Een hacker heeft afgelopen weekend ingebroken bij beveiligingsbedrijf Barracuda Networks, dat onder andere spam- en virusfilters en bijvoorbeeld firewalls maakt. Met behulp van een sql-injectie wist hij de hand te leggen op namen en e-mailadresen en telefoonnummers van medewerkers, partners en (potentiële) klanten van het bedrijf.

Firewall uitgeschakeld

De hacker, die zichzelf ‘Fdf’ noemt, plaatste maandag een bewijs van zijn inbraak op een weblog. Daarin openbaarde hij delen van de privégegevens die hij buit maakte, ook post hij de nog versleutelde wachtwoorden. De hacker van de Hmsec crew laat daarnaast zien uit welke database en tabellen hij de gegevens heeft gehaald.

Barracuda heeft de hack van haar website inmiddels bevestigd. Het bedrijf laat in een verklaring weten dat de aanval op haar website zaterdagavond (Amerikaanse tijd) startte. Dat gebeurde op een moment dat de Web Application Firewall, die het bedrijf als beveiliging gebruikt, uitgeschakeld was voor onderhoud.

Kwetsbaar script

Nadat de hacker een paar uur lang de website had afgetast, vond hij een manier waarop die kwetsbaar was voor sql-injectie. Dat gat zat in een script dat gebruikt wordt om onderzoeken voor individuele klanten te tonen. Door het gat kwam hij in de database die Barracuda gebruikt voor marketingdoeleinden en lead development.

Barracuda benadrukt dat er op de webserver geen financiële gegevens zijn opgeslagen. Die zijn dus nooit in gevaar geweest.

Derde beveiligingsbedrijf

Barracuda is het derde beveiligingsbedrijf in korte tijd dat slachtoffer is van een grote hack. Vorige maand werd er ingebroken bij beveiliger RSA. Hackers stalen toen geheime informatie over het veelgebruikte authenticatieproduct SecurID.

Hackerscollectief Anonymous kraakte in februari de database en e-mail van consultantsbureau HBGary. De groep deed dat omdat het bedrijf kernleden van Anonymous zei te hebben en de groep kapot wilde maken.

Ook MySQL zelf gehackt

Twee weken geleden werd bekend dat ook de maker van MySQL werd gehackt met behulp van sql-injectie. De hackers van Oracle wisten door de database te kraken gebruikersgegevens buit te maken en openbaarden die gegevens.

Sql-injectie is relatief eenvoudig als de voorkant van een website zonder controle via de url tegen een database ‘praat’. Normaal worden de opties in de url, samen met eerder vastgestelde dingen als commando naar de database gestuurd. Door bij die opties andere commando’s in te voeren is het echter bij een slecht script ook mogelijk om hele andere velden uit de database uit te lezen of zelfs te wijzigen.