Új hozzászólás Aktív témák
-
#70234880
törölt tag
Az üzleti transzformáció és digitalizáció sebessége jelentősen meghaladja a vállalatok kibervédelmi fejlesztéseinek tempóját – állapítják meg.
Ez eddig is így volt, ebben semmi újdonság nincs hacsaknem az, hogy most már elismerik.A felmérés legnagyobb tanulsága, hogy a vállalati IT vezetők és a fogyasztók prioritásai között komoly ellentétek vannak egy adatlopás vagy hasonló incidens esetén
Ebben sincs semmi újdonság.Az viszont érdekes, abból a szempontból, hogy hiába vált az előfizető szolgáltatót, nincs semmi garancia arra, hogy ott nem történik valami incidens.
Az időben történő tájékozgatás, sokat segít az előfizetőknek. Az hogy feltörnek, szervereket, személyes adatokhoz férnek hozzá, szinte mindennapos. Tehát ebben semmi szenzáció nincs. Ami a legfontosabb szerintem napjainkban hogy időben tájékoztassák az előfizetőket.
Vannak cégek amik ezt felismerik, és vannak cégek amik akkor is tagadnak, amikor az nyilvánvaló.
[ Szerkesztve ]
-
#70234880
törölt tag
Ebben benne van minden.
megint fotelrendszergazdák vetítik ki az óhajaikat a valóságra.
A szolgáltatók is hozott anyagból dolgoznak, csak úgy mint más szolgáltatók.
Ez alól kivétel az egyedi fejlesztések.
Minden a kommunikáción van.
Ha időben, észreveszik, és jelzik a ügyfelek felé. Az korrekt hozzáláss. Van rá pro-kontra példa.
Mi az ami a előfizetőre tartozik, már más kérdés, és nincs is rá sablon szöveg.
Addig a pontig hogy történt egy incidens, aminek ez, és ez volt a hatása, a hiba elhárítása megtörtént/folyamatban stb.., jelzi feléd hogy jelszó csere indokolt.
Ennyi ami az előfizetőre tartozik. Semmi más.
Ha valakinek ez kevés, akkor adott a lehetőség saját rendszer üzemletétesésre. -
#70234880
törölt tag
Egy példaértékű, és maximálisan korrekt levél, egy Magyarországi szolgáltatótól.
Tisztelt Xxxx Xxxxxx!
A pénteki nap folyamán feltörték ügyfélportál rendszerünket, melyről még aznap küldtünk tájékoztatást.
Jelen levelünkkel ezúton szeretnénk részletesebb tájékoztatást nyújtani a történtekről:Az incidens pontos leírása:
- Pénteken reggel egy ismeretlen támadó feltörte a portal.rackforest.com kiszolgáló rendszert és elvitte annak adatbázisát.
- Az általunk tárolt jelszavak egy részének csak a hashelt lenyomatát tároltuk, ezek a jelszavak nem visszafejthetőek.
- Részben viszont ugyan titkosítva voltak a jelszavak, de visszafejthető titkosítással.
- A támadó ismerte a HostBill portál rendszer működését, így megszerezte a jelszavak kikódolására használt függvényt is.
- Feltörést a támadó jelezte e-mailben. A logok, a szervernek és a hálózati eszközök forgalmának elemzésével meg is bizonyosodtunk az adatlopás tényéről. Kb 300 MB adat szivárgott ki.
- A támadó TOR hálózat segítségével ért el minket egy németországi kijáraton keresztül. Illetve még egy oroszországi IP címet tudtunk beazonosítani.
- A támadó egy régebbi Hostbill sérülékenységét használt ki a támadáshoz. (Feltételezzük, hogy 2018 Q4-est.)A megtett intézkedések:
- Bérszerverek és Hoszting szerverek IPMI IP KVM hálózatát elérhetetlenné tettük.
- A péntek délelőtt a támadás felderítésével telt el, délelőtt 11 órakor meghoztuk a döntést, hogy a portál rendszerünket ebben a formában lekapcsoljuk, és előre vettük a májusra tervezett rendszer frissítést, és elvégeztük azt.
- Az eredetileg tervezett rendszer frissítésen felül szétbontottuk az ügyfélportált kiszolgáló rendszert: Proxy / Frontend / Adatbázis szerverekre, melyek között plusz tűzfalakat vezettünk be.
- Pénteki nap délután 16 óra körül végeztünk a frissítésekkel, ettől a ponttól nyílt meg a lehetőség, hogy megkérjük az ügyfeleinket a jelszavak megváltoztatására.
