Hacker kreeg toegang tot interne Comodo-bestanden via gelekt wachtwoord

Een hacker heeft toegang gekregen tot interne bestanden en documenten van Comodo, door een e-mailadres en een wachtwoord die per ongeluk op het internet waren beland te gebruiken. Comodo is een beveiligingsbedrijf dat onder meer SSL-certificaten uitgeeft.

De inloggegevens stonden in een publieke GitHub-repository die het eigendom wis van een software-ontwikkelaar van Comodo zelf, schrijft TechCrunch. De hacker gebruikte deze gegevens in in te loggen in de cloud-diensten van het bedrijf die bij Microsoft gehost zijn. Het account bleek niet beschermd te zijn met tweestapsverificatie.

Melding gemaakt

De inloggegevens werden ook gevonden door de Nederlandse beveiligingsonderzoeker Jelle Ursem, die via WhatsApp contact opnam met vicepresident Rajaswi Das van Comodo. Een dag later werd het wachtwoord ingetrokken.

Ursem stelt dat hij via het account toegang kreeg tot interne bestanden van Comodo, waaronder verkoopdocumenten en spreadsheets die in de OneDrive van het bedrijf stonden. Ook kon hij een organisatiegrafiek kijken op SharePoint, waar de biografieën van teams en contactinformatie in stonden.

Ursem heeft verder screenshots met TechCrunch gedeeld van mappen waar overeenkomsten en contracten met diverse klanten in stonden. Die bestanden hadden in de naam de naam van klanten staan. Het gaat onder meer om ziekenhuizen en Amerikaanse staatsoverheden.

Hacker

Volgens Ursem is hij niet de eerste die de inloggegevens vond. “Dit account is al door een ander gehackt, die spam is gaan versturen”, aldus de Nederlander. Hij heeft dan ook een screenshot met TechCrunch gedeeld van verzonden spammail, waarin geclaimd werd dat er een belastingteruggave van de Franse overheid beschikbaar was.

Een woordvoerder van Comodo stelt dat het account een “geautomatiseerd account voor marketings- en transactionele doeleinden” was. “De data die bekeken is, is niet gemanipuleerd. Binnen een paar uur nadat we door de onderzoeker op de hoogte werden gesteld, is het account offline gehaald.”

Ursem zelf zegt verrast te zijn over de gevonden inloggegevens. “Aangezien ze een beveiligingsbedrijf zijn en SSL-certificaten uitgeven, zou je denken dat de beveiliging van hun eigen omgeving boven alles gaat.”