser caching for users who experienced the attack. Please see the FAQ for more information.
Again, to be absolutely clear: neither Gigya’s platform itself nor any user, administrator or operational data has been compromised and was never at risk of being compromised. Additionally, SSL certificates were also not compromised.

FAQ
We have posted an FAQ for Thursday's service attack on the incident event report inside the Admin Console.
To view the FAQ:
• Log into the Admin Console
• Go to the "Support" link at the top right
• Click the "Service Status" link at the bottom of the form

Final Update
This will serve as the final notification regarding the event. All other updates will be posted to the FAQ.
We sincerely apologize for the disruption of service. We will continue to aggressively pursue additional security measures and assist our customers with issues related to this incident.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True