Het testplatform BrowserStack, waar ontwikkelaars hun websites met allerlei browsers en platforms kunnen testen, werd dit weekend gehackt via het Shellshock-lek dat nog steeds op een oude machine aanwezig was, zo hebben de oprichters Ritesh Arora en Nakul Aggrawal laten weten.

De aanvaller wist toegang tot een database met e-mailadressen van gebruikers te krijgen. Vervolgens werd er geprobeerd om naar alle geregistreerde gebruikers een e-mail te versturen waarin werd gesteld dat BrowserStack zou stoppen. BrowserStack ontdekte de aanval en haalde de dienst vervolgens uit de lucht, naar eigen zeggen om gebruikers te beschermen. De valse e-mail werd naar schatting bij zo'n 5.000 gebruikers afgeleverd, wat minder dan 1% van alle gebruikers is. BrowserStack heeft 25.000 klanten en 520.000 geregistreerde ontwikkelaars.

Oude machine

Volgens Arora en Aggrawal wist de aanvaller binnen te dringen via een oude prototype machine die op Amazon Web Services (AWS) werd gehost. Deze machine was al voor 2012 in gebruik genomen, maar werd niet meer actief gebruikt. De aanvallers wist via het Shellshock-lek toegang te krijgen. De oprichters stellen dat de machine niet was gepatcht omdat die toch niet actief werd gebruikt. De oude machine beschikte wel over de API-toegangsleutel en geheime sleutel van de Amazon Web Services. Hiermee maakte de aanvaller vervolgens een gebruiker aan en genereerde een nieuw sleutelpaar.

Met deze gegevens startte hij binnen het AWS-account van BrowserStack een virtual machine en kon vervolgens een back-upschijf koppelen. Deze back-up bevatte weer een configuratiebestand met het databasewachtwoord. Ook plaatste de aanvaller zijn IP-adres op de whitelist van de firewall. Vervolgens begon hij de databasetabellen met gebruikersgegevens te kopiëren, waaronder e-mail ID's, gehashte wachtwoorden en laatst geteste URL's.

Het monitoringssysteem van BrowserStack sloeg alarm toen de aanvaller een vergrendelde databasetabel probeerde te kopiëren. Het testplatform controleerde de logbestanden en zag het vreemde IP-adres, dat meteen werd geblokkeerd. In de tussentijd had de aanvaller een deel van de data weten te stelen. Met deze gegevens en de gestolen inloggegevens verstuurde hij vervolgens de valse e-mail.

Maatregelen

Terugkijkend op het incident stellen de oprichters dat alle machines gepatcht hadden moeten zijn, of ze nu wel of niet actief worden gebruikt. Daarnaast hadden servers die niet meer in gebruik zijn offline moeten worden gehaald en geen AWS-sleutels mogen bevatten. Ook had de communicatie richting klanten en gebruikers beter gemoeten. Om toekomstige incidenten te voorkomen heeft BrowerStack alle AWS-sleutels en wachtwoorden ingetrokken, worden alle back-ups versleuteld, zijn er aanvullende controles ingesteld, worden er bepaalde VPN-opties bekeken en zal als laatste er een audit door een extern bedrijf worden uitgevoerd.