Beveiliger Fox-IT zelf gehackt
De Nederlandse beveiligingsspecialist Fox-IT laat weten dat het in september zelf slachtoffer werd van een man-in-the-middle-aanval. De schade blijft beperkt, maar het bedrijf trekt wel duidelijke lessen.
Fox-IT, dochter van de Britse NCC Group, is een van de meest prominente beveiligingsbedrijven in Europa. Het bedrijf wordt doorgaans ingeschakeld om hackaanvallen bij bedrijven en overheden te onderzoeken en is in ons land vooral bekend als het team dat de hack bij BICS (een dochter van Proximus) onderzocht.
Bestanden onderschept
Maar op 19 september werd het bedrijf zelf slachtoffer van een hacker. Concreet slaagde die er in om bij de externe registrar van het bedrijf toegang te krijgen tot de DNS-records. Daarmee kon die aanpassingen doorvoeren waardoor inkomend verkeer naar Fox-IT.com werd omgeleid naar een server van de aanvaller, die het vervolgens weer doorstuurde naar Fox-IT. Dit is een zogenaamde man-in-the-middle-attack, waar de aanvaller zich tussen de bezoeker van de site en de eigenaar van de site kan nestelen om verkeer te onderscheppen.
Zo kon de hacker ClientPortal, een webapplicatie om veilig bestanden met Fox-IT uit te wisselen, gedurende 10 uur en 24 minuten inkijken. Daarbij zijn 12 bestanden (waarvan 10 unieke) van 9 gebruikers onderschept geweest. Al zouden slechts drie bestanden echt vertrouwelijke info bevatten. Ook werd gedurende tien minuten het emailverkeer aan Fox-IT omgeleid. Fox-IT heeft intussen de betrokken partijen en de politie gewaarschuwd. Het onderzoek loopt echter nog en de dader werd nog niet gevat.
Snel ontdekt, niet meteen stopgezet
De beveiliger legt in een zeer uitgebreide blogpost uit wat de impact en de lessons learned zijn. Zo benadrukt het dat de meeste van dit soort aanvallen doorgaans pas na weken worden ontdekt.
Opmerkelijk is dat Fox-IT de inbraak niet meteen heeft stopgezet, maar in eerste instantie enkel de tweestapsverificatie (2FA) per sms blokkeerde. Daardoor konden klanten geen bestanden meer doorsturen, maar merkte de hacker nog niet dat de hack was gedetecteerd. Zo kon Fox-IT eerst meer inzicht krijgen in de situatie.
Maar er zijn ook pijnpunten. Zo was het wachtwoord bij de registrar van het domein al drie jaar niet meer gewijzigd en was hier geen tweestapsverificatie nodig. Het bedrijf geeft toe dat dit beter kon.
Alles gecombineerd heeft Fox-IT de hack snel ontdekt en bleef de schade dankzij de eigen beveiligingsmaatregelen beperkt. Zo kreeg de hacker nooit toegang tot de interne systemen van het bedrijf. Het maakt van de hack gebruik om helder te communiceren over het voorval en meteen te wijzen op zaken, zoals tweestapsverificatie voor het beheer van het domein, die het zelf in eerste instantie over het hoofd zag.
Fout opgemerkt of meer nieuws? Meld het hier