Eind vorig jaar hebben wij bij XS4ALL moeten constateren dat een van
onze machines,
xs3.xs4all.nl, gehackt is via een naar wij denken bekende
exploit.
Wij zijn hier onder meer in bevestigd omdat wij op een buitenlandse
sites voor hackers een (in het Roemeens gesteld) verslag hebben
gevonden, waarin ook de accountnamen en -versleutelde- wachtwoorden van
gebruikers van die machine zijn aangetroffen.
Wij weten dat:
* de machine
xs3.xs4all.nl gehackt is;
* het systeembestand met gebruikersnamen en versleutelde wachtwoorden
in handen is gekomen van de hackers;
* een systeemprogramma dat gebruikt wordt om verbindingen van buitenaf
met het systeem op te zetten is aangepast, zodat de opgegeven
gebruikersnaam en het meegegeven wachtwoord gekopieerd zijn naar
een bestand dat de hackers hiervoor hadden ingericht;
* gedurende de tijd dat gebruikersnamen en wachtwoorden werden
afgeluisterd, dertig klanten hebben ingelogd op het systeem.
Wij denken dat:
* De dertig gebruikersnamen en wachtwoorden die verzameld zijn in de
periode die hierboven genoemd wordt, daarmee in handen zijn gekomen
van willekeurige onbevoegden.
Wij hebben daarop:
* Het systeem onbereikbaar gemaakt;
* Een forensisch onderzoek uitgevoerd op het betreffende systeem met
als doel te achterhalen welke gegevens of programmatuur op het systeem
in het ongerede is geraakt;
* De klanten van wie we weten dat de wachtwoorden in onversleutelde
vorm "geoogst" zijn, rechtstreeks en individueel benaderd;
Daarbij is in 1 enkel geval een misverstand in de communicatie
ontstaan, waardoor de klant wel, maar foutief is geinformeerd over
de aard van het probleem met zijn account, zodat de klant wel de
nodige en juiste maatregelen heeft getroffen, maar dit niet heeft gedaan
in de wetenschap dat zijn account was gecompromiteerd;
* Degenen die wij rechtstreeks telefonisch konden bereiken, van
advies voorzien om hun wachtwoord te wijzigen;
* De overige klanten uit deze groep van dertig per mail geadviseerd
hun wachtwoord te wijzigen;
* Een deadline gesteld aan de periode waarbinnen de wachtwoorden
konden worden gewijzigd, waarna ongewijzigde accounts zijn
geblokkeerd.
Aan de hand van deze hack hebben we daarnaast de manier waarop wij
systemen in de gaten houden en beschermen tegen hacking aangescherpt.
Bovendien hebben we daar waar nodig het systeem gepatcht en tevens
vergelijkbare systemen op dezelfde wijze gepatcht.
Wij betreuren het zeer dat een systeem van ons is gehackt. Naar
aanleiding daarvan hebben we op de volgens ons best mogelijke manier
gereageerd en hopen we in ieder geval lering te trekken uit de analyse,
op basis waarvan herhaling van eenzelfde soort hack zal worden
voorkomen.
--
Jacques Schuurman N | E <
jacques....@xs4all.net>
Security Officer J | M +31 6 5375 4689
XS4ALL Internet B.V. C | P 0x5F2FD0B0