Op 29 oktober zag ik toevallig op Facebook een melding van Twinfield voorbij komen over een storing:
Twinfield zegt op 29 oktober om 17:39:
Op dit moment is de Twinfield webdienst niet beschikbaar, het is niet mogelijk om in te loggen. We werken hard aan een oplossing, excuses voor het ongemak.
Op dit moment is de loginpagina niet of slecht bereikbaar. We werken aan een oplossing, excuus voor het ongemak.
— Twinfield Accounting (@Twinfield) October 29, 2017
Voor veel Twinfield klanten kwam deze storing niet op het juiste moment i.v.m. de verwerking van de 3e kwartaal btw-aangifte. Ik was daarom wel benieuwd naar hoe Twinfield dit verder zou afhandelen. Later op de avond geeft Twinfield via Facebook meerdere keren aan dat er hard wordt gewerkt aan oplossing:
Twinfield zegt op 29 oktober om 20:18:
Hallo Inge en Geke, we zijn er met man en macht aan bezig. Het is een erg lastig probleem. Wanneer we iets kunnen melden, dan doen we dat direct. Excuus voor het ongemak.
Op dit moment geeft Twinfield al wel aan dat het een ‘erg lastig probleem’ is. Ik vind het dan altijd wel jammer dat er niet bij vermeld wat het precies zo lastig maakt. Er is blijkbaar wel geconcludeerd dat het lastig is, maar wat maakt het dan precies zo lastig?
Voor zover ik kan zien heeft Twinfield om 21:35 een laatste update gestuurd via Facebook:
Twinfield zegt op 29 oktober om 21:35:
Hi Ellen, ik hoop het, maar ik durf er nog niets over te zeggen. Het is erg lastig op te lossen, begrijp ik van de collega’s, die er hard aan werken. Excuus!
De volgende update via Facebook is de volgende ochtend:
Twinfield zegt op 30 oktober om 11:19:
Update 10:00u – Tijdens het onderzoek van het probleem hebben we een ongewone hoeveelheid verkeer gedetecteerd naar de Twinfield-webdienst. Als voorzorgsmaatregel hebben we Twinfield online boekhouden niet beschikbaar gemaakt. Er wordt hard gewerkt aan een oplossing. Onze excuses voor het ongemak!
Na een hele avond (en nacht?) hard werken is er een ongewone hoeveelheid verkeer gedetecteerd naar de Twinfield-webdienst. Persoonlijk vind ik zo’n update wel vrij mager als je de avond daarvoor meld dat er hard wordt gewerkt aan een oplossing.
Twinfield zegt op 30 oktober om 17:07:
Update 16:00u – Op dit moment kunnen we bevestigen dat onze storing het gevolg is van een ddos incident gericht op Twinfield. Door een aantal webservers werd een ongebruikelijk grote hoeveelheid data op Twinfield afgevuurd. Zoals eerder gemeld hebben we de webdienst uit voorzorg offline gehaald. We hopen snel weer online te zijn. Excuses voor het ongemak.
In mijn beleving staat ‘ongewone hoeveelheid verkeer’ wel enigszins gelijk aan ‘ddos incident’. Wat dat betreft vind ik deze update na 6 uren dan ook wel vrij minimaal.
Twinfield zegt op 30 oktober om 18:03:
We zijn blij om u te informeren dat de Twinfield webdienst weer online is.
Zoals gezegd kunnen we bevestigen dat de ongewone toename van het dataverkeer het gevolg is van een ddos-incident (distributed-denial-of-service). Zoals eerder gedeeld, hebben we de webdienst offline gebracht als een voorzorgsmaatregel, en op dit moment is er, buiten de onderbreking van beschikbaarheid, geen andere impact op klanten geïdentificeerd.
Op dit moment is het niet mogelijk om in te loggen op Twinfield online boekhouden via onze website op http://taxnl.wolterskluwer.com. Om toegang te krijgen tot het systeem gebruikt u onze beveiligde loginpagina https://login.twinfield.com.
Onze teams hebben gewerkt met standaardprotocollen om de webdienst zo snel mogelijk weer beschikbaar te maken. We beseffen dat deze situatie u tijdens een cruciale tijd heeft beïnvloed en we verontschuldigen ons voor het ongemak.
We blijven de activiteit rondom de webdienst volgen en informeren u uiteraard opnieuw als we opnieuw ongewone activiteit detecteren.
Om 18:03 kreeg ik per e-mail bericht dat de Twinfield webdienst weer online is. Wat ze hier precies bedoelen met ‘gewerkt met standaardprotocollen’ is me niet helemaal duidelijk. In ieder geval fijn dat de Twinfield webdienst weer online is.
Twinfield zegt op 31 oktober om 15:08:
Zoals u wellicht weet hebben we de afgelopen 48 uur te maken gehad met een ddos-incident (een ddos-incident is een poging van een onbekende partij om een online dienst te overweldigen met dataverkeer uit meerdere bronnen, waardoor de online dienst onbereikbaar wordt). Uit voorzorg hebben we de Twinfield webdienst offline gehaald en maatregelen genomen waardoor we de webdienst gistermiddag weer online hebben gebracht. Onze excuses voor het ongemak.
Het ddos-incident is externe activiteit die buiten onze controle valt. We hebben dit incident aan de juiste autoriteiten gerapporteerd. Naast de onderbreking van onze dienstverlening is er geen andere impact op klanten geïdentificeerd. We hebben tot nu toe geen bewijs voor penetratie van, inbraak in of vernietiging van klantgegevens. We blijven de activiteit rondom de webdienst volgen en nemen contact met u op als we ongewone activiteit detecteren.
Bij dit bericht vraag ik me af wat voor maatregelen er dan precies zijn genomen. Ook vind ik het jammer dat ze niet vermelden aan welke autoriteiten het incident is gerapporteerd. Verder begrijp ik ook niet wat Twinfield precies wil zeggen met de zin: “Het ddos-incident is externe activiteit die buiten onze controle valt.”.
Ik heb zelf gelukkig geen hinder gehad van de Twinfield storing, maar vind het wel jammer dat Twinfield niet duidelijker communiceert. Hopelijk gaat Twinfield bovenstaande zaken nog ophelderen en kunnen we in de toekomst zonder al te veel issues met Twinfield blijven werken.