Beveiligingsbedrijf HBGary heeft zich van de RSA conferentie teruggetrokken, nadat het door Anonymous-leden aan alle kanten was gehackt, deels door de eigen amateuristische fouten. De aanvallers wisten onder andere 70.000 e-mails te bemachtigen waarin allerlei vertrouwelijke informatie in stond, onder andere over klanten en projecten. Zo bleek dat ook de Nederlandse politie en Marechaussee klanten van HBGary waren. Volgens het beveiligingsbedrijf heeft een "groep agressieve hackers bekend als Anonymous" illegaal in de computersystemen van HBGary ingebroken en vertrouwelijke informatie gestolen."

Verder zouden werknemers van het bedrijf zijn bedreigd, onder andere bij de stand. "Om onze werknemers, klanten en de RSA-conferentiegemeenschap te beschermen, heeft HBGary besloten om onze stand te verwijderen en lezingen te annuleren", zo was op de poster te lezen die bij de stand was neergezet.

Amateurs
Inmiddels heeft Anonymous ook op de hack van het beveiligingsbedrijf gereageerd en uitgelegd hoe ze het bedrijf op de knieën kregen. Er zat een gapend gat in het CMS dat HBGary op de eigen website gebruikte. Als het bedrijf de code al had geaudit, iets wat één van de diensten van HBGary is, hadden ze deze kwetsbaarheid over het hoofd gezien. Het liet de aanvallers SQL-injection toepassen om zo toegang tot de database te krijgen. De gehashte wachtwoorden in de database, waarvan de MD5 implementatie ook nog eens verkeerd was, werden uiteindelijk via een rainbow table gekraakt. Twee werknemers, Aaron Barr en COO Ted Vera, hadden zeer zwakke wachtwoorden, bestaande uit zes kleine letters en twee cijfers.

Niet alleen waren de wachtwoorden voor een beveiligingsbedrijf zeer zwak, zowel Barr als Vera gebruikten die voor tal van accounts, waaronder e-mail, Twitter en LinkedIn. Vera gebruikte het CMS-wachtwoord ook voor zijn SSH-toegang tot de HBGary server. Vera had een account met beperkte rechten, maar omdat de server achterliep met patches, was het mogelijk voor de aanvallers om hun rechten via een privilege escalation exploit te verhogen. Het lek was sinds oktober vorig jaar al bekend. Eenmaal toegang tot de server wisten de aanvallers gigabytes aan back-ups en onderzoeksgegevens te stelen en te verwijderen.

Social engineering
De ellende voor HBGary was nog niet voorbij, want het bedrijf gebruikt Google Apps als e-mailservice. Via de gekraakte wachtwoorden kregen de Anonymous-leden ook toegang tot de accounts van Barr en Vera. Barr was niet alleen gebruiker, maar ook administrator. Zodoende wisten de aanvallers ruim 70.000 e-mails te stelen. Die gebruikten ze vervolgens om een werknemer te social engineeren, door zich als oprichter van het bedrijf Greg Hoglund voor te doen. Die gaf uiteindelijk de inloggegevens voor rootkit.com, die ook werd gehackt.

Volgens Peter Bright van Ars Technica, die de aanval tot in detail analyseert, laat de aanval onder andere zien dat het standaard advies niet goed genoeg is. "Als zelf erkende beveiligingsexperts die beter zouden moeten weten het niet opvolgen, wat heeft de rest van ons dan voor kans."