30 mei
Helaas is de internetsite van ThreadStone afgelopen vrijdagochtend (27 mei) slachtoffer geworden van een zogenaamde defacement. Na een uitgebreid onderzoek van onze veiligheidsexperts hebben wij een aantal maatregelen getroffen. In dit bericht geven we zo volledig mogelijk antwoord op uw vragen.
Wat is er gebeurd?
Eén van onze partners heeft ons – na overleg met één van zijn relaties - om 08:12 uur gemeld dat er op onze website (www.threadstone.eu) een melding stond dat deze gehackt was. Hierop hebben we direct onderzoek ingesteld. Hieruit bleek inderdaad dat er een zogenaamde defacement (wijziging van de homepagina) van onze internetsite heeft plaatsgevonden.
Wat hebben wij direct gedaan?
We hebben de benodigde acties uitgevoerd om logfiles etc. veilig te stellen en te analyseren. Om 08:32 uur is de site offline gezet. Om 08:35 uur is onze internetsite na een snelle analyse weer online gezet. Daarnaast is aangifte bij de politie gedaan.
Wat is de oorzaak?
De oorzaak van de defacement ligt in het gebruik van een (overigens zeer veel gebruikte) template met plugins voor de ontwikkeling van onze internetsite. Eén van de plugins (een zogenaamde JQuery plugin) was geïnfecteerd met code waardoor een onbevoegde van buitenaf de mogelijkheid had om de site te manipuleren. Hier is door de inbreker(s) misbruik van gemaakt door een nieuwe homepagina te plaatsen, waarop werd vermeld dat de site was gehacked.
Wat is de Impact?
Buiten de imagoschade die is ontstaan is er gelukkig geen schade. Slechts 2 bezoekers van onze site hebben de defacement gezien en deze (gelukkig) direct aan ons gemeld. Uit de logfiles is naar boven gekomen dat de defacement is uitgevoerd om 03:34 uur. Na het uitvoeren van de defacement is de inbreker vertrokken van de site. Vrijdag ochtend om 11:54 uur heeft de hacker opnieuw geprobeerd om op de site in te breken, maar door de wijzigingen die we inmiddels hadden uitgevoerd is dit niet gelukt. Er zijn geen (persoons)gegevens gestolen of ingezien. Deze defacement heeft zich alleen gericht op onze internetsite (onze ThreadScan portal heeft dus GEEN enkele hinder ondervonden).
Wat hebben we gedaan om herhaling te voorkomen?
Uiteraard vinden wij het – zeker als bedrijf dat zich bezig houdt met Cyber Security – enorm vervelend dat deze defacement zich heeft voorgedaan. Om herhaling te voorkomen zijn een aantal acties uitgevoerd:
- Alle plugins op de internetsite die wel geinstalleerd waren, maar niet werden gebruikt zijn verwijderd;
- Er is aanvullende monitoring geplaatst, waardoor we sneller kunnen acteren op het moment dat zich een defacement voordoet.
Waarom heeft ThreadScan dit niet ontdekt?
Uiteraard controleren wij onze internetsite dagelijks op kwetsbaarheden met ons eigen product, ThreadScan. ThreadScan controleert de pagina’s op een internetsite met een bepaalde diepte vanaf de hoofdpagina. ThreadScan controleert ook alleen content en code die wordt aangeroepen door de website, alsmede bekende ‘paden’. Deze code werd niet gebruikt op de website en derhalve niet gedetecteerd. We onderzoeken nu de mogelijkheden om ook deze functionaliteit wel toe te kunnen gaan voegen aan ThreadScan.
Heeft u vragen?
We willen graag zo open en transparant mogelijk zijn, zeker bij dit soort vervelende ervaringen. Heeft u vragen, neemt u dan uiteraard gerust contact met ons op (085-0607000) en vraag naar René van Etten. Hij staat u graag te woord.