Egy példaértékű, és maximálisan korrekt levél, egy Magyarországi szolgáltatótól.

Tisztelt Xxxx Xxxxxx!

A pénteki nap folyamán feltörték ügyfélportál rendszerünket, melyről még aznap küldtünk tájékoztatást.
Jelen levelünkkel ezúton szeretnénk részletesebb tájékoztatást nyújtani a történtekről:

Az incidens pontos leírása:
- Pénteken reggel egy ismeretlen támadó feltörte a portal.rackforest.com kiszolgáló rendszert és elvitte annak adatbázisát.
- Az általunk tárolt jelszavak egy részének csak a hashelt lenyomatát tároltuk, ezek a jelszavak nem visszafejthetőek.
- Részben viszont ugyan titkosítva voltak a jelszavak, de visszafejthető titkosítással.
- A támadó ismerte a HostBill portál rendszer működését, így megszerezte a jelszavak kikódolására használt függvényt is.
- Feltörést a támadó jelezte e-mailben. A logok, a szervernek és a hálózati eszközök forgalmának elemzésével meg is bizonyosodtunk az adatlopás tényéről. Kb 300 MB adat szivárgott ki.
- A támadó TOR hálózat segítségével ért el minket egy németországi kijáraton keresztül. Illetve még egy oroszországi IP címet tudtunk beazonosítani.
- A támadó egy régebbi Hostbill sérülékenységét használt ki a támadáshoz. (Feltételezzük, hogy 2018 Q4-est.)

A megtett intézkedések:
- Bérszerverek és Hoszting szerverek IPMI IP KVM hálózatát elérhetetlenné tettük.
- A péntek délelőtt a támadás felderítésével telt el, délelőtt 11 órakor meghoztuk a döntést, hogy a portál rendszerünket ebben a formában lekapcsoljuk, és előre vettük a májusra tervezett rendszer frissítést, és elvégeztük azt.
- Az eredetileg tervezett rendszer frissítésen felül szétbontottuk az ügyfélportált kiszolgáló rendszert: Proxy / Frontend / Adatbázis szerverekre, melyek között plusz tűzfalakat vezettünk be.
- Pénteki nap délután 16 óra körül végeztünk a frissítésekkel, ettől a ponttól nyílt meg a lehetőség, hogy megkérjük az ügyfeleinket a jelszavak megváltoztatására.
- Töröltük minden felhasználónk ügyfélportál belépési jelszavát, és Management VPN jelszavát, így már a portál belépés védve volt.
- 18 óra után kiküldtük az első tájékoztatást ügyfeleinknek az esetről.
- Péntek este töröltük a Backup FTP szolgáltatások jelszavait, és az érintett ügyfeleket külön értesítettük.
- Szombaton ellenőriztük az összes kiszivárgott Linux VPS control panel jelszót, és mindenkinek megváltoztattuk akinek egyezett az éles jelszava a kiszivárgottal. Az érintett ügyfeleket külön tájékoztattuk.
- A cPanel tárhely szervereinken pedig Force-oltuk a jelszó cserét.
- A domain nevek kiszivárgott EPP kódjait ellenőriztük és megváltoztattuk. (Nem minden domain esetén volt rá szükség.)
- Megtettük a bejelentést a NAIH felé.

Mit vitt el a támadó:
- Az adatbázis tartalmazta az ügyfélportálon tárolt személyes, hozzáférési és ticketing adatokat.
- Ügyfélportál belépési jelszavak: hash-elve voltak és töröltük mindet.
- Linux VPS kontrol panel jelszavak: visszafejthető, minden érintett jelszavat megváltoztattunk.
- Linux VPS kezdeti belépés ROOT jelszavak: visszafejthető, nem tudjuk megváltoztatni (a szerverek újraindítása nélkül).
- cPanel kontrol panel jelszavak: visszafejthető, sajnos mivel ezek a jelszavak több tárhelynél is a levelezés jelszavak is egyben, force-oltuk a jelszó váltásokat. (További intézkedések folyamatban vannak.)

Mit tettünk a sérülékenység javítása érdekében:
- HostBill verziót frissítettünk, így biztosítva a feltételezett 2018 Q4-es sérülékenységet.
- Nagyobb védelmet helyeztünk az ügyfélportál kiszolgálására (Plusz tűzfalak, Proxy / Frontend / Adatbázis szerverek)
- Web Application Firewall-lal is megerősítettük az ügyfélportál elérését.

Amit a továbbiakban még tervezünk:
- Két faktoros autentikáció bevezetése.

Önnek mi a teendője, ha:
- Linux VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén a ROOT jelszót, ha még nem tette volna meg a VPS kiadása óta.
- Windows VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén az Adminisztrátor jelszót, ha még nem tette volna meg a VPS kiadása óta.
- cPanel tárhely ügyfelünk, kérjük, hogy változtassa meg a belépési jelszavát a tárhelyén.
- Az ügyfélszolgálatunkkal bármilyen levelezést folytatott, melyben hozzáférési adatok vagy jelszavak vannak, kérjük, hogy az érintett jelszavakat változtassa meg.

Amennyiben további kérdése merülne fel (akár a hétvégén is), kérjük hogy nyisson egy jegyet az
ügyfélportálunkon, vagy keressen minket a info@rackforest.hu címen.

Az okozott kellemetlenségért elnézésüket kérjük!