Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Belgische ISP verliest domeinnamen na hack bij registrar Enom [Upd]

  • Door
  • Arnout Veenman
  • geplaatst op
  • 21 mei 2007 13:53 uur

De Belgische ISP V.O.F. SpeedPacket & C° zou het slachtoffer zijn geworden van een hack bij registrar Enom. Een Iraanse hacker zou Enom hebben gehackt en domeinnamen van SpeedPacket zelf en van klanten hebben overgedragen aan andere bedrijven. Zo meldt Internet Society Belgium. SpeedPacket zou Enom al weken voor de hack op de hoogte hebben gebracht van het lek in hun systemen. Desondanks zou enkele weken later een hacker, op 11 mei, via het lek toegang hebben gekregen tot het account van SpeedPacket, waarna er domeinnamen vanuit het account werden overgedragen aan andere bedrijven.

De zelfde dag nog werd er contact gelegd met de hacker, die naar het leek vanuit een Iraanse universiteit opereerde. In een chatsessie tussen de hacker en SpeedPacket eisde de hacker dat er 10.000 dollar zou worden betaald, waarna de overdracht van de domeinnamen ongedaan zouden worden gemaakt.

Uiteindelijk werd er een akkoord gesloten tussen de hacker en SpeedPacket, nadere details zijn niet bekend gemaakt. Hierna liet de hacker de nameservers van de domeinnamen weer verwijzen naar de servers van SpeedPacket. De hacker droeg de domeinnaam echter niet weer over naar de rechtmatige eigenaren.

Internet Society Belgium gaf in een later bericht aan dit probleem aan te kaarten bij de hoogste instanties (ICANN). Het lijkt er echter vooralsnog niet op dat dit iets heeft uitgehaald gezien de domeinnamen (uitgaande van de domeinnaam speedpacket.com) nog steeds op naam van een domeinnaam privacy service van registrar Netfirm staan.

Wat vinden jullie ervan dat dit kon gebeuren?

Update 22/07: Zojuist heb ik naar aanleiding van de commotie die was ontstaan telefonisch contact gehad met David Heremans van SpeedPacket. Het lek bij eNom zou zijn dat de API enkel over een onbeveiligde HTTP verbinding kon gaan, die zou zijn onderschept door de Iraanse hacker, die het wachtwoord gebruikte om in te loggen op te web interface en deze zou maar één domeinnaam, namelijk die van speedpacket verhuist hebben. Een verhaal dat nauwelijks te geloven is. Verder zou de eNom API, geen SSL ondersteunen aldus SpeedPacket, uit documentatie en reacties van verschillende ISP’s blijkt dat de eNom API wél SSL ondersteunt!

Het lijkt er dus op dat het verhaal dat SpeedPacket vertelt compleet onzin is. De vraag die dan nog rest, met welke reden heeft SpeedPacket dit “nieuws” dan via Internet Society Belgium naar buiten gebracht?

Wesley, 21 mei 2007 6:30 pm

ik vindt het slecht geregeld van speedpacket
ze wisten dat het het er was maar deden er niks aan

getUP, 21 mei 2007 9:16 pm

Eerlijk gezegd heb ik nogal mijn twijfels over de waarheid van dit verhaal. Als dit gebeurd zou zijn was dit veel breder uitgelekt in de pers. Het hacken van een bedrijf als eNom is niet zo maar iets.

Grote kans dat de server van de provider niet goed beveiligd was en de 'hacker' gewoon wachtwoorden heeft uitgelezen op de server.

SPEEDPACKET, 21 mei 2007 9:40 pm

Beste

Bij deze wensen wij officieel te reageren op deze berichtgeving. Zoals door ISOC Belgium werd bevestigd, hebben wij reeds maanden geleden aan eNom waarschuwingen gestuurd met betrekking tot de vastgestelde veiligheidsproblemen.

Wij hebben bovendien sindsdien een 24-uren rotatie ingebouwd op al onze wachtwoorden en extra beveiligingsmaatregelen genomen.

Bovendien werd eNom middels express koerier door ons officieel in gebreke gesteld voor het niet veilig maken van deze systemen.

Wij betreuren dan ook ten zeerste dat wij op deze manier slachtoffer zijn geworden van een nalatigheid bij eNom.

Met betrekking tot onze opvolging kunnen wij u bevestigen dat geen enkele klantendomeinnaam hinder heeft ondervonden van deze situatie; alle domeinnamen zijn 100% in de lucht gebleven, en werden door onze monitoring veilig gesteld.

