2min

De kwetsbaarheden in de Kaseya VSA-software die tot de recente grote ransomware-aanval leidden, waren al eerder bekend maar niet direct opgelost. Dit stellen oud-medewerkers van de softwarespecialist tegenover de zakelijke nieuwssite Bloomberg.

Volgens Bloomberg hebben vijf oud-medewerkers van Kaseya tussen 2017 en 2020 het management ingelicht over ernstige kwetsbaarheden in de softwareproducten van het bedrijf. Ondanks deze waarschuwingen is niet ingegrepen, met als gevolg dat deze kwetsbaarheden, vooral in de VSA-software, in de recente ransomware-aanval van de hackers van REvil konden worden misbruikt.

Verouderde code en uitblijven patches

Concreet werd het management tussen 2017 en 2020 gewaarschuwd over ernstige tekortkomingen in de producten, zoals software die verouderde code gebruikt en het gebruik van zwakke versleuteling en wachtwoorden in alle producten en servers van Kaseya. Wachtwoorden werden onder meer vaak in clear tekst, dus zonder encryptie, opgeslagen in platforms van derde partijen.  

Andere gesignaleerde misstanden waren onder andere het niet nakomen van basis securitywerkzaamheden als het regelmatig patchen van gevonden kwetsbaarheden. Volgens een oud-medewerker van Kaseya had het nu beruchte VSA-product zoveel fouten en problemen, dat het eigenlijk moest worden vervangen. Ook lag de focus van het bedrijf vaker op verkoop dan op het ontwikkelen van veilige oplossingen, wat de kwaliteit van de geleverde producten niet ten goede kwam.

Nederlandse ethische hackers waarschuwden Kaseya al in april van dit jaar dat de VSA-software maar liefst vier kwetsbaarheden had. Hierop is wel snel ingegrepen, maar net te laat om alle kwetsbaarheden te patchen.

Juridische problemen

De uitspraken van de oud-medewerkers kan Kaseya serieuze juridische problemen gaan opleveren. Zeker als het waar blijkt dat de kwetsbaarheden in de producten al langer bekend waren en daar niet adequaat op is gehandeld. Niet alleen kunnen klanten van de misbruikte VSA-software het bedrijf aanklagen, maar mogelijk ook toezichthouders. Dit omdat door de hack het mogelijk was data te stelen.

Kaseya heeft op de beschuldigingen van de oud-medewerkers geen reactie gegeven. Tegenover Bloomberg geeft de softwarespecialist aan geen mededelingen te doen over (oud)medewerkers en het lopende justitiële onderzoek naar de hackaanval.

Tip: Kaseya-megahack: 59 miljoen euro losgeld, Nederlandse slachtoffers