Värdleverantören 123-reg har anklagats för bristande säkerhet efter att en kund fann sitt konto hackat – och domänerna som han hade registrerat omdirigerade till en ransomware-sajt.
Kunden, som har bett om att få vara anonym, äger en webbdesignbyrå och har mer än 120 domäner registrerade hos 123-reg, de flesta tillhörande kunder.
Efter att ha blivit kontaktad av en besökare på en webbplats hittade han hälften av domänerna omdirigerade till ett falskt meddelande som varnade användaren för att deras webbläsare hade ”blockerats” av polisen och krävde betalning.
Han spårade problemet till 123-reg och fann att hackare hade kommit åt hans konto och ändrat DNS-poster och andra inställningar.
123-reg, medan han försökte vara hjälpsam, gjorde ingenting
”Alla 120-plus domännamn hade ställts in på att automatiskt upphöra att gälla,” berättade han PC Pro. ”Hälften omdirigerades till falska platser och mer än en tredjedel hade äventyrat DNS, med ytterligare DNS-omdirigeringar till dessa lösenwebbplatser.”
Utredningen fortsätter
123-reg bekräftade händelsen men kunde inte säga hur hacket ägde rum.
”Även om vi i detta skede inte kan avgöra om kontot definitivt hackades, kan vi bekräfta att när vi väl kontaktades av kunden agerade vi efter förfrågan och vidtog alla nödvändiga åtgärder som vi kunde från vår sida för att undersöka och hjälpa”, säger företaget. berättade PC Pro.
123-reg sa också att problemet var en ”isolerad incident”.
Det verkar som att 123-reg bara varnades om problemet efter att en säkerhetsforskare, Virus Bulletins Martijn Grooten, snubblade separat över meddelandena om ransomware. Grooten föreslog att gruppen bakom attacken också låg bakom Reveton, ett stort ransomware-virus som började spridas 2012.
En och en
123-reg hävdade att det senare hade tagit ner de drabbade webbplatserna, men vår källa sa att företaget faktiskt bara korrigerade en ändrad DNS-post.
”Jag var tvungen att gå igenom varje enskilt konto, ett efter ett, och kontrollera varje inställning,” sa han. ”123-reg, medan han försökte vara hjälpsam, gjorde ingenting.”
”Mitt lösenord har alltid varit säkert, men jag vet inte om det var så de fick åtkomst till mitt konto, så jag vet inte om mina domäner eller webbplatser är säkra,” tillade han.
Ett säkerhetshål med 123-regs hanteringskonsol resulterade i 300 domäner kapas under 2012.
Uppdatering: 123-reg har kontaktat PC Pro med en uppdatering om sin undersökning och sa att hacket berodde på ett stulet lösenord och inte ett större säkerhetsproblem med dess system.
”123-reg [has confirmed] vi hade ingen massdomänattack”, sa en talesperson. ”Våra system komprometterades inte och därför är påståendet om att 123-reg var skyldig till att en kunds konto äventyrades felaktigt.”
”Vi har bevis som visar att kundens lösenord användes för att komma åt kontot och ändra inställningarna på det”, tillade talesmannen. ”Det gjordes inget lösenordsintrång mot 123-reg.”
123-reg sa att det fortsatte sin utredning.
