Wurde der Blog von Qualys gehackt? (2. Juli 2024)

[English]Kurze Information zu Qualys, ein Technologieunternehmen mit Dienstleistungsangeboten im Bereich Cloud-Sicherheit und Compliance. Es steht die Frage im Raum, ob die mit ihrem Blog womöglich gehackt wurden. Denn aktuell findet sich dort ein Eintrag in kyrillischer Sprache, der für "Banknoten im Online-Kasino" wirbt. Finde ich etwas merkwürdig und möchte das Ganze zumindest erwähnt haben und hab mal ein wenig genauer hingeschaut. Ergänzung: Gibt eine Stellungnahme von Qualys.

Wer ist Qualys?

Qualys, Inc. ist ein 1999 gegründetes, amerikanisches Technologieunternehmen mit Sitz in Foster City, Kalifornien, das sich auf Cloud-Sicherheit, Compliance und damit verbundene Dienstleistungen spezialisiert hat. Qualys hat über 10.300 Kunden in mehr als 130 Ländern und macht ca. eine halbe Milliarde US-Dollar Umsatz. Hier ist die Qualys-Webseite zu finden.

Merkwürdiger Blog-Eintrag

Blog-Leser Frank R. hat mich heute früh per Mail kontaktiert und fragte, ob der Qualys-Blog gehackt worden sei. Grund für diese Vermutung ist, dass Frank den RSS-Feed von Qualys abonniert hat und ihm dort ein mehrwürdiger Blog-Post aufgefallen ist, obwohl die Mitarbeiter durchgängig in Englisch bloggen.

Der obige Text ist in kyrillischer Schrift verfasst und beschäftigt sich mit Einkünften aus Online-Casinos, die man monetarisieren könne. Passt überhaupt nicht zu den Themen, die bei Qualys im Blog behandelt werden. Bekannt zu einem Hack war mir nichts, und eine schnelle Suche fördert nur diesen russischen Beitrag zutage, der sich aber auf einen Hack aus 2021 bezieht. Aber der Blog von Qualys zeigt schon ein merkwürdiges Bild, wenn man diesen aktuell (3. Juli 2024) aufruft:

Alle Beiträge bis auf einen sind in englischer Sprache gehalten, nur der Beitrag von Gautam Nandane sind plötzlich auf russisch, wie man unter seinem Profil sehen kann.

Ist aber ein "bisserl merkwürdigt", weil Gautam Nandane Senior Web Developer bei Qualys ist, und laut seinem LinedIn-Profil in Pune, Maharashtra, Indien sitzt. Also eine Position, in der er eher nicht im Qualys-Blog über Sicherheitsthemen schreibt. Und wenn, dann ich englischer Sprache. Es gibt dann auch nur ganze drei Beiträge von ihm im Qualys-Blog.

Meine Erklärung: Gautam Nandane, Senior Web Developer bei Qualys, dürfte seit dem 2 Juli 2024 wohl "leichte Kopfschmerzen" haben. Denn sein Account scheint kompromittiert zu sein, und der Angreifer hat sich den Spaß gemacht, unter diesem Konto die Blog-Beiträge durch russischsprachige Texte, in denen für Online-Glücksspiele geworben wird, zu ersetzen. Kommt natürlich nicht so gut bei einem Unternehmen, welches sich Sicherheitsdingen verschrieben hat.

Stellungnahme von Qualys

Ergänzung: Gibt einen Stellungnahme von Qualys, deren Kommunikationsagentur hat mich darauf hingewiesen.

Qualys hat verdächtige Inhalte auf dem Qualys-Blog identifiziert, der auf einer Website eines Drittanbieters gehostet wird. Die Seite enthält keine sensiblen Daten und hat keine Verbindung zum Qualys-Netzwerk, zu Produktionsanlagen oder zu Kundendaten. Es gibt keine betrieblichen Auswirkungen für Qualys oder unsere Kunden. Wir werden weitere Updates über den Qualys-Blog bereitstellen.

Der vollständige Blog-Beitrag von Qualys lässt sich hier abrufen.

On Wednesday, July 3, 2024 at 2:45 AM EDT Qualys identified suspicious spam content posted to the Qualys blog.

Qualys conducted an investigation to identify any compromise and/or impact due to this unauthorized spam blog post and found no indication that the incident had any impact on customer data, our production environment, nor was any data exfiltrated from Qualys. A standalone WordPress account was compromised, leading to the spam blog being posted. The impacted account was hosted by a third-party site and is not connected to any Qualys sensitive data and/or production systems.

Due to several architectural and multi-layered security controls that are in place, there is no impact on Qualys production environments (shared platforms and private platforms), codebase, customer data hosted on the Qualys Cloud Platform, Qualys Agents or Scanners. All Qualys platforms continue to be fully functional and operating normally.

As is our standard practice in instances such as this, Qualys immediately performed all appropriate steps as prescribed in the US Department of Homeland Security (DHS) CISA's emergency directive 21-01, as well as all necessary measures in CISA's supplementary guidance. Actions have been taken to fully remediate and harden against such incidents in the future. Qualys continues to monitor and manage any threats going forth.