Online marktplaats ExploitHub, een plek waar hackers en beveiligingsonderzoekers openbare exploits uitwisselen, is gehackt door een groep die zich het 'Inj3ct0r Team' noemt.

ExploitHub is opgezet door onderzoeksbureau NSS Labs, dat de inbraak omschrijft als een “gênante vergissing." Het bureau beweert in tegenstelling tot de aanvallers dat er geen exploit-code is gestolen. Wel is de website tot nader orde uit de lucht gehaald.

Persoonlijke fout

In een verklaring geeft NSS Labs openheid van zaken. De inbraak blijkt gedaan via de webserver. Door een persoonlijke fout werd daar een script achtergelaten waarmee directe toegang tot de database van de webserver mogelijk was. Deze database zou volgens het bureau zelf geen daadwerkelijke exploits bevatten, maar enkel informatie over de schrijvers ervan en de prijzen.

De aanvallers beweren het tegenovergestelde. Zij hebben een deel van deze informatie online gepubliceerd en beloven meer. De groep schrijft dat zij de hack op educatieve gronden hebben gedaan en ermee wilde aantonen dat de gevoelige exploits op geen enkele wijze veilig bewaard werden door ExploitHub.

Concurrentie uitschakelen

Maar Inj3ct0r blijkt ook een eigen verzamelplaats voor lekken te hebben aangelegd. Mogelijk willen de hackers met deze aanval de concurrentie uitschakelen. Via Twitter laat de groep weten op termijn met meer onthullingen van de hack te komen.

Verzamelingen als die van ExploitHub zijn opgericht zodat hackers en beveiligingsonderzoekers onderling informatie kunnen uitwisselen. Daarmee kunnen penetratietesters hun eigen beveiliging in verre mate testen. Het gaat volgens de makers alleen om openbare kwetsbaarheden. Zero-daylekken worden niet uitgewisseld.