Fox-IT schrijft in een blogbericht dat het Nederlandse beveiligingsbedrijf in september werd getroffen door een cyberaanval (update redactie 7 februari 2023: blogbericht wordt niet meer gevonden op de site van de bron). Daarbij werd door de aanvaller een kleine hoeveelheid data gestolen. Van de twaalf bestanden die gestolen werden waren er drie vertrouwelijk. Ook werden er inloggegevens van negen gebruikers van de cliëntportal van Fox-IT gestolen, maar deze waren onbruikbaar volgens het bedrijf.
Verloop
Fox-IT beschrijft in het blogbericht het verloop van de aanval en de lessen die eruit getrokken konden worden. De aanvaller voerde eerst wat verkennende scans van de infrastructuur van Fox-IT uit, waarna hij op 19 september de DNS-instellingen van de cliëntportal aanpaste. Via de cliëntportal wisselt het bedrijf bestanden uit met klanten. Vervolgens liet de aanvaller verkeer naar de cliëntportal doorsturen naar een VPS-aanbieder in het buitenland. Het bedrijf ontdekte diezelfde ochtend nog dat de DNS-instellingen gewijzigd waren. Ze sloten het cliëntportal af voor klanten, maar lieten de aanval nog even door lopen, zodat er onderzoek gedaan kon worden. Fox-IT lichtte de politie en de Autoriteit Persoonsgegevens in.
Lessen
Het bedrijf concludeerde dat de hack mede mogelijk was doordat het wachtwoord bij de registrar al sinds 2013 niet gewijzigd was. Ook bood de registrar geen tweetrapsauthenticatie, omdat dit in de tijd dat de DNS-provider gekozen werd nog geen optie was. Wat het doel van de aanval was en wie de aanvaller was is nog niet bekendgemaakt.
