Post-mortem: DDoS-aanval op Unipage 9 mei 2025

Op 9 mei 2025 heeft Unipage een grootschalige DDoS-aanval moeten afweren die gericht was op één van onze klanten. In deze post leggen we transparant uit wat er precies gebeurde, hoe we hebben gereageerd, welke impact dit had, en welke maatregelen we nemen om onze infrastructuur verder te versterken.

Wat is er gebeurd?

Rond 16:28 uur lokale tijd zagen we een plotselinge toename in verkeer naar één specifieke shop op onze infrastructuur. In enkele minuten ontvingen we meer dan 30 miljoen requests, hoofdzakelijk afkomstig van verspreide IP-adressen wereldwijd. De aanval had een duidelijk doel: onze infrastructuur plat trekken.

Wat is een DDoS aanval?

Een DDoS-aanval beschadigt websites en servers door netwerkservices te verstoren in een poging om de resources van een toepassing uit te putten. De plegers van deze aanvallen overspoelen een site met ongewenst verkeer, wat erin resulteert dat de prestaties van de website verslechteren of dat de website helemaal offline gaat. Deze aanvallen komen steeds vaker voor, in Q1 2025 zijn er even veel DDoS aanvallen geweest als in heel 2024 (bron).

Hoe hebben we gereageerd?

Onze infrastructuur wordt stevig beveiligd door een firewall (CloudFlare) die haar werk gedaan heeft - tot 98% van de aanval werd volledig automatisch gemitigeerd. De overige 2% bereikte onze infrastructuur en had een manuele interventie nodig door onze cloud specialisten.

Onze onmiddellijke mitigatie bestond uit het activeren van "Under Attack Mode" op het hele platform. Dit heeft als effect gehad dat de aanval onmiddelijk 100% werd opgevangen en de webshops terug beschikbaar waren. Dit had echter als nadeel dat bepaalde onderdelen van de toepassing stopten met werken (zoals bv. het ontvangen van betalingen en het printen van tickets).

De daaropvolgende acties hadden als doel om de volledige werking van het platform te herstellen:

• Specifieke landen werden permanent uitgesloten van het platform
• Andere landen kregen wel toegang, maar werden gevraagd om een 'challenge' op te lossen
• Bepaalde gedragspatronen werden geblokkeerd
• Bepaalde pagina's werden in 'extra beveiliging' geplaatst

Tegen 17:03 was de aanval volledig gemitigeerd en heeft het platform haar werking kunnen hervatten.

De rest van het weekend zijn er verschillende nieuwe pogingen ondernomen door de aanvallers om het systeem te destabiliseren, die door de genomen maatregelen onmiddelijk werden tegengehouden.

Wat doen we om dit in de toekomst te voorkomen?

We hebben bepaalde lessen getrokken uit het incident die we graag meedelen.

• We kunnen bepaalde webshops vanaf nu apart in isolatie plaatsen, zonder heel het platform te impacteren
• We hebben slimme regels geimplementeerd die bepaald surfgedrag als wantrouwig markeert en stopt
• We zorgen er voor dat het printen van kiosk & app ticketjes niet meer geimpacteerd kan worden door een dergelijke aanval
• We bekijken met CCV en Worldline de mogelijkheden om offline betalingen te accepteren in onze kassa's
• We hebben de aanval gemeld bij het Belgisch en Europees cybersecurity centrum

En tenslotte: we hebben samen gezeten met CloudFlare en hebben een SLA afgesloten van 100% tegenover 98%. Dit betekent dat toekomstige aanvallen 100% geautomatiseerd worden tegengehouden door onze firewall. Daarbovenop nodigen we een team van security experten uit voor een volledige proactieve audit van het systeem - om zo eventuele toekomstige incidenten te voorkomen.

Tenslotte

We nodigen jullie uit om de statuspagina van Unipage te consulteren bij twijfel - dit is een systeem van een derde partij die transparant ons systeem monitort. Bij incidenten is dat de eerste plek waar er zal worden gecommuniceerd.