Det banebrydende, amerikanske satiresite The Onion har taget hul på endnu en mødom. Og denne gang er det ikke satire, men ramme alvor.

Normalt, når medier hackes, holder man de tekniske detaljer i indbruddet tæt ind til kroppen for at sikre, at ingen andre udnytter hullerne.

Men The Onion har valgt at gå den stik modsatte vej og offentliggøre detaljer i et indbrud, hvor hackere fra Syrian Electronic Army brød ind i flere medarbejderes mailbokse og på den måde fik kontrol med The Onions twitterkonto.

Detaljerne i The Onions offentliggørelse viser, hvordan et sådant hackerangreb kan finde sted. The Onions fulde åbenhed kan på den måde hjælpe andre medier til at imødegå hackerangreb.

Selve hackerangrebet fandt sted i flere bølger. Første bølge kom den 3. maj, da flere medarbejdere modtog mails med links til en artikel på Washingtonpost.com.

Det var et regulært phishing-angreb.

Der var forskellige afsendere på disse mails, bl.a. med adresse i FN-systemet.

Linket i mailen så angiveligt ud til at føre til en artikel i Washington Post om The Onion.

I realiteten blev brugeren først ført til en skjult adresse og derefter videresendt til en anden netadresse, der hentede Gmails passwordside op. Her blev brugerne bedt om at indtaste deres adgangsoplysninger til Gmail, inden de blev sendt videre.

Mindst en medarbejder i The Onion faldt for denne del af angrebet.

Denne kompromitterede konto blev brugt til at sende nye mails til medarbejderne. Det skete mandag den 6. maj om natten. Igen blev medarbejderne bedt om at logge ind i deres mailboks. To ansatte faldt i fælden. Den ene af disse ansatte havde adgang til alle The Onions konti på sociale netværk.

På det tidspunkt havde The Onions IT-afdeling opdaget angrebet. Samtlige medarbejdere blev i en fællesmail bedt om at skifte passwords.

Men hackerne benyttede en hidtil uopdaget medarbejderkonto til at kopiere IT-afdelingens mail om passwordskift og sende den igen – nu med link til den falske phishing-side. Denne falske mail blev ikke sendt til medarbejderne i IT-afdelingen. Derfor blev denne tredje bølge i angrebet i første omgang ikke opdaget.

Mindst to medarbejdere faldt i den tredje fælde. En af disse konti blev af hackerne brugt til at bevare kontrollen over The Onions twitter-konto.

På dette tidspunkt begyndte The Onions redaktionelle stab – inspireret af hackerangrebet – at skrive satiriske artikler om Syrien. Den anden artikel bare rubrikken "Syrian Electronic Army morer sig lidt før uundgåelig død for hånden af oprørere". 

Efter denne artikel begyndte hackerne at lække interne mails på The Onions twitterkonto.

På dette tidspunkt gennemførte The Onion et tvungent passwordskift på samtlige medarbejderes mailkonti.

Hackerne kom fra IP-nummeret 46.17.103.125.

The Onion har nu, med ordene "lad ikke dette ske for dig," offentliggjort fire gode råd til hvordan man kan forhindre lignende angreb:

• Sørg for, at dine brugere er informerede og mistænksomme overfor alle links der opfordrer til at logge ind – uanset hvem, der er afsender.
• Emailadresserne til dine twitter-konti bør være på et system, der er isoleret fra din virksomheds normale mailsystem. Det vil beskytte dine twitter-konti mod phishing-angreb (forudsat, at du bruger stærke, unikke passwords til alle konti)
• Al twitter-aktivitet bør gå igennem en app, som fx Hootsuite. Ved at begrænse password-baseret adgang til dine konti forhindrer du hackere i totalt at overtage kontrollen – hvilket tager betydeligt længere tid at genoprette.
• Hvis muligt bør du have adgang til at kommunikere med samtlige dine brugere uden for deres virksomhedsemail. I tilfældet med Guardian-hacket offentliggjorde Syrian Electronic Army skærmdumps af flere interne sikkerhedsmails, sandsynligvis fra en overset, kompromitteret email-adresse.