IT-dienstenprovider Kaseya zou structureel commercieel gewin boven beveiliging geplaatst hebben, volgens ex-werknemers. De VSA-software zou bovendien code bevatten die een modern IT-beheersprogramma onwaardig is.
In de nasleep van de enorme ransomware-aanval van REvil op klanten van Kaseya claimen ex-werknemers van het bedrijf dat de interne beveiliging ontoereikend was. Dat doen ze in anonieme getuigenissen aan Bloomberg. Medewerkers lieten tussen 2017 en 2020 meerdere keren weten dat er beveiligingsproblemen waren, maar die werden vaak niet volledig opgelost.
Plaintext-wachtwoorden en Wit Rusland
De bronnen stellen dat Kaseya gedateerde code gebruikt, zijn software niet consequent van updates voorziet en zelfs wachtwoorden van klanten in plaintext opslaat op platformen van derden. Eén werknemer zegt dat hij in 2019 een memo van 40 bladzijden aan het management heeft overgemaakt met daarin al zijn bedenkingen over de beveiliging en dat hij twee weken later werd ontslagen.
In 2018 mochten nog meer werknemers beschikken nadat Kaseya jobs begon te verhuizen naar Minsk in Wit Rusland. Daar werken meer dan 40 mensen aan softwareontwikkelingstaken die voordien in de VS werden uitgevoerd. Wit Rusland is de laatste absolute dictatuur van Europa en een trouwe bondgenoot van Rusland, wat de werknemers als een beveiligingsrisico aanstipten.
Oude code vol problemen
Verschillende werknemers stellen dat de Kaseya Virtual System Administrator (VSA) zo oud en doorspekt van problemen is, dat de hele software aan vervanging toe is. VSA was de uiteindelijke vector die REvil voor zijn ransomware-aanval gebruikte. Nederlandse onderzoekers hadden in april nog tal van fouten in VSA gevonden en overgemaakt aan Kaseya, maar niet alle lekken raakten tijdig gedicht.
Ralees ook
Ransomware misbruikt lek in Kaseya VSA om duizenden bedrijven plat te leggen
Nog aan Bloomberg zegt beveiligingsbedrijf Truesec Inc uit Zweden dat VSA inderdaad ernstige en uit te buiten kwetsbaarheden bevat. Die vonden ze in slechts enkele uren onderzoek. “We vonden veel verschillende categorieën van uit te buiten kwetsbaarheden in het VSA-product. Die indiceren een gebrekkig begrip van elementaire beveiligingsprincipes in softwareontwikkeling”, verduidelijkt oprichter Marcus Murray. De code voor VSA bevat een mix van programmeertalen waarvan sommige gedateerd en ongeschikt zijn voor een modern IT-beheersplatform volgens de specialist.
De getuigenissen schetsen een vernietigend beeld van Kaseya. Het bedrijf is via het lek is VSA verantwoordelijk voor ransomwarebesmettingen bij 1.000 tot 1.500 organisaties wereldwijd.