Plone: ‘Ons CMS bevat geen zero-day beveiligingslek’

De beweringen van de cybercrimineel CyberZeist dat hij de website van de Amerikaanse FBI heeft gehackt via een zero-day beveiligingslek in het Content Management Systeem (CMS) Plone zijn onjuist. Plone stelt dat het om een hoax gaat.

CyberZeist meldde onlangs op Twitter de website van de FBI te hebben gehackt. Hierbij zou hij gebruik hebben gemaakt van een zero-day lek in het CMS Plone. Dit CMS wordt ook door andere overheidsinstellingen geplaatst, die volgens CyberZeist eveneens kwetsbaar zijn. Als bewijs voor de hack heeft CyberZeist op Pastebin persoonlijke informatie over 155 medewerkers van de FBI gepubliceerd.

‘Plone bevat geen zero-day lek’

De ontwikkelaar van het CMS ontkent dat Plone een zero-day lek bevat dat actief wordt aangevallen. De wachtwoordhashes en salts die CyberZeist heeft laten uitlekken zijn daarnaast vals. Deze zouden niet overeenkomen met de waardes die Plone genereert. De e-mailadressen die CyberZeist claimt te hebben buitgemaakt zijn eerder al op internet gepubliceerd.

CyberZeist biedt online een exploit te koop aan voor de vermeende zero-day kwetsbaarheid in Plone. Plone zegt te vermoeden dat de beweringen van CyberZeist vooral bedoeld zijn als reclame voor deze exploit, die dus in werkelijkheid niet zou bestaan. CyberZeist vraagt 8 bitcoin voor de exploit, wat met de huidige wisselkoers neerkomt op een bedrag van bijna 6.500 euro.