Via een SQL injection is de portal voor domeinregistrars bij .nl-beheerder SIDN gehackt en malware geplaatst. Het NCSC doet onderzoek.
De uitgever van alle .nl-domeinen SIDN is slachtoffer van hackers. Via een SQL-injectie in de SIDN-jubileumsite de25jaarvan.nl is de portal voor registrars gecompromitteerd en malware geïnjecteerd. Dat meldt Cees Toet, manager ICT van de Nederlandse domeinbeheerder aan Webwereld.
Logingegevens registrars bemachtigdDe portal is offline gehaald en er wordt nog volop onderzoek gedaan naar het incident. Daarbij zijn de relevante security-instanties ingeschakeld, waaronder het Nationaal Cyber Security Centrum (NCSC), meldt Toet.
Hackers hebben toegang gekregen tot een bestand met logingegevens voor de registrarssite. Dat zijn de registrarnummers en de daaraan gekoppelde wachtwoorden, die versleuteld zijn. Om die reden heeft SIDN alle wachtwoorden die toegang geven tot de webinterface van het domeinregistratiesysteem gereset.
Afgelopen nacht is besloten om de webinterface van het .nl-domeinregistratiesysteem uit de lucht te halen en tijdelijk geen nieuwe .nl-zonefile update meer te publiceren, schrijft het blog ISPam. De EPP-interface van het systeem, dat door de meeste registrars wordt gebruikt, werkt nog wel.
Geen gekke dingen met .nl-zonefile
SIDN meldt dat na onderzoek niet is gebleken dat er ongeoorloofde wijzigingen in de .nl-zonefile zijn gedaan. Als hackers hier dingen veranderen, dan kunnen domeinen worden omgeleid naar kwaadaardige sites. Daarvan is geen sprake, bezweert SIDN, die vanochtend weer een eerste update van de zonefile heeft gepubliceerd. Toet: "We hebben daar gelukkig geen gekke dingen aangetroffen."
Ook is de webinterface voor registraties weer geopend, "om de dienstverlening naar onze klanten zo snel mogelijk te herstellen", vertelt Toet. De registrarportal en de jubileumsite blijven tot nader order nog wel offline.
SIDN is nog druk bezig de logs door te spitten en zal later met meer details komen.
Webwereld