Het Nederlandse beveiligingsbedrijf Fox-IT heeft afgelopen september te maken gekregen met een man-in-the-middle-aanval. Door dns-gegevens aan te passen, onderschepte een aanvaller gedurende korte tijd bestanden.

Na enkele verkennende scans bij de infrastructuur van Fox-IT halverwege september, paste de aanvaller op 19 september de dns-records van clientportal.fox-it.com aan bij de registrar. De ClientPortal is de web-app van het beveiligingsbedrijf om bestanden met klanten uit te wisselen. Gedurende tien minuten ving de aanvaller e-mail voor Fox-IT af, voor de registratie van een vals ssl-certificaat voor clientportal.fox-it.com.

Vervolgens vond de daadwerkelijke aanval plaats: de aanvaller liet verkeer naar de portal doorsturen naar een vps-aanbieder in het buitenland. De aanval vond vroeg in de ochtend plaats en diezelfde ochtend detecteerde het bedrijf dat de dns-instellingen gewijzigd waren. Fox-IT voorkwam dat klanten de ClientPortal nog langer konden gebruiken, maar liet de aanval op de 19e voortduren voor onderzoek.

Het bedrijf lichtte vervolgens de politie en de Autoriteit Persoonsgegevens in. Na onderzoek kwam het bedrijf tot de conclusie dat tijdens de aanval twaalf bestanden zijn onderschept, waarvan drie vertrouwelijk. "Bestanden die als staatsgeheim zijn gerubriceerd worden nooit uitgewisseld middels ClientPortal", meldt Fox-IT. Ook inloggegevens van negen gebruikers van de portal zijn in handen van de aanvaller, maar deze zouden niet bruikbaar zijn. Ook is een lijst van namen van ClientPortal-accounts onderschept.

Volgens het beveiligingsbedrijf was de hack mede mogelijk, omdat het wachtwoord sinds 2013 niet gewijzigd was. Daarnaast ondersteunde de registrar geen tweetrapsauthenticatie. "Wij hebben onze dns-provider achttien jaar geleden gekozen toen 2fa nog geen overweging of optie was", aldus Fox-IT in een publicatie waarin het verloop van de aanval beschreven wordt. Over de toedracht en details over mogelijke aanvaller meldt het bedrijf niets.

Reacties mogelijk gemaakt door CComment