De aanvallers die dit weekend de website van de Nederlandse hostingprovider LeaseWeb wisten te defacen hebben dit gedaan door de DNS aan te passen, zo laat het bedrijf in een verklaring weten. Door de DNS-aanpassing werden bezoekers van leaseweb.com naar een ander IP-adres doorgestuurd.

Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. "Deze DNS-kaping werd snel door de security-afdeling van LeaseWeb gedetecteerd en hersteld", stelt Alex de Joode van LeaseWeb. Uit onderzoek zou blijken dat alleen de DNS-instellingen voor leaseweb.com zijn benaderd en aangepast. Er zouden geen interne systemen of klantgegevens zijn gecompromitteerd.

Aanval

De Joode laat weten dat het nog niet precies duidelijk is hoe de DNS-kaping kon plaatsvinden. De aanval zou in ieder geval niet via een beveiligingslek in de WHCMS-software hebben plaatsgevonden, zoals eerst werd gedacht. Deze software wordt door veel hostingproviders voor klantenbeheer gebruikt, maar LeaseWeb gebruikt zelfontwikkelde software hiervoor.

Daarnaast zou de aanval zich ook niet op de klantenportaal hebben gericht. "Het lijkt erop dat de kapers het beheerderswachtwoord voor het domein hebben bemachtigd en die informatie hebben gebruikt om toegang tot de registrar te krijgen", aldus De Joode. Via de registrar konden vervolgens de IP-adres van het domein worden aangepast.