Τα νέα δεν είναι ευχάριστα για πολλούς από την κοινότητα του web hosting. Το WHMCS το δημοφιλές λογισμικό οικονομικής και τεχνολογικής διαχείρισης υπηρεσιών web hosting (ειδικά cPanel servers), έπεσε θύμα κακόβουλης επίθεσης και για τους χρήστες το πλήγμα φαντάζει ανεπανόρθωτο…
O εισβολέας απέκτησε πρόσβαση στους διακομιστές με επίθεση «κοινωνικής μηχανικής” (social engineering attack). Τα στοιχεία που διέρρευσαν ήταν 500.000 ονόματα, κωδικοί διαχειριστικής πρόσβασης, διευθύνσεις IP, στοιχεία εισόδου σε servers και σε μερικές περιπτώσεις στοιχεία πιστωτικής κάρτας.
“Το άτομο ήταν σε θέση να με μιμηθεί στην επικοινωνία του με την εταιρεία φιλοξενίας των συστημάτων μας και να δώσει σωστές απαντήσεις στις ερωτήσεις ελέγχου. Έτσι μπόρεσε να αποκτήσει πρόσβαση στον λογαριασμό μας σαν πελάτης της εταιρίας”, εξήγησε ο Matt Pugh.
Επίσης ο λογαριασμός του WHMCS στο twitter καταλήφθηκε από τους hackers ενώ η ιστοσελίδα του WHMCS υπέστη επίθεση DDoS και έγινε defaced.
Oι hackers είπαν στην Softpedia ότι μπορούν εύξολα να ανακτήσουν κωδικους και να αποκτήσουν πρόσβαση σε servers με μεθόδους “social engineering και με injections”. Συνολικά η ομάδα των UGNazi απέσπασαν συνολικά 1.7 GB δεδομένων από την WHMCS.
Η πλήρης αναφορά του περιστατικού όπως δημοσιεύτηκε στο blog του WHMCS:
A little over 4 hours ago our main server was compromised. This server hosts our main website and WHMCS installation.
What we know for sure
1. Our server was compromised by a malicious user that proceeded to delete all files
2. We have lost new orders placed within the previous 17 hours
3. We have lost any tickets or replies submitted within the previous 17 hoursWhat may be at risk
1. The database appears to have been accessed
2. WHMCS.com client area passwords are stored in a hash format (as with all WHMCS installations by default) and so are safe
3. Credit card information although encrypted in the database may be at risk
4. Any support ticket content may be at risk – so if you’ve recently submitted any login details in tickets to us, and have not yet changed them again following resolution of the ticket, we recommend changing them now.At this time there is still no evidence to suggest that this compromise actually originated through the WHMCS software itself. This was not merely a WHMCS system access, and since we do not provide hosting ourselves, our WHMCS is not hooked up in any way to our server.
We would like to offer our sincere apologies for any inconvenience caused. We appreciate your support, now more than ever in this challenging time.
Θα πρέπει όλες οι εταιρίες που χρησιμοποιούν το WHMCS ή να το θέσουν εκτός λειτουργίας ή να προστατεύσουν το φάκελο /admin/ με πρόσβαση από συγκεκριμένες ΙPs.
