“Gelukkig kwamen we er vrij snel achter, binnen een paar uur", vertelt hoofdredacteur Koen Crijns van HardwareInfo (HWI) aan Webwereld. De hacker is via een ip-trace teruggevoerd naar Rusland. Hij was via de Russische site van Google op zoek naar sites die forumsoftware vBulletin gebruiken. Dat blijkt uit de zoektermen waarmee hij aankwam bij de Nederlandse techsite, legt Crijns uit.

Badware geplant

De gisteren gepleegde HWI-hack is aan het licht gekomen doordat de dader badware plaatste op het forum. Die wordt dan gelijk geladen zodra een bezoeker op het forumdeel van de site komt. De geplante kwaadaardige software heeft daar “misschien een paar minuten" gestaan, geeft Crijns aan. “We kregen gelijk een melding van onze antivirus, nagenoeg tegelijk met een stuk of drie belletjes."

HWI heeft de wachtwoorden van alle gebruikers gereset en informeert alle bezoekers middels een waarschuwing bovenaan alle pagina's op de site. Die melding linkt ook naar een uitgebreide omschrijving van de hack en de vervolgens genomen maatregelen. Eén daarvan is een verbeterde opslag van de gebruikerswachtwoorden, die overigens al wel waren versleuteld.

Wachtwoordplan uitgevoerd

De opslag van wachtwoorden gebeurt nu met sterkere versleuteling. “We gebruikten eerst MD5, dat is op zich prima maar niet genoeg." HardwareInfo is nu overgestapt op bcrypt. Het plan daarvoor lag er al, geeft Crijns aan. Het nadeel was dat voor de overstap alle wachtwoorden gerest moesten worden. Dat moet nu vanwege de hack toch al, dus is meteen de verbeterde wachtwoordversleuteling doorgevoerd.

Een andere, logische maatregel is het 'afschrijven' van de gecompromitteerde server. “Het klinkt misschien een beetje vreemd, maar we hebben hier altijd een reserve-server staan. Die zijn we gelijk gaan inrichten."

Eén-na-laatste versie

Daarnaast hebben de eigen developers van HWI alle systemen doorgenomen. “We hebben gelijk alles gecheckt. De hacker heeft verder geen gekke dingen gedaan", vertelt hoofdredacteur Crijns. Voor de zekerheid zijn ook de wachtwoorden voor de websites FotoVideo.nu en ICTWijzer gerest.

De door HWI gebruikte - en gisteren gehackte - forumsoftware is volgens Crijns “vrij veelgebruikt". Hij antwoordt dat HWI de op één na laatste versie draaide. “Die was een paar dagen oud." Het is nog niet bekend of het misbruikte lek in vBulletin is gedicht in de nieuwste versie daarvan. Het onderzoek naar de digitale inbraak loopt nog. “De grootste stress is nu wel voorbij."