Fast Company haalt website offline na inbraak op CMS-systeem
Het Amerikaanse zakenmagazine Fast Company heeft de eigen website offline gehaald nadat een aanvaller toegang tot het contentmanagementsysteem (CMS) wist te krijgen en beledigende teksten op de website zelf en onder volgers van Fast Company op Apple News verspreidde. De aanvaller beweert dat hij via een eenvoudig wachtwoord van acht karakters op de CMS-installatie kon inloggen.
Het in 1995 gelanceerde Fast Company claimt dat het maandelijks 12,3 miljoen unieke bezoekers heeft. Op Twitter telt het zakenmagazine 2,3 miljoen volgers. In een verklaring op de eigen website stelt Fast Company dat het de aanvaller eerst lukte om zondag toegang tot het CMS-systeem te krijgen, waarna dinsdag de berichten naar volgers op Apple News werden verstuurd. Sindsdien is de website offline.
Op een forum claimt de aanvaller dat hij via een "zeer eenvoudig standaardwachtwoord" van acht karakters toegang tot de WordPress-installatie van Fast Company wist te krijgen. De aanvaller merkt op dat hij het ip-adres van de WordPress-installatie vond en zo de "HTTP basic auth" kon omzeilen. Daardoor was alleen het WordPress-wachtwoord voldoende om in te loggen. Dit wachtwoord zou daarnaast voor tientallen accounts zijn gebruikt, waaronder het beheerdersaccount.
Vervolgens lukte het de aanvaller om vanuit de WordPress-installatie Auth0-tokens, Apple News API-keys en Amazon Simple Email Service (SES) secrets te stelen. Met deze gegevens kon de aanvaller onder andere berichten via Apple News verspreiden. Verder claimt de aanvaller dat hij duizenden records met informatie over FastCompany-medewerkers in handen heeft gekregen. Fast Company heeft zelf geen informatie gegeven over hoe de inbraak kon plaatsvinden.
Hoeveel ellende moet Word Press CMS in handen van niet-deskundige inrichters & onderhouders nog opleveren?
Knullige zaken, zoals user enumeration en directory listing aan laten staan na inrichten van de site, is zo'n big no no.
Maar er zijn er nog zat die er geen weet van hebben kennelijk.
Dan nog allerlei brakke plug-ins draaien en vergeten te updaten en upgraden als dat nodig is, doet de rest.
Niet te zeggen dat dit verhaal, wellicht in its mindere mate niet geldt voor Magenta (webshops). Zeker wel.
Websites en PHO-gebaseerd CMS in handen van niet-ter-zake-kundigen is vragen om dit soort problemen.
De rekening van 'dit soort vals bezuinigen' vindt iedere CEO, manager en web-admin steeds onder in de zak.
En die rekening valt vaak vies tegen. Dan is het ineens "auw", al geeft men dat zelden toe.
Niet handelen tot het een keer fout gaat is nu eenmaal 's-mensen ingegeven, maar wel dom primatengedrag dus.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.