De European Space Agency (ESA) is opnieuw getroffen door een beveiligingsincident. Cybercriminelen beweren meer dan 200 GB aan data van de organisatie te hebben buitgemaakt en deze te koop aan te bieden. De ESA erkent dat er een incident heeft plaatsgevonden, maar stelt dat de impact beperkt is gebleven en dat kernsystemen buiten schot zijn gebleven. Die lezing staat in schril contrast met de claims van de aanvallers.
Beveiligingsincident
In een bericht op X liet ESA dinsdag weten op de hoogte te zijn van een beveiligingsincident dat mogelijk slechts ‘een zeer klein aantal externe servers’ heeft geraakt. Deze servers worden gebruikt voor niet-geclassificeerde technische en wetenschappelijke samenwerking met externe partijen. Volgens de ruimtevaartorganisatie is direct een forensisch onderzoek gestart en zijn maatregelen genomen om mogelijk getroffen systemen veilig te stellen. Ook zouden alle relevante betrokkenen zijn geïnformeerd. Verdere details volgen zodra het onderzoek meer duidelijkheid oplevert.
Gelinkte externe servers
Cybercriminelen schetsen echter een veel ernstiger beeld. Op het hackersforum BreachForums verscheen kort na Kerstmis een bericht waarin een aanvaller claimt meer dan 200 GB aan ESA-data te verkopen. Volgens screenshots van het forum zou de aanvaller al op 18 december toegang hebben gekregen tot aan ESA gelinkte externe servers en daar ongeveer een week onopgemerkt actief zijn geweest.
In die periode zouden onder meer broncodebestanden, CI/CD-pipelines, API- en toegangstokens, vertrouwelijke documenten, configuratiebestanden, Terraform- en SQL-bestanden zijn buitgemaakt. Daarnaast wordt gesproken over hardcoded inloggegevens en een volledige dump van alle private Bitbucket-repositories. De omvang en gevoeligheid van deze vermeende buit staan haaks op de geruststellende boodschap van ESA.
Pogingen om aanvullende toelichting van de organisatie te krijgen, liepen voorlopig op niets uit. Een automatisch antwoord meldde dat de kantoren van ESA gesloten zijn vanwege de nieuwjaarsperiode. Daardoor blijft onduidelijk welke servers precies zijn geraakt en in hoeverre de claims van de aanvallers kloppen.
Langer patroon
Het incident past in een langer patroon. Het is niet de eerste keer dat ESA te maken krijgt met beveiligingsproblemen waarbij externe systemen betrokken zijn. Vorig jaar werd de online winkel van de ruimtevaartorganisatie aangevallen, waarbij criminelen een valse betaalpagina plaatsten om klantgegevens te stelen. ESA benadrukte toen dat de webwinkel niet door de organisatie zelf werd beheerd.
Ook eerder ging het mis. In 2015 werden drie ESA-domeinen gecompromitteerd via een SQL-kwetsbaarheid, wat leidde tot het uitlekken van gegevens van duizenden abonnees en medewerkers. In 2011 publiceerde een aanvaller zelfs beheerdersaccounts, FTP-inloggegevens en serverconfiguraties online. In al deze gevallen stelde ESA dat interne netwerken niet waren geraakt.
Formeel mag dat geruststellend klinken, maar de herhaling van dit soort incidenten roept vragen op. Zelfs als kernsystemen intact blijven, laten deze gebeurtenissen zien dat de digitale weerbaarheid van aan ESA verbonden omgevingen structureel aandacht blijft vragen.