Fast Company haalt website offline na inbraak op CMS-systeem
Het Amerikaanse zakenmagazine Fast Company heeft de eigen website offline gehaald nadat een aanvaller toegang tot het contentmanagementsysteem (CMS) wist te krijgen en beledigende teksten op de website zelf en onder volgers van Fast Company op Apple News verspreidde. De aanvaller beweert dat hij via een eenvoudig wachtwoord van acht karakters op de CMS-installatie kon inloggen.
Het in 1995 gelanceerde Fast Company claimt dat het maandelijks 12,3 miljoen unieke bezoekers heeft. Op Twitter telt het zakenmagazine 2,3 miljoen volgers. In een verklaring op de eigen website stelt Fast Company dat het de aanvaller eerst lukte om zondag toegang tot het CMS-systeem te krijgen, waarna dinsdag de berichten naar volgers op Apple News werden verstuurd. Sindsdien is de website offline.
Op een forum claimt de aanvaller dat hij via een "zeer eenvoudig standaardwachtwoord" van acht karakters toegang tot de WordPress-installatie van Fast Company wist te krijgen. De aanvaller merkt op dat hij het ip-adres van de WordPress-installatie vond en zo de "HTTP basic auth" kon omzeilen. Daardoor was alleen het WordPress-wachtwoord voldoende om in te loggen. Dit wachtwoord zou daarnaast voor tientallen accounts zijn gebruikt, waaronder het beheerdersaccount.
Vervolgens lukte het de aanvaller om vanuit de WordPress-installatie Auth0-tokens, Apple News API-keys en Amazon Simple Email Service (SES) secrets te stelen. Met deze gegevens kon de aanvaller onder andere berichten via Apple News verspreiden. Verder claimt de aanvaller dat hij duizenden records met informatie over FastCompany-medewerkers in handen heeft gekregen. Fast Company heeft zelf geen informatie gegeven over hoe de inbraak kon plaatsvinden.
Hoeveel ellende moet Word Press CMS in handen van niet-deskundige inrichters & onderhouders nog opleveren?
Knullige zaken, zoals user enumeration en directory listing aan laten staan na inrichten van de site, is zo'n big no no.
Maar er zijn er nog zat die er geen weet van hebben kennelijk.
Dan nog allerlei brakke plug-ins draaien en vergeten te updaten en upgraden als dat nodig is, doet de rest.
Niet te zeggen dat dit verhaal, wellicht in its mindere mate niet geldt voor Magenta (webshops). Zeker wel.
Websites en PHO-gebaseerd CMS in handen van niet-ter-zake-kundigen is vragen om dit soort problemen.
De rekening van 'dit soort vals bezuinigen' vindt iedere CEO, manager en web-admin steeds onder in de zak.
En die rekening valt vaak vies tegen. Dan is het ineens "auw", al geeft men dat zelden toe.
Niet handelen tot het een keer fout gaat is nu eenmaal 's-mensen ingegeven, maar wel dom primatengedrag dus.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
