Onderwerp: Website (en misschien meer) van WHMCS gehacked! [UPDATE!]

Altijd WHMCS en elk ander panel (al dan niet zelf gemaakt) waar je je hosting aan koppelt, zoveel mogelijk restricten. Voor DirectAdmin denk aan een apart admin account met dit: http://www.directadmin.com/features.php?id=1171

Mocht je dan eens de sjaak zijn, dan is de schade beperkt.

Zojuist zijn alle bestanden gepost: http://pastebin.com/UJCi72FS

Zo-te-zien inclusief cc gegevens.
Als je een WHMCS licentie per credit card hebt afgerekend kan je deze dus maar beter blokkeren.

oei oei oei slechte zaak dit

whmcs.com is ook weer down

Tsja, extract het naar een WHMCS installatie en je kan makkelijk bij de gegevens in WHMCS zelf zonder moeilijk te doen...

Je kan ook gelijk de inkoopprijzen van resellers inzien, wat zullen die zich genaaid voelen. En natuurlijk kan je zo de omzet van WHMCS zelf inzien.

Ik zie wel dat onze inkoopsprijzen als reseller niet gelijk staan een een gelijkwaadige :-o Anyways... Dit had natuurlijk nooit mogen gebeuren hoe dan ook. Met 250K omzet per maand had er vast wel iets beters kwa beveiliging kunnen gebeuren

Fijn.. een paar maanden geleden wilde ik mijn oude CC nummer verwijderen (gebruikte Paypal) maar kon dat niet doen.
Gelukkig dat die creditcard niet meer actief is.

Laatste bericht van http://blog.whmcs.com/

Following an initial investigation I can report that what occurred today was the result of a social engineering attack.

The person was able to impersonate myself with our web hosting company, and provide correct answers to their verification questions. And thereby gain access to our client account with the host, and ultimately change the email and then request a mailing of the access details.

This means that there was no actual hacking of our server. They were ultimately given the access details.

This is obviously a terrible situation, and very unfortunate, but rest assured that this was no issue or vulnerability with the WHMCS software itself.

We are immediately reviewing all of our hosting arrangements, and will be migrating to a new setup at the earliest opportunity.

I would like to take this opportunity to thank all of you who have sent in messages of support, and offers of help. It has clearly been a very stressful time, and I thank everyone both personally and on behalf of WHMCS for their loyalty and support.

The matter is now in the hands of the FBI.

Zoals al eerder gemeld, inderdaad dus social engineering. Kan haast toch niet anders dat er bij HostGator nalatig is gehandeld. Als je toegang geeft tot zo'n grote klant mag je toch wel heel zeker zijn dat je de juiste voor je hebt.

Oorspronkelijk geplaatst door Arieh

Zoals al eerder gemeld, inderdaad dus social engineering. Kan haast toch niet anders dat er bij HostGator nalatig is gehandeld. Als je toegang geeft tot zo'n grote klant mag je toch wel heel zeker zijn dat je de juiste voor je hebt.

Alsof ze bij hostgator een onderscheid maken tussen klanten, een nummer is daar gewoon een nummer. En als de correct procedure gevolgd is dan is er hostgator ook niets te verwijten lijkt me. Want hoe ver moet je gaan in het controleren van gegevens als op alle security vragen het juiste antwoord gegeven wordt.

Wat wel kwalijk te nemen is, is dat indien whmcs een managed dienst afnam dat hostgator in de eerste plaats al gegevens afstaat aan de klant (het is niet voor niets managed). Of dat whmcs zijn eigen dingen niet beter beveiligd heeft als het unmanaged was, zoals 2 factor authentificatie en enkel access tot bepaalde zaken (ssh, mysql, backend) vanaf fixed ip.

De site is weer down (www.whmcs.com) en de hackers zijn nog steeds actief op het twitteraccount @whmcs. Ziet er allemaal niet zo mooi uit natuurlijk. Dit had niet mogen gebeuren natuurlijk.

