Orange España kampte woensdag met een stevige internetstoring. Intussen blijkt die te zijn veroorzaakt door een hacker in combinatie met gebrekkige securityvereisten.

De panne zorgde gedurende er iets meer dan 3,5 uur voor dat het internetverkeer van de tweede grootste Spaanse operator met 40-50 procent terugviel. Orange kon het verkeer relatief vlot herstellen, maar intussen duiden meer details op over hoe de dader te werk ging.

De persoon in kwestie gebruikt op X de naam Ms_Snow_OwO, waar ze liet weten dat ze kon inloggen op de RIPE account an Orange Spanje. RIPE (Réseaux IP Européens Network Coordination Centre) is één van de vijf regionale internetregisters. De organisatie beheert IP-adressen en wijst ze toe aan providers of bedrijven die hun eigen internetinfrastructuur beheren.

Wachtwoord al maanden te koop

Beveiligingsbedrijf Hudson Rock analyseerde de feiten en stelde vast de logingegevens hiervoor al sinds september online te koop werden aangeboden. Alles wijst er op dat er via malware data werd verzameld. Mogelijk heeft Ms Snow die gegevens gekocht of op een andere manier kunnen bemachtigen. Al is het simpelweg raden van het wachtwoord ook een optie.

Daarbij spelen twee belangrijke details: het wachtwoord, ‘ripeadmin’ was bijzonder zwak en kan dus ook relatief eenvoudig worden geraden. Tegelijk had RIPE zelf een matige beveiliging door geen complexe wachtwoorden te vereisten, maar ook geen tweestapsverficiatie te vereisen. Iets wat in tools zoals Office 365 of de meeste sociale mediaplatformen wel standaard aanwezig is.

De hacker in kwestie kon bij het inloggen aanpassingen maken aan de global routing table, die onder meer bepaalt welke backbone er wordt gebruikt. Ms Snow voegde daarbij willekeurige IP-adressen toe waarbij er in eerste instantie niets gebeurde. Pas toen er een te lang adres werd toegevoegd ontstonden er problemen waardoor andere verbindingen werden geweigerd. Techbedrijf Kentik heeft een technische blog over hoe dat concreet gebeurde.

Orange zelf kon, zodra het problemen met het internetverkeer opmerkte, de fouten snel corrigeren waardoor de panne na iets minder dan 4 uur was hersteld. Over de intenties van de hacker zelf is niets bekend.