'Datalek bij softwareleverancier luchthavens via gestolen ftp-wachtwoord uit 2022'
Een belangrijke softwareleverancier van Europese luchthavens is vorige maand door twee verschillende ransomwaregroepen aangevallen, waarbij één van de groepen een ftp-wachtwoord gebruikte dat al in 2022 was gestolen. Dat meldt securitybedrijf Hudson Rock. Collins Aerospace biedt software voor inchecken en bagageafhandeling waar verschillende Europese luchthavens en luchtvaartmaatschappijen gebruik van maken.
Vorige maand meldde Collins Aerospace dat het was getroffen door een ransomware-aanval, waarop allerlei systemen offline werden gehaald. Hierdoor zagen Europese luchthavens en luchtvaartmaatschappijen die van de software van het bedrijf gebruikmaken zich gedwongen om allerlei vluchten te annuleren. Hudson Rock stelt dat Collins Aerospace in deze periode met twee verschillende aanvallen te maken kreeg.
Een ransomwaregroep genaamd Everest wist met gestolen ftp-gegevens op 10 september in te loggen op een ftp-server van Collins Aerospace. De aanvallers claimen daarbij de records van 1,5 miljoen passagiers te hebben gestolen alsmede informatie van duizenden medewerkers. Vervolgens werd het moederbedrijf van Collins Aerospace door de aanvallers benaderd, maar de onderhandelingen liepen uiteindelijk vast, aldus Hudson Rock.
De ftp-inloggegevens van Collins Aerospace zouden in 2022 door middel van infostealer-malware van het systeem van een medewerker zijn gestolen. Dit is malware speciaal ontwikkeld voor het stelen van inloggegevens. Hudson Rock claimt informatie te bezitten over miljoenen met infostealer besmette systemen. Op basis van die informatie stelt het securitybedrijf dat de ftp-inloggegevens al in 2022 waren gestolen en sindsdien nooit zijn veranderd.
De Everest-ransomwaregroep meldde dat het bij de aanval op de softwareleverancier geen ransomware heeft gebruikt. Volgens Hudson Rock is dit inderdaad het geval en is de ransomware-aanval die rond hetzelfde moment plaatsvond het werk van een andere groep. Hoe de ransomware-aanval mogelijk was is onbekend. Collins Aerospace heeft hier nog geen informatie over gegeven.
Gebruik SFTP (SSH) word aanbevolen als vervanging.
FTP wordt sterk afgeraden omdat het wachtwoorden en data onversleuteld verstuurt. Maar anonymous FTP is nog steeds veilig genoeg om openbare documenten te verspreiden. (HTTP is vaak efficiënter)
SFTP is geschikt voor het versturen van vertrouwelijke documenten over het publieke Internet, mits beide eindpunten correct geconfigureerd zijn. (je wilt geen aanpassing aan je versleuteling door de MIHM)
En dat gestolen ftp-wachtwoord kan ook op andere logins gepast hebben.
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Een veilig protocol maakt in dit geval alleen dat de hackers niet gebreached kunnen worden ;-).
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Niets natuurlijk, maar het is weer iemand die niet verder dan de titel kan lezen omdat ie METEEN een standaard reactie eruit moet gooien - zonder maar te lezen of te bedenken dat een encrypted protocol niet helpt tegen gelekte inloggevens.
Nog even wachten op de expert die meldt dat lag aan een Windows server .
(natuurlijk _is_ FTP geen veilige keuze, alleen hier was het niet de oorzaak van het probleem ).
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Dat is een open deur intrappen van meer dan 10 jaar oud, kennelijk zo open want in 2022 gestolen inloggegevens werken jaren later nog steeds.
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Als je t slimmer doet zet je authenticatie middels password uit, laat je authenticeren met keys evt icm tfa
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Als je t slimmer doet zet je authenticatie middels password uit, laat je authenticeren met keys evt icm tfa
FTP/SFTP/FTPS worden vaak gebruikt door automatiseringen om data te verplaatsten. 2FA maakt dat een stuk lastiger.
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Daarnaast jails, klinkt leuk, maar de meeste bedrijven nemen hiervoor producten en gaan niet zelf zitten bouwen om iets te maken.
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Daarnaast jails, klinkt leuk, maar de meeste bedrijven nemen hiervoor producten en gaan niet zelf zitten bouwen om iets te maken.
Als je al toegang hebt tot de client dan zegt dat iets over je beveiliging want waarom moet iedereen toegang hebben tot je sftp server? Beveiliging begint aan de buitenkant van je netwerk aangevuld vervolgens met de binnenkant en een jail zorgt ervoor dat niemand root toegang krijgt. Als je de client vervolgens met key en wachtwoord beveiligd (uiteraard niet een vasrgezet wachtwoord) wordt het toch wel heel erg lastig voor een hacker. Een reverse proxy als aanvulling kan ook geen kwaad.
Succes met de andere producten maar daar heb ik dus alle vertrouwen in verloren en zijn het geld echt niet waard.
Gebruik SFTP (SSH) word aanbevolen als vervanging.
Ja want SFTP (SSH) werkt natuurlijk niet, als je werkende wachtwoorden hebt gestolen en die vervolgens gebruikt....
Daarnaast jails, klinkt leuk, maar de meeste bedrijven nemen hiervoor producten en gaan niet zelf zitten bouwen om iets te maken.
Als je al toegang hebt tot de client dan zegt dat iets over je beveiliging want waarom moet iedereen toegang hebben tot je sftp server? Beveiliging begint aan de buitenkant van je netwerk aangevuld vervolgens met de binnenkant en een jail zorgt ervoor dat niemand root toegang krijgt. Als je de client vervolgens met key en wachtwoord beveiligd (uiteraard niet een vasrgezet wachtwoord) wordt het toch wel heel erg lastig voor een hacker. Een reverse proxy als aanvulling kan ook geen kwaad.
Succes met de andere producten maar daar heb ik dus alle vertrouwen in verloren en zijn het geld echt niet waard.
Als je de dienst met IP Whitelisting had aangeboden, was de discussie waarschijnlijk al overbodig geweest.
Reverse proxy klinkt leuk, totdat je bedenkt dat je een extra component toevoegt, wat je dus moet onderbouwen, configueren en patchen, dus extra risico's met zich mee kan brengen. Je "Kan ook geen kwaad" is dus eigenlijk juist een extra risico toevoegen en dus juist extra kwaad zijn.
Jail klint ook weer leuk, maar daar zitten beheerders vaak niet op te wachten, om dit zelf te bouwen. Hiervoor neem je meestal een applicatie die je centraal kunt beheren. Je gaat niet zelf met jails of chroot zitten stoeien.
Het kan wel, maar je moet daarvoor wel alle kennis en kunde in huis hebben en houden om dit goed te ondersteunen en beheren.
Hoe weet je bijvoorbeeld at je een goede en veilige en blijvende werkende configuratie gemaakt hebt, die ook goed blijft functioneren als jij het bedrijf verlaat?
De aangedragen suggesties hierboven zijn allen welkom ter lering en vermaak want je moet ze de kost geven die nu nog poort 3389 in een firewall open hebben staan.
De aangedragen suggesties hierboven zijn allen welkom ter lering en vermaak want je moet ze de kost geven die nu nog poort 3389 in een firewall open hebben staan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?