Hoe Ámbito werd gehackt: wat is defacement en alles wat we weten over de aanval

De aanval op de website van de krant Ámbito bracht opnieuw een vorm van hacking onder de aandacht die steeds vaker voorkomt bij media, overheidsinstanties en digitale platforms: defacement , een techniek die niet gericht is op het stelen van informatie of financieel gewin, maar op het wijzigen van de zichtbare inhoud van een pagina om een ​​boodschap achter te laten .

Het incident vond vrijdagochtend plaats, enkele dagen nadat het Hooggerechtshof de veroordeling van Cristina Kirchner voor corruptie in de Highways-zaak had bevestigd.

De voorpagina van de website, gespecialiseerd in economie en zaken, werd korte tijd compleet aangepast: foto's van schedels, berichten tegen de voormalige president en slogans als "#CFKPRESA" en "#CFKCHORRA" domineerden de koppen van verschillende artikelen. Dit alles werd ondertekend door een groep die zichzelf identificeerde als @gov.eth , een naam die al bekend is in de Argentijnse cyberactivistische scene.

De krant bevestigde dat het om een ​​defacementaanval ging, een methode waarbij toegang wordt verkregen tot het beheerderspaneel van de site en de originele inhoud wordt vervangen door andere tekst, afbeeldingen of video's. "De inhoud is enorm gewijzigd", legden ze uit in een officiële verklaring, waarin ze ook hun excuses aanboden aan lezers en adverteerders.

De naam @gov.eth is niet nieuw. De afgelopen maanden heeft deze gebruiker de verantwoordelijkheid opgeëist voor het hacken van diverse nieuwssites, zoals Perfil.com en La Unión Digital de Catamarca, evenals de officiële website van de Argentijnse overheid , argentina.gob.ar , eind 2024.

In een interview met Clarín identificeerde een van de aanvallers zich met die alias en beweerde dat er geen politieke motieven achter zijn daden zaten. "We waren twee kinderen die zich verveelden en we konden het doen", zei hij destijds, en legde uit dat hij in de digitale marketing werkt, maar deze aanvallen uitvoert "als hobby".

Volgens zijn getuigenis slaagden ze er bij sommige eerdere hacks in om het systeem binnen te dringen met behulp van inloggegevens die waren gelekt op de eigen testpagina's van de overheid. Omdat de servers geen tweede-factorauthenticatie hadden ingeschakeld, was het invoeren van een gebruikersnaam en wachtwoord voldoende om toegang te krijgen tot de backend , het dashboard dat de inhoud van de site beheert.

Hoewel de exacte aard van de inbreuk in deze laatste aanval nog niet is bevestigd, heeft Ámbito zelf erkend dat de aanvallers toegang hebben gehad tot de lijst met gebruikersnamen en wachtwoorden , waardoor ze de inhoud ervan massaal hebben kunnen wijzigen. Alles wijst, net als in eerdere gevallen, op een mogelijk inloggegevenslek of een storing in de basisbeveiligingsmaatregelen van het systeem .

Het meest illustratieve voorbeeld is de aanval op argentina.gob.ar afgelopen december. De aanvallers onthulden dat de server niet over een tweede-factorauthenticatie (ook wel 2FA of MFA genoemd) beschikte. Deze maatregel maakt het mogelijk om de identiteit van een gebruiker te verifiëren met een extra code – verzonden naar een mobiele telefoon, een app of via biometrie – en fungeert als een extra beveiligingsbarrière .

"We kregen toegang tot de site met een gelekte inloggegevens die we hadden verkregen van een testsite van de overheid en gebruikten dezelfde inloggegevens om in te loggen op de backend van argentina.gob.ar", legde gov.eth destijds uit. Van daaruit verhoogden ze de rechten en namen ze de controle over het systeem over.

In tegenstelling tot andere, complexere of financieel gemotiveerde cyberaanvallen, is defacement een vorm van 'digitaal vandalisme'. Het doel is om het uiterlijk van een website te veranderen om een ​​boodschap over te brengen, een spoor achter te laten of simpelweg te laten zien dat het mogelijk is. Over het algemeen wordt er geen informatie gestolen of malware geïnstalleerd , hoewel dat niet betekent dat het geen risico vormt.

De techniek houdt in dat toegang wordt verkregen tot het controlepaneel van de site – via een kwetsbaarheid, een zwak wachtwoord of gelekte inloggegevens – en dat de inhoud wordt vervangen door andere content . Dit kan afbeeldingen, politieke boodschappen , video's, bedreigingen of spot bevatten. In veel gevallen, zoals in dit geval, wordt een schedel gebruikt als handtekening, vergezeld van hashtags en links naar Telegram-kanalen of andere netwerken.

De term komt van het Engelse woord " deface " en verwijst naar het veranderen van het "gezicht" van een website . Hoewel dit minder geavanceerd is dan andere cyberaanvallen, kan het een aanzienlijke impact hebben op de publieke opinie, vooral als het media of officiële websites treft.

Naast de intenties van de aanvallers benadrukt de aflevering ook de risico's die het niet implementeren van basismaatregelen voor cyberbeveiliging met zich meebrengt. Het gebruik van sterke en unieke wachtwoorden, het activeren van tweefactorauthenticatie en het continu updaten van software zijn essentiële middelen om dit soort inbraken te voorkomen.