- Töröltük minden felhasználónk ügyfélportál belépési jelszavát, és Management VPN jelszavát, így már a portál belépés védve volt.
- 18 óra után kiküldtük az első tájékoztatást ügyfeleinknek az esetről.
- Péntek este töröltük a Backup FTP szolgáltatások jelszavait, és az érintett ügyfeleket külön értesítettük.
- Szombaton ellenőriztük az összes kiszivárgott Linux VPS control panel jelszót, és mindenkinek megváltoztattuk akinek egyezett az éles jelszava a kiszivárgottal. Az érintett ügyfeleket külön tájékoztattuk.
- A cPanel tárhely szervereinken pedig Force-oltuk a jelszó cserét.
- A domain nevek kiszivárgott EPP kódjait ellenőriztük és megváltoztattuk. (Nem minden domain esetén volt rá szükség.)
- Megtettük a bejelentést a NAIH felé.Mit vitt el a támadó:
- Az adatbázis tartalmazta az ügyfélportálon tárolt személyes, hozzáférési és ticketing adatokat.
- Ügyfélportál belépési jelszavak: hash-elve voltak és töröltük mindet.
- Linux VPS kontrol panel jelszavak: visszafejthető, minden érintett jelszavat megváltoztattunk.
- Linux VPS kezdeti belépés ROOT jelszavak: visszafejthető, nem tudjuk megváltoztatni (a szerverek újraindítása nélkül).
- cPanel kontrol panel jelszavak: visszafejthető, sajnos mivel ezek a jelszavak több tárhelynél is a levelezés jelszavak is egyben, force-oltuk a jelszó váltásokat. (További intézkedések folyamatban vannak.)Mit tettünk a sérülékenység javítása érdekében:
- HostBill verziót frissítettünk, így biztosítva a feltételezett 2018 Q4-es sérülékenységet.
- Nagyobb védelmet helyeztünk az ügyfélportál kiszolgálására (Plusz tűzfalak, Proxy / Frontend / Adatbázis szerverek)
- Web Application Firewall-lal is megerősítettük az ügyfélportál elérését.Amit a továbbiakban még tervezünk:
- Két faktoros autentikáció bevezetése.Önnek mi a teendője, ha:
- Linux VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén a ROOT jelszót, ha még nem tette volna meg a VPS kiadása óta.
- Windows VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén az Adminisztrátor jelszót, ha még nem tette volna meg a VPS kiadása óta.
- cPanel tárhely ügyfelünk, kérjük, hogy változtassa meg a belépési jelszavát a tárhelyén.
- Az ügyfélszolgálatunkkal bármilyen levelezést folytatott, melyben hozzáférési adatok vagy jelszavak vannak, kérjük, hogy az érintett jelszavakat változtassa meg.Amennyiben további kérdése merülne fel (akár a hétvégén is), kérjük hogy nyisson egy jegyet az
ügyfélportálunkon, vagy keressen minket a info@rackforest.hu címen.Az okozott kellemetlenségért elnézésüket kérjük!
-
#27
#70234880
törölt tag
FoxiestFox
#26
#70234880
törölt tag
válasz
FoxiestFox
#26
üzenetére
Ha elolvastad akkor látod.
de ha nem akarod még 1x elolvasni akkor itt a link. rackforest.com
Az incidens valós, és még nincs lezárva.[ Szerkesztve ]
-
#29
#70234880
törölt tag
FoxiestFox
#28
#70234880
törölt tag
válasz
FoxiestFox
#28
üzenetére
Való igaz, egy Bank ilyet sose tenne. Vagy valami nagyon nagy botránynak kell lennie ahhoz. Mármint ennyire részletesen. A IT-belül megy ott is kommunikáció, de a többi osztályt, fő osztály tájékoztatása már ott is lemarad.
De ez nem is tartozik rájuk. Pl, Mit kezdjen egy olyan levelezéssel amiben le van írva, ma este 00:00 Kapiti update, ez ez a felelős. Ez és ez a külső cég emberei, vesznek részt.
De a Bank szektor, kicsit más téma. Sokkal érzékenyebb ilyen tekintetben.
Az Internet szolgáltatók ismét más téma, Mondjuk időnként illene, ha nem is ennyire részletesen, de időnként valami tájékoztatót küldeniük. Akár modem update-ről, amiben leírják milyen változás történt, esetleges meglévő hibák kijavítása, stb...[ Szerkesztve ]
Új hozzászólás Aktív témák
it A KPMG legfrissebb kutatása szerint a fogyasztók már jobban tartanak saját online szolgáltatóiktól, mint a hackertámadásoktól.
