Alle alarmbellen gingen af: wat gebeurde er dinsdag op nrc.nl?

Wie dinsdag nrc.nl of nrcnext.nl probeerde te bekijken, stuite op bovenstaand rood scherm: doe het niet, het kost je je computer. Veel browsers gaven de melding dat onze sites potentieel gevaarlijk waren, met mogelijke identiteitsdiefstal tot gevolg. Wat ging er mis?

Wie dinsdag nrc.nl of nrcnext.nl probeerde te bekijken, stuitte op bovenstaand rood scherm: doe het niet, het kost je je computer. Veel browsers gaven de melding dat onze sites potentieel gevaarlijk waren, met mogelijke identiteitsdiefstal tot gevolg. Wat ging er mis?

Eerst dit: wie dinsdag na zeven uur ‘s ochtends toch onze site bezocht, liep geen risico. Dat wil niet zeggen dat zo’n alarmerende melding van je browser iets is om voortaan te negeren. Neem het altijd serieus. Ook nu was er wel degelijk iets aan de hand geweest op nrc.nl en nrcnext.nl, zij het niet meer na zevenen.

Twitter avatar tomvonk Tom Vonk @pvdp Ik kreeg een melding van Chrome dat nrc.nl zeer waarschijnlijk malware bevat…

De rode schermen

Het begon zo. Toen ik om half zeven wakker werd en m’n telefoon bekeek, kreeg ik twee tweets van lezers die tegen zo’n rood scherm aanliepen. Ook de dienstdoende redacteur van nrc.nl hing aan de bel. Onze techneuten kwamen er zeer rap achter dat er iets mis wat met een of meerdere advertenties op, in elk geval, nrc.nl. Omdat je het maar nooit weet, zijn binnen een half uur nadat mijn wekker ging alle advertenties uitgezet, ook op nrcnext.nl. Nu de advertenties uitstonden was het gevaar in elk geval geweken en kon, wat er ook aan de hand was met de reclames, niets waar wij de herkomst niet van kenden nog ongewild de wereld inkomen.

Bij het in alle rust uitzoeken van het probleem bleek een vermoeden te kloppen. Het probleem bevond zich niet op de NRC-sites zelf, maar iemand heeft rond 1.00 uur ‘s nachts toegang weten te krijgen tot een server van een externe partij, die onze advertenties verzorgt. We weten nog niet precies hoe het kan dat die toegang verkregen is, maar wel waarom. De hacker heeft enkele codes (javascripts om precies te zijn) van advertenties weten aan te passen, waarmee het mogelijk was een kwetsbaarheid in Java (een door bijna alle computers te lezen programmeertaal) te exploiteren. En niet op een kinderachtige manier. De geïnstalleerde malware is een Sinowal-trojan, specifiek gemaakt om bankgegevens te stelen. De ‘exploit’, zoals dat heet, wordt door nog maar weinig virusscanners opgepikt en is daarom vermoedelijk niet eerder opgemerkt.

Het kan de beste overkomen: van zo’n zelfde stuk malware was NU.nl eerder dit jaar slachtoffer. Webwereld heeft er een helder stuk over geschreven, op basis van een analyse van Mark Loman van Surfright. Hij zegt:

“Slechts 4 van de 44 virusscanners op VirusTotal herkennen deze variant. Dat betekent dat de kans bijzonder groot is dat iedereen die de NRC-sites heeft bezocht voordat de advertenties zijn verwijderd, is besmet”, aldus Loman, die bevestigt dat de malware in advertenties van derden zat verstopt en dus niet op de NRC-websites zelf.

Via de gewraakte advertentie wordt toegang gezocht via een externe malafide website. Deze maakt op zijn beurt weer contact met de exploit-kit. Vermoedelijk gaat het om een stukje Javascriptcode die de aangepaste versie van Sinowal-trojan probeerde te installeren.”

Wie heeft risico op besmetting gelopen?

Ik heb geen idee hoeveel mensen mogelijk bloot hebben gestaan aan een digitale infectie, en wil iedereen die in de nacht van maandag op dinsdag of dinsdagmorgen een van onze sites heeft bezocht daarom nogmaals op het hart drukken de virusscanner nog eens flink aan het werk te zetten.

Kies voor een scanner van Avast, GData (waarvan een gratis proefversie te downloaden is) en Kaspersky Lab, want andere scanners herkennen deze Sinowal nog niet. Dit alles geldt in principe voornamelijk voor Windows-gebruikers. Wie met een Mac of met Linux werkt heeft een kleinere kans om getroffen te zijn.

Om zeven uur uitgeschakeld, maar de hele dag op rood

Naast de zorg over iedereen die mogelijk door een onschuldig bezoek aan een site waar wij zo hard aan werken is geraakt door dit virus, duurde het ook nog eens heel erg lang voordat de meldingen verdwenen. Dat komt omdat de meeste browsers (in elk geval Safari, Firefox en natuurlijk Chrome) gebruik maken van de database van Google om na te gaan of sites wel of niet zonder kleerscheuren te bezoeken zijn.

Bij Google scant men (automatisch) elke 24 uur of dit zo is. We hebben Google gevraagd of er iets rapper naar gekeken kon worden, om zo de wereld duidelijk te maken dat we weer helemaal veilig zijn. Via de zeer behulpzame mensen van Google Benelux werd Google in Mountain View ingeschakeld, waar ze zo vriendelijk waren extra scans uit te voeren. Maar daar gaat tijd over heen. Daarom kon pas na het aanbreken van de avond, rond zeven uur ‘s avonds (dus twaalf uur nadat bij ons de stekker uit de bron van infectie was getrokken) het sein brand meester worden gegeven en gaven browsers geen melding meer van schadelijke content op nrc.nl of nrcnext.nl.

Balen

Het spreekt voor zich dat ik enorm baal van de inbraak. Achteloze bezoekers liepen gevaar, het vertrouwen in onze site(s) is beschadigd, en onze inkomsten liepen een flinke deuk op. Toch ben ik blij dat we snel hebben kunnen handelen. Doordat ik al vroeg berichten kreeg van oplettende lezers hebben we de schade weten te beperken. Je moet er niet aan denken dat zo’n gat open blijft staan en duizenden mensen via onze site blootgesteld werden aan zo’n potentieel destructief virus.

Het spreekt ook voor zich dat we hebben besloten om ons advertentiebeleid te herzien, zodat deze specifieke methode van digitaal inbreken in elk geval niet meer bij ons mogelijk is.

Nogmaals mijn welgemeende excuses voor eventueel aangericht ongemak.