Newtek Business Services Corp. [NASDAQ:NEWT], un conglomérat de services Web qui exploite plus de 100 000 sites Web d’entreprise et quelque 40 000 comptes de technologie gérés, s’est fait voler plusieurs de ses principaux noms de domaine au cours du week-end. Le vol a bloqué les e-mails et les sites Web bloqués pour de nombreux clients de Newtek.
Un e-mail envoyé par Newtek aux clients tard samedi soir ne faisait aucune mention d’une violation ou d’un incident, indiquant seulement que l’entreprise changeait de domaine en raison d’une sécurité « renforcée ». Une copie de ce message peut être lue ici (PDF).
En réalité, trois de leurs domaines principaux ont été piratés par un pirate informatique vietnamien, qui a remplacé la page de connexion que de nombreux clients de Newtek utilisaient pour gérer à distance leurs sites Web (centre de contrôle Web[dot]com) avec un service de chat Web en direct. En conséquence, les clients de Newtek cherchant des réponses à la raison pour laquelle leurs sites Web n’étaient plus correctement résolus ont fini par discuter avec le pirate de l’air à la place.
Le client de chat Web PHP que l’intrus a installé sur Webcontrolcenter[dot]com, un domaine que de nombreux clients de Newtek utilisaient pour gérer leurs sites Web avec l’entreprise. L’auteur peut être vu dans ce chat en utilisant le nom « admin ». Cliquez pour agrandir.
Dans un e-mail de suivi envoyé aux clients 10 heures plus tard (PDF), Newtek a reconnu que la panne était le résultat d’un « différend » sur trois domaines, centre de contrôle Web[dot]com, thesba[dot]com et crystaltech[dot]com.
« Nous vous demandons fortement d’éliminer ces noms de domaine de tous vos navigateurs professionnels ou personnels, et d’éviter de cliquer dessus », a averti la société à ses clients. « A cette heure, il est devenu évident qu’à la suite du différend concernant ces trois noms de domaine, nous n’avons actuellement aucun contrôle sur les domaines ou les e-mails en provenance d’eux. »
L’avertissement continuait : « Il y a un tiers non identifié qui tente de discuter et peut dialoguer avec des clients lors de la visite des trois domaines. Il est impératif que vous ne communiquiez ni ne fournissiez de données sensibles à ces endroits. »
Newtek n’a pas répondu aux demandes de commentaires.
Le détournement de domaine n’est pas un problème nouveau, mais il peut être potentiellement dévastateur pour l’organisation victime. En contrôlant un domaine piraté, un attaquant malveillant pourrait mener des attaques de phishing en toute transparence pour voler des informations personnelles ou utiliser le domaine pour imposer des logiciels malveillants aux visiteurs.
Newtek n’est pas seulement une grande société d’hébergement Web : elle vise à être un guichet unique pour presque tous les services en ligne dont une petite entreprise pourrait avoir besoin. En tant que tel, il s’agit d’un mélange d’unités commerciales très différentes regroupées en une seule depuis sa création en 1998, y compris les solutions de prêt, les RH, la paie, les solutions infonuagiques gérées, l’assurance maladie collective et les solutions de reprise après sinistre.
« Les tentacules de NEWT vont profondément dans les activités de leurs clients en fournissant la sécurité des données, les ressources humaines, les avantages sociaux, la technologie de paiement, la conception et l’hébergement Web, une multitude de solutions d’assurance et une suite de services informatiques », lit-on. un profil de septembre 2017 de la société à ChercheAlphaune publication d’analyse de marché participative.
Les différents métiers de Newtek. Source : Newtech.
Atteint via le client de chat Web qu’il a installé au webcontrolcenter[dot]com, la personne qui a revendiqué la responsabilité du piratage a déclaré avoir informé Newtek il y a cinq jours d’un « bogue » qu’il avait trouvé dans les opérations en ligne de l’entreprise, mais qu’il n’avait reçu aucune réponse.
Un client de Newtek qui revend les produits de la société à ses clients a déclaré qu’il avait dû passer une grande partie du week-end à aider les clients à retrouver l’accès aux comptes de messagerie et aux domaines à la suite de l’incident. Le client, qui a demandé à rester anonyme, s’est dit choqué que Newtek ait fait peu d’efforts pour transmettre la gravité du détournement à ses clients — notant que la société page d’accueil ne fait toujours aucune mention de l’incident.
« Ils ne précisent pas non plus que toutes les données envoyées à n’importe quel hôte sous le domaine pourraient être enregistrées (mots de passe de messagerie, informations d’identification Web, etc.) par l’attaquant », a-t-il déclaré. « Je suis atterré de voir à quel point leur communication était mauvaise avec leurs utilisateurs. Je ne suis pas surpris, mais inquiet, qu’ils n’aient pas publié le contenu des e-mails directement sur leur site Web.
La source a déclaré qu’au minimum, Newtek aurait dû faire expirer tous les mots de passe immédiatement et exiger des réinitialisations via des hôtes non compromis.
« Et peut-être mettre un avis à ce sujet sur leur page d’accueil au lieu de compter sur le courrier électronique, car beaucoup de mes clients ne peuvent pas recevoir de courrier électronique en ce moment à cause de cela », a déclaré la source.
Il y a quelques indices qui suggèrent que l’auteur de ces détournements de domaine est en effet véridique à la fois sur sa nationalité et qu’il a localisé un bogue dans le service de Newtek. Deux des domaines piratés ont été déplacés vers un registraire de domaine vietnamien (inet.vn).
Cette personne m’a donné une adresse e-mail pour le contacter à – [email protected] – bien qu’il n’ait jusqu’à présent pas répondu aux questions au-delà de la promesse de répondre en vietnamien. L’e-mail est lié à deux profils de réseaux sociaux en langue vietnamienne différents.
Une recherche à Outils de domaine indique que cette adresse est liée aux enregistrements d’enregistrement de quatre domaines, dont un (giakiemnew[dot]com) qui a été récemment hébergé sur un serveur dédié exploité par l’ancienne unité commerciale de Newtek, Crystaltek [full disclosure: Domaintools is an advertiser on this site]. Rappelons que Crystaltek[dot]com faisait partie des trois domaines piratés.
De plus, le domaine giakiemnew[dot]com a été enregistré via Services technologiques Newtek, un service d’enregistrement de domaine proposé par Newtek. Cela suggère que l’agresseur était en fait un client de Newtek et qu’il a peut-être découvert une vulnérabilité lors de l’utilisation du service.