Door de actie daalde de pagerank van Bright.nl prompt van 7 naar 0. "Van de ene op de andere dag bijna. Het aantal pageviews daalde plots dramatisch, de omzet nam af en uitgerekend op het moment dat onze nieuwe site net een paar weken online stond", schrijft Erwin van der Zande, hoofdredacteur van Bright. "We hadden geen clou wat de oorzaak was. Maar Bright.nl was niet te vinden bij Google."

Doordat het verkeer vanaf Google stagneerde daalden de totale bezoekersaantallen en raakte Bright adverteerders kwijt. De schade loopt volgens Van der Zande in de tienduizenden euro's.

Hoofd techniek van Bright Roel van der Ven zag het bezoek dalen vanaf eind november 2008. Uiteindelijk bleek iemand via een maandenlang openstaande exploit toegang tot het Drupal CMS van de site te hebben gekregen.

Niet alleen Google geblokkeerd

"Hij was echt heel slim", aldus Van der Ven. "Hij heeft het ip-adres van de Google-bot een 'access rule denied' gegeven in het cms." Iedere keer als een bot langs kwam werd er een 403 error gegeven. Dat betekent dat de bot wel de site herkent maar geen toegang krijgt omdat dit verboden wordt. De hacker wees alleen de crawlers van Google de deur, andere zoekmachines mochten wel gewoon naar binnen.

Naast het blokkeren van de Google-bot werden ook ip-adressen van grote internetknooppunten geblokkeerd. "Ik kan me voorstellen dat er ook delen waren in de wereld waar je de site standaard niet kon bezoeken", aldus Van der Ven. Het duurde meer dan een maand om het probleem op te sporen. Uiteindelijk schakelde Bright een Drupal expert in om het probleem op te sporen.

Moeilijk op te sporen

Dat er iets mis ging was moeilijk op te merken volgens Van der Ven: "Als je een 'access rule' toevoegt dan markeert Drupal dat niet als een belangrijke situatie." Het veranderen van de 'access rules' wordt ook niet apart gelogd.

De Drupal exploit werd 13 augustus 2008 opgemerkt en enkele dagen later gepatcht. De lekken hadden gevolgen voor versies 5.x en 6.x van de blogsoftware. Het gaat onder meer om een cross site scripting (XSS) lek en een kwetsbaarheid die kwaadwillenden in staat stelt om via de BlogAPI module kwaadaardige bestanden te uploaden.

Laat gepatcht

Van der Ven patchte het lek echter pas eind november. Precies in de periode van de exploit werd er gewerkt aan de nieuwe site van Bright die werd gebouwd in Drupal 6.3. "We waren aan het bouwen en hadden ook verschillende ontwikkelomgevingen waar we met databases aan de gang waren. Dan ben je even niet bezig met je software up to date houden", legt Van der Ven uit. Het bouwen van de nieuwe site gebeurde volgens hem ook grotendeels offline.

Bright.nl is een week kwetsbaar geweest door de exploit. De nieuwe site ging live met Drupal 6.3 en werd een week later geüpdatet toen 6.4 uitkwam. Het lek werd toen wel gepatcht maar het kwaad was al geschied.