image

Softwarebedrijf EllisLab gehackt via gestolen wachtwoord

dinsdag 5 mei 2015, 09:44 door Redactie, 2 reacties

Het Amerikaanse softwarebedrijf EllisLab, bekend van de CMS-software Expression Engine, heeft gebruikers gewaarschuwd dat hun gegevens mogelijk zijn gestolen nadat aanvallers toegang tot een server van het bedrijf wisten te krijgen. De aanval vond plaats op 24 maart van dit jaar, waarbij een aanvaller via een gestolen "Super Admin" wachtwoord wist in te loggen.

Vervolgens installeerde hij een PHP-backdoor waardoor een groep aanvallers op de server kon inloggen. De backdoor probeerde daarnaast roottoegang tot de server te krijgen, iets wat de hostingprovider van EllisLab voorkwam. De mislukte pogingen zorgden ervoor dat de aanvallers werden ontdekt en uiteindelijk ook geblokkeerd, waarna er een onderzoek volgde. Daaruit bleek dat er geen exploit was gebruikt, maar een geldige login. Hoe de aanvallers het wachtwoord wisten te bemachtigen is onbekend.

Wel is bekend dat de aanvallers drie uur lang toegang tot de server hadden. Daardoor bestaat het risico dat de database met gebruikersgegevens is gestolen. In de database stonden gebruikersnaam, alias, profielgegevens, e-mailadres en gesalte en gehashte wachtwoorden. Volgens EllisLabs lopen gebruikers met een zwak wachtwoord het risico dat de aanvallers die via een brute force-aanval op de hash kunnen achterhalen. Gebruikers krijgen dan ook het advies om hun wachtwoord te wijzigen en dit ook te doen op websites waar ze hetzelfde wachtwoord gebruikten.

Reacties (2)
05-05-2015, 10:03 door Anoniem
Het wordt inderdaad steeds makkelijker om "te hacken". Je hoeft er steeds minder voor te doen, want de definitie behelst steeds minder. "Wachtwoord van een geel papiertje oplezen" valt er ondertussen ook onder. Waarmee de "security" industrie zichzelf steeds minder betekenis toekent. Ga vooral door. Mischien komen feit en propagandafictie nog wel eens samen. Beetje jammer alleen dat de echte creatievelingen (allemaal buiten deze industrie) ook op zoek moeten naar een nieuw woord.
05-05-2015, 11:31 door Anoniem
Door Anoniem: ... Beetje jammer alleen dat de echte creatievelingen (allemaal buiten deze industrie) ook op zoek moeten naar een nieuw woord.

Dat woord bestaat al veel langer: Laksheid. En dat is niet strafbaar, want je roept gewoon dat je gehackt bent.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.