Voor verdere vragen kunnen jullie mij steeds rechtstreeks contacteren op david@speedpacket.com.

getUP, 21 mei 2007 10:35 pm

Mijn vragen gaan vooral richting Enom, met hen heb ik dus ook al contact opgenomen.

De verklaring maakt het nog steeds niet duidelijk wat er aan de hand is. Waar baseren jullie jullie aanname van onveiligheid bij Enom op? Want volgens mij is het aanname en kunnen jullie dit blijkbaar niet staven met harde feiten. Wat is er onderzocht dat jullie er van uit gaan dat Enom onveilig is en in gebreke is bij deze kwestie?

Waarom zijn jullie het enige bedrijf waarvan bekend is dat dit gebeurd is? Waarom zijn jullie niet eerder naar buiten gekomen met dit bericht? Waarom nadat het te laat was?

Het is een gigantisch wazig verhaal. Feiten overtuigen me, berichten als dit totaal niet.

Trikke, 21 mei 2007 11:13 pm

Alle domeinnamen zijn in de lucht gebleven maar staan nu op naam van iemand anders ? .. vind het allemaal maar vreemd, ook het feit dat jullie het enige bedrijf zijn is wel raar.

Thomas Lobker, 22 mei 2007 9:06 am

Speedpacket is het bedrijf dat deze `hack` heeft gevonden en is tevens het enige bedrijf waarbij de hack wordt gebruikt. Dat lijkt mij wel heel erg toevallig. Hoe heeft die Iraanse hacker deze hack gevonden en hoe zijn ze toevallig bij Speedpacket uitgekomen om de hack uit te voeren? Waarom is hier verder niks over te vinden terwijl eNom een hele grote speler is met gigantisch veel domeinnamen??

Ik ben benieuwd naar het volledige verhaal, want nu is het nog een beetje wazig naar mijn mening.

Triloxigen, 22 mei 2007 10:38 am

Als Enom echt gehacked was. Dan zouden er wel wat betere domeinnamen gekaaapt zijn ipv de namen van een belgisch providertje.

Victor, 22 mei 2007 12:07 pm

Nou ze hebben het voorelkaar dat hun naam ook eens genoemd wordt. Ik had nog nooit van ze gehoord, nu wel.

Wat een prutsers...

Guido Van Peeterssen, 29 oktober 2008 10:26 am

Ik kom op deze site terecht omdat ik deze ochtend deze merkwaardige waarschuwingsmail kreeg van eNOM en eens googelde om te weten wie of wat eNOM is.

Mail:
--------------------------------------------------------
On Wed, 29 Oct 2008 09:53:19 +0100 we received a third party complaint of invalid domain contact information in the Whois database for this domain Whenever we receive a complaint, we are required by ICANN regulations to initiate an investigation as to whether the contact data displaying in the Whois database is valid data or not. If we find that there is invalid or missing data, we contact both the registrant and the account holder and inform them to update the information.

The contact information for the domain which displayed in the Whois database was indeed invalid. On Wed, 29 Oct 2008 09:53:19 +0100 we sent a notice to you at the admin/tech contact email address and the account email address informing you of invalid data in breach of the domain registration agreement and advising you to update the information or risk cancellation of the domain. The contact information was not updated within the specified period of time and we canceled the domain. The domain has subsequently been purchased by another party. You will need to contact them for any further inquiries regarding the domain.

PLEASE VERIFY YOUR CONTACT INFORMATION - http://www.enom.com

-----------------------------------------------------

Ik controleerde de eigenschappen en kwam op volgende site terecht: www*enom.com.com82.biz
(Ik zet hierbij niet de volledige link om problemen te vermijden)
Meteen kreeg ik ook de waarschuwing dat dit een vervalste site is.
Kan iemand mij vertellen wat hier aan de hand is?

Peter, 29 oktober 2008 1:40 pm

Mooie scam :)
eNom is een grote domain registrar waar veel ISP's hun .com/.net/.org domeinen registreren. De mail die je hebt gekregen probeert je eNom accountgegevens te ontfutselen.

rob, 29 oktober 2008 4:28 pm

ja, ik heb ook al diverse mailtjes gekregen op verschillende info@domeintjes.ext uiteenlopend van je dns gegevens moeten worden aangepast en je whois data is niet goed ingevuld.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.