Social network Twitter en dagblad The New York Times zijn verzeild geraakt in een digitale touwtrekwedstrijd met de hacktivisten van de Syrian Electronic Army. De hackers hadden zich toegang verschaft tot de bekende Australische registrar Melbourne IT. Vervolgens hebben zij zich de domeinen twitter.co.uk en nytimes.com toegeëigend om die vervolgens te laten verwijzen naar een malwaredomein.

Logingegevens registrar bemachtigd

Beveligingsexpert HD Moore volgde de zaak die aanvankelijk een directe hack van Twitter en de NYT leek. Hij meldde aan diverse media dat de DNS-records voor de getroffen sites steeds werd gewijzigd en weer werd terug veranderd. Ook vond hij een gemeenschappelijke factor bij de twee domeinen: ze zijn allebei geregistreerd bij MelbourneIT.

Melbourne IT gaf later toe dat er logingegevens van een klant zijn buitgemaakt door hackers. Dit bedrijf is ook de registrar van enkele andere grote tech-bedrijven als Yahoo, Google en Microsoft. De Syrische hacktivistengroepering staat erom bekend logingegevens via phisingacties te bemachtigen en zo bijvoorbeeld twitteraccounts over te nemen en sites te defacen. Ditmaal is hun hacktivisme een niveau hoger gegaan door via de domeinregistrar complete domeinen te kapen.

Caching zorgt voor vertraging

Volgens Moore raakten onder meer de NYT en de Huffington Post verstrikt in een gevecht om hun respectievelijke domeinen met de Syrian Electronic Army. Ars Technica beschrijft dat het na elke wijziging even duurde voordat de DNS-verwijzing doorkomt, vanwege de caching bij providers.

Door deze nasleep hield de domeinstrijd meerdere uren aan. MelbourneIT heeft, nadat de aanval bekend werd, DNS-records tijdelijk vastgezet en de wachtwoorden gereset. De registrar heeft niet bekendgemaakt hoe de hackers de logingegevens hebben buitgemaakt.