Beveiligingsbedrijf Fox-IT getroffen door hack, geen staatsgeheimen gestolen

Fox IT

Fox-IT, dat onder meer de staatsgeheimen van de Nederlandse overheid beveiligt, was in september zelf slachtoffer van een hack. Dat heeft het beveiligingsbedrijf meegedeeld op zijn blog. Bij de hack zijn twaalf bestanden gestolen, maar het gaat niet om staatsgeheimen.

Op 19 september kreeg een hacker toegang tot het paneel voor de DNS-records van de domeinnaam Fox-IT.com. Deze indringer paste een DNS-record aan, waardoor hij het verkeer naar een server in zijn bezit kon sturen. De aanval was gericht op de service ClientPortal, waarmee klanten van Fox-IT bestanden met het bedrijf kunnen uitwisselen.

Nadat Fox-IT de man-in-the-middle-aanval ontdekte, schakelde het bedrijf tweestapsverificatie op ClientPortal uit. Daarmee kon Fox-IT voorkomen dat klanten op ClientPortal konden inloggen. Daarmee was de aanval nog wel gaande, maar kon de hacker geen documenten meer onderscheppen.

Buit

De hacker of hackers hebben in totaal twaalf bestanden onderschept, waarvan tien uniek. Drie bestanden waren vertrouwelijk. Het gaat zoals gezegd niet om staatsgeheimen, omdat die volgens Fox-IT nooit via ClientPortal worden verstuurd.

Ook heeft de hacker de inloggegevens van negen gebruikers van ClientPortal buitgemaakt. Omdat Fox-IT tweestapsverificatie vereist om in te loggen, kon de hacker daar niets mee. Ook zijn er namen, e-mailadressen en één telefoonnummer onderschept.

Hoe de hacker toegang kon krijgen tot paneel om DNS-records aan te passen, is niet bekend. Fox-IT had zijn DNS-records in beheer bij een derde partij, maar of die nalatig is geweest is niet bekend. Wel erkent Fox-IT het wachtwoord voor het DNS-paneel sinds 2013 niet meer gewijzigd is. De DNS-provider ondersteunde bovendien geen tweestapsverificatie, waarmee de aanval ook voorkomen had kunnen worden.