Jump to content
kNigHt

NSHost hacked - social engineering

By kNigHt, in Stiri securitate

Recommended Posts

kNigHt Newbie

kNigHt

Posted
Posted

Ma asteptam ca securitatea Voxility sa fie mai stricta...

Comunicat LiveShells .s.r.l 29.10.2013

Stimati Clienti. In data de 28.10.2013 intre orele 3:30 AM – 6:30 AM, o persoana neautorizata a obtinut acces la adresa de e-mail office@nshost.ro , prin care a contactat Centrul De Date Voxility in numele firmei LiveShells .s.r.l solicitand accesul la consola KVM. Solicitarea s-a facut pe un numar de cinci servere, VDS, shared, mail, backup.

Dupa ce a primit acces la consola KVM, a cerut expres montarea unei imagini (DVD/ISO) prin care a incercat sa schimbe parola de root (Global Acces). Nereusind acest lucru a dat reinstall la toate cele cinci servere, astfel s-au pierdut toate datele, continutul serverelor inclusiv cel de backup. De asemena a incercat sa obtina si acces la serverul unde sunt stocate datele cu caracter personal, si sitemul de control client, plati etc. nereusind accesul la acest server, a modificat nameserverele domeniului nshost de la ROTLD, redirectand domeniul spre un alt provider de gazduire, unde a lasat un mesaj public in care specifica in numele firmei, pierderea datelor clientilor.

Am incercat recuperarea datelor prin toate metodele posibile timp de 16 ore , fara nici un rezultat. Hardurile au fost incarcate cu 0 biti, astfel nu se poate realiza nici un fel de recuperare de pe acest suport.

Vom urmat procedurile legale, pentru identificarea si tragerea la raspundere penala a persoanei responsabile, cat si pentru recuperarea daunelor morale si materiale.

Detinem toate informatiile si logurile necesare care vor duce la identificarea persoanei care a cauzat acest prejudiciu major, atat firmei noastre cat si tuturor clientilor nostrii.

Am inceput reinstalarea serverelor, reface toate conturile , speram sa terminam setarea, configurarea si reactivarea tuturor conturilor de clienti afectati.

Clientii vor fi anuntati prin e-mail , in momentul activarii, cu datele de access al contului

Va reamintim ca in termenii si conditiile de gazduire, se stipuleaza, creearea periodica, a unei copii de siguranta si de catre client, in cazurile de forta majora ca si in aceasta situatie , sa poata restaura informatiile in contul de gazduire detinut.

Am luat masuri de securitate impreuna cu Centrul De Date Voxility, pentru a evita pe viitor astfel de situatii, prin verificarea identitatii si prin alte metode decat cele de e-mail.

Noile conturi vor fi pe patru namservere impartite pe doua continente si linkate prin DNS Clusters. Vom adauga cat de curand si alte metode de backup suplimentare si in diferite locatii.

Ne cerem scuze pentru problemele create si vom incerca sa va recastiga increderea prin oferirea serviciilor de calitate.

CEO LiveShells .s.r.l

Link to comment
Share on other sites
alexu Newbie

alexu

Posted
Posted

Fiind pasionat de IT, nu ma mai impresioneaza chestiile astea. Oricat de bine te-ai pricepe tu, sau compania de hosting, la securizarea serverelor, tot poate sa te "arda" cu vreo vulnerabilitate critica, in vreo aplicatie 3rd party.

Au patit-o si companii mult mai mari, din domeniul securitatii.

Ce-i strigator la cer, este ca nu au avut back-up off-line.

Ce-i si mai strigator la cer, este ca unii utilizatori, s-au lasat la mana lor si nu si-au facut si ei, back-up total, pe care sa-l salveze in PC, in fiecare zi.

Nu traiesc cu frica de deface, pentru ca maine, pot sa-mi gasesc blogul, cu mesajul pe el "Suntem organizatia X, care vrem sa atragem un semnal de alarma, cu privire la maltratarea porcusorilor de Guineea".

