Securitybedrijf Qualys heeft klanten gewaarschuwd voor een datalek nadat criminelen toegang tot een server van het bedrijf wisten te krijgen waarop klantgegevens stonden. Dat meldt Ben Carr, Chief Information Security Officer bij Qualys, in een blogposting.

Voor het uitwisselen van bestanden met klanten maakt Qualys gebruik van de File Transfer Appliance (FTA) van softwarebedrijf Accellion. Afgelopen december maakten aanvallers gebruik van verschillende zerodaylekken om toegang tot FTA-servers van organisaties te krijgen. Nadat er toegang was verkregen installeerden de aanvallers een webshell om hun toegang te behouden en gegevens te stelen.

Op 21 december rolde Accellion een hotfix voor de kwetsbaarheden uit, die op 22 december door Qualys werd geïnstalleerd, meldt Carr. Daarnaast werden er aanvullende maatregelen getroffen om de FTA-server te beschermen, waaronder het inschakelen van extra waarschuwingen. Op 24 december ontving Qualys een waarschuwing waarop de FTA-server van het netwerk werd geïsoleerd. Onderzoek wees uit dat aanvallers toegang tot klantbestanden op de server hadden gekregen.

Volgens Carr was de toegang beperkt tot de FTA-server en zijn geen andere diensten of klantgegevens door de aanvallers benaderd. De server stond daarnaast in een gescheiden DMZ-omgeving. Qualys laat niet weten hoeveel klanten precies zijn gedupeerd, maar stelt dat het om een "beperkt aantal" gaat. Alle getroffen klanten zijn inmiddels ingelicht. De FTA-server is permanent buitenwerking gesteld.

De criminelen achter de Clop-ransomware publiceerden gisteren op hun eigen website verschillende bestanden die bij Qualys zouden zijn buitgemaakt. Vorige maand meldde securitybedrijf FireEye dat de zerodaylekken in de FTA-software door de Clop-ransomwaregroep werden gebruikt voor het stelen van gegevens, om daarmee organisaties af te persen. Bij verschillende van deze aanvallen werd er geen ransomware uitgerold, maar alleen data gestolen. Carr wijst in de blogposting naar de analyse van FireEye

Het datalek bij Qualys staat dan ook niet op zichzelf. Eerder lieten de centrale bank van Nieuw-Zeeland, de Australian Securities and Investments Commission (ASIC), de Amerikaanse staat Washington, de Amerikaanse supermarktketen Kroger en advocatenkantoor Jones Day weten dat er op hun FTA-server was ingebroken.