Een verouderde vBulletin-installatie heeft ZoneAlarm's Forum-site door hackers overtreden

Het is algemeen bekend dat niemand immuun is voor cyberaanvallen, en als u hier nog meer bewijs van nodig hebt, kunt u een kijkje nemen bij enkele van de beveiligingsbedrijven die met succes zijn overtreden door cybercriminelen. ZoneAlarm, een dochteronderneming van Check Point, is het nieuwste voorbeeld.

Eerder deze week meldden verschillende nieuwszenders dat ZoneAlarm een datalek had opgelopen. Een van de eerste dingen die moeten worden opgemerkt, is dat het incident niet bijzonder impactvol is. De aanvallers bezoeken de forums van ZoneAlarm en stelen persoonlijke informatie die tot een relatief klein aantal gebruikers behoort. Volgens The Hacker News zijn de indringers erin geslaagd om de namen, e-mailadressen, geboortedata en gehashte wachtwoorden van ongeveer 4.500 mensen te stelen.

ZoneAlarm heeft het hele forum verwijderd om ervoor te zorgen dat het veilig is en wanneer het weer online wordt gezet, zal het een wachtwoordreset voor alle gebruikers afdwingen. Zoals gebruikelijk worden getroffen personen die dezelfde inloggegevens op andere websites hebben hergebruikt, geadviseerd om ze daar ook te wijzigen, ondanks het feit dat de gestolen wachtwoorden zijn gehasht en daarom moeilijk (zo niet praktisch onmogelijk) moeten zijn om te achterhalen.

Al met al is het niet het einde van de wereld, maar er zijn een paar zorgwekkende aspecten aan het incident die kunnen helpen herinneren aan het feit dat zelfs de experts zich niet altijd gedragen zoals je zou verwachten, zowel vóór als na zo'n incident.

ZoneAlarm besluit zo min mogelijk geluid te maken

ZoneAlarm noch Check Point hebben officiële aankondigingen gedaan met betrekking tot de cyberaanval. Zelfs nu, nadat een woordvoerder heeft toegegeven dat er een datalek is geweest, is het ontbreken van een gedetailleerd rapport dat via alle gebruikelijke kanalen wordt gecommuniceerd opvallend.

Sommigen zullen misschien zeggen dat de inbreuk niet zoveel aandacht verdient omdat het aantal getroffen gebruikers beperkt is en de gestolen gegevens niet bijzonder gevoelig zijn. Er zijn verschillende problemen met dit argument. Ten eerste, hoewel de gestolen informatie geen betalingsgegevens of gegevens bevat die kunnen leiden tot identiteitsdiefstal, kan deze toch worden gebruikt in andere aanvallen die veel schadelijker kunnen zijn.

Bovendien moet een bedrijf dat te maken heeft gehad met een datalek, ongeacht de hoeveelheid en aard van de gestuurde informatie, altijd zo transparant mogelijk zijn over wat er is gebeurd. En in dit geval is het enige dat gebruikers hebben ontvangen een e-mailmelding die niet te veel details bevat over de oorzaak van de datalek. Daarover gesproken, de inbreuk zelf was het resultaat van een fout die beveiligingsbedrijven niet echt zouden moeten maken.

Op een andere dag wordt een ander beveiligingsbedrijf aangevallen nadat het zijn software niet heeft gepatcht

Ongeveer anderhalve maand geleden kondigde Comodo aan dat hackers erin geslaagd waren een van de berichtenborden aan te vallen en toegang hadden gekregen tot bijna een kwart miljoen gebruikersrecords. Het beveiligingsbedrijf gaf toe dat de boeven erin slaagden erin te komen na het misbruiken van CVE-2019-16759 - een beveiligingslek met betrekking tot het uitvoeren van externe code in de vBulletin-forumsoftware. Het beveiligingslek werd enkele dagen voor de aanval openbaar gemaakt en een patch werd vrijwel onmiddellijk vrijgegeven. Zoals je misschien al geraden hebt, heeft Comodo het forum niet bijgewerkt en hadden de hackers geen tweede uitnodiging nodig.

Je zou verwachten dat andere mensen in de cybersecurity-industrie zouden leren van de fout van Comodo en zouden proberen op de hoogte te blijven van hun updates. Helaas heeft ZoneAlarm geen pogingen gedaan om zichzelf de schaamte te besparen om gehackt te worden vanwege nalatig patchbeheer.

CVE-2019-16759 is van invloed op alle vBulletin-versies tussen 5.0.0 en 5.5.4, maar de mensen die het project runnen vinden dat niemand toch oudere versies van de software zou moeten gebruiken, daarom zijn patches alleen beschikbaar voor versies 5.5.2 en nieuwer. Het forum van ZoneAlarm draaide op vBulletin 5.4.4, wat betekende dat het in feite een zittende eend was voor de hackers.

Deze specifieke datalek is verre van de ergste die we ooit hebben gezien, maar het laat wel zien dat zelfs de mensen die beter zouden moeten weten, niet zijn ontsnapt aan de "het zal mij niet gebeuren" -mentaliteit. Helaas kunnen de volgende keer dat dit soort dingen gebeuren, de gevolgen veel ernstiger zijn.