Bagam back-up-ul la loc si mergem mai departe.

Link to comment
Share on other sites
kNigHt Newbie

kNigHt

Posted
  • Author
Posted
Fiind pasionat de IT, nu ma mai impresioneaza chestiile astea. Oricat de bine te-ai pricepe tu, sau compania de hosting, la securizarea serverelor, tot poate sa te "arda" cu vreo vulnerabilitate critica, in vreo aplicatie 3rd party.

Au patit-o si companii mult mai mari, din domeniul securitatii.

Ce-i strigator la cer, este ca nu au avut back-up off-line.

Ce-i si mai strigator la cer, este ca unii utilizatori, s-au lasat la mana lor si nu si-au facut si ei, back-up total, pe care sa-l salveze in PC, in fiecare zi.

Nu traiesc cu frica de deface, pentru ca maine, pot sa-mi gasesc blogul, cu mesajul pe el "Suntem organizatia X, care vrem sa atragem un semnal de alarma, cu privire la maltratarea porcusorilor de Guineea".

Bagam back-up-ul la loc si mergem mai departe.

Nu sunt de acord cu tine. Ce ar trebui sa spun, Doamne fereste de mai rau? Am fost clientul lor, am avut backup la toate datele, dar asta nu justifica faptul ca eu trebuie sa pierd ore bune cu reconfigurarea serverelor si restaurarea backup-urilor. Asta e timpul meu, si ma costa.

Pe langa asta, aici nu a fost vorba de nicio vulnerabilitate critica. Securitatea lor nu a fost buna, au fost neatenti si cineva a obtinut acces la adresa nshost de email. Nu mai conteaza daca au obtinut-o prin social engineering sau hacking.

Pe deasupra, staff-ul voxility ar fi trebuit sa aiba masuri de siguranta mult mai stricte cand este vorba de modificari majore. In plus, serviciile pe care le ofereau serverele respective nu au fost available o perioada de timp, firesc. Alti bani.

Link to comment
Share on other sites
alexu Newbie

alexu

Posted
Posted

Da, daca se intampla asta, in alta tara, se lasa cu procese. M-am gandit si eu, ca trebuia vreo intrebare, de siguranta, ceruta de cei de la Voxility, pentru astfel de modificari.

In mare parte, este vina lor.

In mica parte, este si vina ta, adica: preturile foarte mici = semnal de alarma. Nu poti sa fii si cu ... si cu sufletul in Rai. :)

Link to comment
Share on other sites
1337 Newbie

1337

Posted
Posted (edited)

Cei de la suportul celor de la Voxility ar trebui sa-si dea demisia!Degeaba ai datacenter cu intrare pe amprenta daca ai angajati inapti.Baietii astia chiar nu au auzit de PGP sau de mail-uri semnate digital?

@PingLord gandeste-te la celelalte obstacole, ai mult de parcurs pana la amprente.Daca as avea firma de hosting/pentesting mi-as lua hosting de la cyberbunker.com

Edited by 1337
Link to comment
Share on other sites
PingLord Newbie

PingLord

Posted
Posted

Securitatea nu este o solutie stand-alone ci este un proces continuu bazat pe solutii hardware,solutii software si politici de securitate iar nivelul securitatii este dat de cea mai slaba veriga a procesului..Punctul cel mai slab din punct de vedere al securitatii este omul iar asta a fost exploatat aici.Pentru acces intr-un datacenter cu amprenta se poate modifica amprenta foarte usor prin social engineering.Clonarea amprentei de pe un pahar si lipirea acelei amprente pe degetul tau nu este rocket science.

Deasemenea observ un trend ce nu vrea sa scada din punct de vedere al securittii informatice.Aceea de a ignora acest aspect in favoarea vitezei mai mari de livrare sau " nu mi se intampla mie ". Din necazul lor sper sa invete si altii o lectie si sa isi dea seama de implicatiile unor politici de securitate la nivel business.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...