Het lijkt niet op te houden, van 'hun' twitter account:

"http://whmcs.com => Tango Down http://i.imgur.com/dSr0b.png #UGNazi #DDOS #lulz Whmcs Database: ### via @UG"

En uiteraard, vanaf hier opent website niet

Edit, stom stom

Persoonlijk ben ik in ieder geval blij dat ik daar nooit credit card gegevens gebruikt hebt, je zou ze nu maar op straat hebben liggen, verder met gegevens omtrent licenties etc. De licenties die wij hebben worden toch op het moment niet gebruikt, maar voor actieve licenties (welke door een gigantische hoeveelheid hosters gebruikt worden) is dit best catastrofaal. De vraag of je Hostgator wat kan verwijten is natuurlijk relatief, je gaat immers niet elke keer als er een support request binnen komt niet om een volledige scan van bijv. het paspoort vragen.

Wat updates...

21st May 2012 - Further Update


Following an initial investigation I can report that what occurred today was the result of a social engineering attack.

The person was able to impersonate myself with our web hosting company, and provide correct answers to their verification questions. And thereby gain access to our client account with the host, and ultimately change the email and then request a mailing of the access details.

This means that there was no actual hacking of our server. They were ultimately given the access details.

This is obviously a terrible situation, and very unfortunate, but rest assured that this was no issue or vulnerability with the WHMCS software itself.

We are immediately reviewing all of our hosting arrangements, and will be migrating to a new setup at the earliest opportunity.

I would like to take this opportunity to thank all of you who have sent in messages of support, and offers of help. It has clearly been a very stressful time, and I thank everyone both personally and on behalf of WHMCS for their loyalty and support.

The matter is now in the hands of the FBI.

Latest Status Update


Just another quick update as I know there's a lot of rumours and speculation going around.

Right now to compound matters, we are experiencing a large scale DDOS attack, which started at around 1am last night, and continues to this moment, so accessing the site may be intermittent for the time being due to the protection hardware that has been put in place for that.

We know we've let you down. Although the attack yesterday was not directly due to any lapses in the security in place on either our server or WHMCS itself, we realise that we could, and should, have had a more robust hosting infrastructure in place. Plans have already been put in motion for a new multi-server hosting infrastructure to be setup and migrated to.

As soon as we get things sorted, we'll be back online and give you another update.

In the meantime, thank you for bearing with us.

Matt

En een mogelijk motief voor de hack:

WHMCS ‏@whmcs
Many websites use WHMCS for scams. You ignored our warnings. We spoke louder. We are watching; and will continue to be watching.

Oorspronkelijk geplaatst door Axel Polfliet

De vraag of je Hostgator wat kan verwijten is natuurlijk relatief, je gaat immers niet elke keer als er een support request binnen komt niet om een volledige scan van bijv. het paspoort vragen.

Onzin want dit soort gevoelige gegevens om dit soort zaken te kunnen uithalen, ga je toch zo maar niet verstrekken! Als jij dit wel doet dan zou ik nog maar eens heel goed bij jezelf te raden gaan.

Weet niet precies wat voor systeem er bij HostGator ligt, maar als je alleen door wat geheime vragen (en allicht wat naw info, die ook te vinden is) toegang kan krijgen is dat gewoon geen degelijk systeem. Bij hotmail kan dat misschien, waar dat al sinds jaar en dag misbruikt werd/wordt, maar als je een betalende klant bent mag je toch meer verwachten. Waar mogelijk vul ik die geheime vragen nooit in als recovery methode, er kan altijd iemand zijn die 't ook weet, het is te raden, of je moet dingen gaan invullen die niet logisch zijn, maar dan mag je dat weer gaan bewaren.

Gebruik telefoon/sms of wel een paspoort scan, of post desnoods. Via nieuwe/neutrale kanalen en alleen dmv wat veiligheidsvragen toegang geven is, zoals nu en zo vaak gebleken, geen goede oplossing.

WHMCS op haar beurt kan er natuurlijk ook wat van, om zon simpele hosting oplossing te kiezen. Het zou toch niet mogelijk moeten zijn om dmv een password reset, of überhaupt een dergelijke account login toegang geeft tot heel WHMCS.