Citrix undersøger en dataovertrædelseshændelse, når kundernes data er fundet til salg online
Citrix er en af de største cloud computing- og softwarevirksomheder i verden. Dens produkter bruges af regeringsorganer og Fortune 500-virksomheder over hele kloden, så det burde ikke rigtig være en overraskelse, at det ofte falder ind i hackernes seværdigheder.
Den første cybersikkerhedshændelse fandt sted i 2015, da en hacker formåede at kompromittere en af Citrix's indholdsstyringsservere. Til dels takket være de enorme navne på virksomhedens liste over klienter, blev nyhederne omfattet omfattende af medierne, men i januar 2016 forklarede netværksgiganten, at ingen kundedata blev kompromitteret.
Tingene var lidt anderledes i marts sidste år, da Citrix afslørede endnu et vellykket angreb mod sit interne netværk. Ved hjælp af en teknik kaldet password-spraying kompromitterede hackere (der angiveligt var knyttet til Iran) nogle interne Citrix-konti og prøvede at udfiltrere data, der hører til NASA og FBI. Hvorvidt de havde succes er stadig ukendt i dag.
Tirsdag bemærkede forskere, der arbejdede for et trusseludstyrsfirma kaldet Under the Breach, at en cyberkriminel sælger Citrix kundedata på et underjordisk forum, og de troede, at de var i et déjà vu-øjeblik.
Table of Contents
En hacker sælger 2 millioner Citrix kundeposter for $ 20.000
Forskerne kom i kontakt med sælgeren for at finde ud af mere om databasen. Under en privat samtale med skurkerne lærte de, at databasen indeholdt navn, telefonnummer, e-mail og fysiske adresser og firmanavne på 2 millioner Citrix-kunder. De fik en prøve som bevis for, at dataene er reelle og fik at vide, at hvis de ønsker hele databasen, skal de udskudte 2,15 BTC, hvilket er lige under $ 20 tusind. Da forskerne spurgte om datakilden, var sælgeren fast ved, at de kom fra Citrix selv og ikke fra en tredjepart.
Andre steder på hackingforaene pralede en trusselskuespiller også om at angribe Citrix. I henhold til deres indlæg havde de udfiltreret en masse data fra virksomheden og truede dem med en ransomware-infektion. Citrix siger imidlertid, at dette ikke rigtig er tilfældet.
Ifølge Citrix stjal hackerne dataene fra en tredjepart
Tirsdag offentliggjorde Fermin Serna, Citrixs Chief Information Security Officer (CISO), et blogindlæg for at kaste lys over sagen og fordrive nogle af hackernes påstande. Serna sagde, at virksomheden undersøger alle alarmer, der vedrører sikkerheden i sine kunders data, men han påpegede også, at det indtil videre har set "intet bevis" for et kompromis med Citrix's netværk.
De stjålne poster kommer tilsyneladende fra en tredjepart, der samarbejder med Citrix. Den nævnte tredjepart kender hændelsen og har allerede sparket indtrængen ud. Undersøgelsen kan fortsat være i gang, men Serna er sikker på, at angriberen ikke kunne have fået adgang til Citrix's netværk gennem tredjepart. Han påpegede også, at det eneste, hackere kunne have stjålet, er "forretningsinformation med lav følsomhed." Indtil videre synes de offentligt tilgængelige beviser at støtte Sernas ord, men de reelle konklusioner kan først drages, når alle fakta er tilgængelige.
Endnu en anden organisation afslører et tredjepartsbrud
Ikke overraskende forbliver den tredjepart, der har lidt overtrædelsen, endnu ikke navngivet, hvilket ikke er så overraskende i betragtning af, at efterforskningen endnu ikke er forbi. Det skal dog siges, at Citrix ikke er det eneste firma, der afslører et brud på en samarbejdstjeneste, der behandler data.
For nylig rapporterede LiveAuctioneers og Dunzo om lækager, der skete på grund af et angreb på en tredjeparts databehandlingspartner. Endnu en gang forbliver navnene på de krænkede organisationer ukendte, hvilket betyder, at vi ikke kan sige, om der er en forbindelse mellem disse hændelser.
LiveAuctioneers-, Dunzo- og Citrix-afsløringerne er så ens, og de er så tæt grupperet tid, dog at vi ikke kan nedbringe muligheden for en potentiel sammenhæng.
