Post-mortem: DDoS-aanval op Unipage 9 mei 2025

In deze post leggen we transparant uit wat er precies gebeurde, hoe we hebben gereageerd, welke impact dit had, en welke maatregelen we nemen om onze infrastructuur verder te versterken.

Op 9 mei 2025 heeft Unipage een grootschalige DDoS-aanval moeten afweren die gericht was op één van onze klanten. In deze post leggen we transparant uit wat er precies gebeurde, hoe we hebben gereageerd, welke impact dit had, en welke maatregelen we nemen om onze infrastructuur verder te versterken.

Wat is er gebeurd?

Rond 16:28 uur lokale tijd zagen we een plotselinge toename in verkeer naar één specifieke shop op onze infrastructuur. In enkele minuten ontvingen we meer dan 30 miljoen requests, hoofdzakelijk afkomstig van verspreide IP-adressen wereldwijd. De aanval had een duidelijk doel: onze infrastructuur plat trekken.

DDoS aanval gezien vanop onze firewall
DDoS aanval gezien vanop onze firewall

Wat is een DDoS aanval?

Een DDoS-aanval beschadigt websites en servers door netwerkservices te verstoren in een poging om de resources van een toepassing uit te putten. De plegers van deze aanvallen overspoelen een site met ongewenst verkeer, wat erin resulteert dat de prestaties van de website verslechteren of dat de website helemaal offline gaat. Deze aanvallen komen steeds vaker voor, in Q1 2025 zijn er even veel DDoS aanvallen geweest als in heel 2024 (bron).

Hoe hebben we gereageerd?

Onze infrastructuur wordt stevig beveiligd door een firewall (CloudFlare) die haar werk gedaan heeft - tot 98% van de aanval werd volledig automatisch gemitigeerd. De overige 2% bereikte onze infrastructuur en had een manuele interventie nodig door onze cloud specialisten.

Onze onmiddellijke mitigatie bestond uit het activeren van "Under Attack Mode" op het hele platform. Dit heeft als effect gehad dat de aanval onmiddelijk 100% werd opgevangen en de webshops terug beschikbaar waren. Dit had echter als nadeel dat bepaalde onderdelen van de toepassing stopten met werken (zoals bv. het ontvangen van betalingen en het printen van tickets).

De daaropvolgende acties hadden als doel om de volledige werking van het platform te herstellen:

  • Specifieke landen werden permanent uitgesloten van het platform

  • Andere landen kregen wel toegang, maar werden gevraagd om een 'challenge' op te lossen

  • Bepaalde gedragspatronen werden geblokkeerd

  • Bepaalde pagina's werden in 'extra beveiliging' geplaatst

Tegen 17:03 was de aanval volledig gemitigeerd en heeft het platform haar werking kunnen hervatten.

De rest van het weekend zijn er verschillende nieuwe pogingen ondernomen door de aanvallers om het systeem te destabiliseren, die door de genomen maatregelen onmiddelijk werden tegengehouden.

Voorbeeld challenge pagina
Voorbeeld challenge pagina

Wat doen we om dit in de toekomst te voorkomen?

We hebben bepaalde lessen getrokken uit het incident die we graag meedelen.

  • We kunnen bepaalde webshops vanaf nu apart in isolatie plaatsen, zonder heel het platform te impacteren

  • We hebben slimme regels geimplementeerd die bepaald surfgedrag als wantrouwig markeert en stopt

  • We zorgen er voor dat het printen van kiosk & app ticketjes niet meer geimpacteerd kan worden door een dergelijke aanval

  • We bekijken met CCV en Worldline de mogelijkheden om offline betalingen te accepteren in onze kassa's

  • We hebben de aanval gemeld bij het Belgisch en Europees cybersecurity centrum

En tenslotte: we hebben samen gezeten met CloudFlare en hebben een SLA afgesloten van 100% tegenover 98%. Dit betekent dat toekomstige aanvallen 100% geautomatiseerd worden tegengehouden door onze firewall. Daarbovenop nodigen we een team van security experten uit voor een volledige proactieve audit van het systeem - om zo eventuele toekomstige incidenten te voorkomen.

Tenslotte

We nodigen jullie uit om de statuspagina van Unipage te consulteren bij twijfel - dit is een systeem van een derde partij die transparant ons systeem monitort. Bij incidenten is dat de eerste plek waar er zal worden gecommuniceerd.

Veelgestelde vragen

Bekijk hier enkele veelgestelde vragen.

Is er een datalek geweest?

Neen, er is geen klantendata, besteldata, of eender welke gelekt. De aanval was enkel bedoeld om de infrastructuur plat te trekken.

Was mijn shop geviseerd?

Indien jouw shop geviseerd werd, hebben we je persoonlijk gecontacteerd.

Waarom had de kassa impact?

De kassa heeft impact gehad bij het verwerken van betalingen. De betalingen lopen namelijk via onze infrastructuur. Wij werken nauw samen met Worldline en CCV om dit offline mogelijk te maken. Mollie betaalterminals hebben tot heden verplicht een cloud infrastructuur nodig, dus hier zal op korte termijn geen wijziging gebeuren.

Als ik de beheerpagina bezoek wordt er gevraagd of ik een robot ben, waarom?

Dat is normaal, de beheerpagina zit in verhoogde beveiliging om te garanderen dat er zich geen storing meer voordoet.

Als ik de shop bezoek word ik volledig geblokkeerd, hoe komt dit?

Dat kan gebeuren als je bijvoorbeeld op reis bent in een land die we blokkeren. Gelieve een mailtje te sturen naar [email protected] met de vermelding van je shop en het land waar je verblijft, en wij zullen kijken hoe we een uitzondering toestaan.

Waar kan ik de status van het systeem opvolgen?

Dat kan door in de navigatiebalk hier bovenaan op 'status' te klikken, of door te surfen naar status.unipage.be

Interesse in een demo?

Wij contacteren u binnen de 24u voor een demo