Η Citrix διερευνά ένα περιστατικό παραβίασης δεδομένων αφού βρεθούν τα δεδομένα των πελατών προς πώληση στο Διαδίκτυο

Η Citrix είναι μία από τις μεγαλύτερες εταιρείες cloud computing και λογισμικού στον κόσμο. Τα προϊόντα του χρησιμοποιούνται από κυβερνητικές υπηρεσίες και εταιρείες Fortune 500 σε όλο τον κόσμο, οπότε δεν πρέπει να αποτελεί έκπληξη το γεγονός ότι συχνά πέφτει στα μάτια των χάκερ.

Το πρώτο περιστατικό ασφάλειας στον κυβερνοχώρο έλαβε χώρα το 2015 όταν ένας χάκερ κατάφερε να θέσει σε κίνδυνο έναν από τους διακομιστές διαχείρισης περιεχομένου της Citrix. Χάρη εν μέρει στα τεράστια ονόματα στη λίστα πελατών της εταιρείας, τα νέα καλύφθηκαν εκτενώς από τα μέσα μαζικής ενημέρωσης, αλλά τον Ιανουάριο του 2016, ο γίγαντας δικτύωσης εξήγησε ότι δεν διακυβεύτηκαν δεδομένα πελατών.

Τα πράγματα ήταν λίγο διαφορετικά τον Μάρτιο του περασμένου έτους, όταν η Citrix αποκάλυψε μια άλλη επιτυχημένη επίθεση εναντίον του εσωτερικού της δικτύου. Χρησιμοποιώντας μια τεχνική που ονομάζεται ψεκασμός κωδικού πρόσβασης, οι χάκερ (που φέρεται να ήταν συνδεδεμένοι με το Ιράν) έθεσαν σε κίνδυνο ορισμένους εσωτερικούς λογαριασμούς Citrix και προσπάθησαν να αποβάλουν δεδομένα που ανήκουν στη NASA και το FBI. Το αν ήταν επιτυχές παραμένει άγνωστο μέχρι σήμερα.

Την Τρίτη, ερευνητές που εργάζονταν για μια εταιρεία πληροφοριών απειλής με την ονομασία Under the Breach παρατήρησαν ότι ένας εγκληματίας στον κυβερνοχώρο πωλεί δεδομένα πελατών της Citrix σε ένα υπόγειο φόρουμ και πίστευαν ότι βρισκόταν για μια στιγμή.

Ένας χάκερ πωλεί 2 εκατομμύρια αρχεία πελατών Citrix για 20.000 $

Οι ερευνητές ήρθαν σε επαφή με τον πωλητή για να μάθουν περισσότερα σχετικά με τη βάση δεδομένων. Κατά τη διάρκεια μιας ιδιωτικής συνομιλίας με τους απατεώνες, έμαθαν ότι η βάση δεδομένων περιείχε τα ονόματα, τους αριθμούς τηλεφώνου, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τις φυσικές διευθύνσεις και τα ονόματα εταιρειών 2 εκατομμυρίων πελατών της Citrix. Τους δόθηκε ένα δείγμα ως απόδειξη ότι τα δεδομένα είναι αληθινά και τους είπαν ότι εάν θέλουν ολόκληρη τη βάση δεδομένων, θα πρέπει να πληρώσουν 2,15 BTC, που είναι μόλις κάτω από 20 χιλιάδες $. Όταν οι ερευνητές ρώτησαν για την προέλευση των δεδομένων, ο πωλητής ήταν αποφασισμένος να προέρχεται από το ίδιο το Citrix και όχι από τρίτο μέρος.

Αλλού στα φόρουμ πειρατείας, ένας ηθοποιός απειλής καυχιέται για να επιτεθεί και στη Citrix. Σύμφωνα με τις δημοσιεύσεις τους, είχαν αποβάλει πολλά δεδομένα από την εταιρεία και την απειλούσαν με λοίμωξη από ransomware. Ωστόσο, η Citrix λέει ότι αυτό δεν ισχύει.

Σύμφωνα με τη Citrix, οι χάκερ έκλεψαν τα δεδομένα από τρίτους

Την Τρίτη, ο Fermin Serna, Διευθυντής Ασφάλειας Πληροφοριών της Citrix (CISO), δημοσίευσε μια ανάρτηση ιστολογίου για να ρίξει λίγο φως στο θέμα και να διαλύσει ορισμένους από τους ισχυρισμούς των χάκερ. Η Serna είπε ότι η εταιρεία ερευνά όλες τις ειδοποιήσεις που αφορούν την ασφάλεια των δεδομένων των πελατών της, αλλά επεσήμανε επίσης ότι μέχρι στιγμής δεν έχει δει "κανένα στοιχείο" για συμβιβασμό του δικτύου της Citrix.

Τα κλεμμένα αρχεία προφανώς προέρχονται από τρίτο μέρος που συνεργάζεται με τη Citrix. Ο εν λόγω τρίτος γνωρίζει για το περιστατικό και έχει ήδη διώξει τον εισβολέα. Η έρευνα μπορεί να συνεχίζεται, αλλά η Serna είναι σίγουρη ότι οι επιτιθέμενοι δεν θα μπορούσαν να έχουν αποκτήσει πρόσβαση στο δίκτυο της Citrix μέσω του τρίτου μέρους. Επισήμανε επίσης ότι το μόνο πράγμα που θα μπορούσαν να κλέψουν οι χάκερ είναι "επιχειρηματικές πληροφορίες χαμηλής ευαισθησίας". Μέχρι στιγμής, τα διαθέσιμα στο κοινό στοιχεία φαίνεται να υποστηρίζουν τα λόγια της Serna, αλλά τα πραγματικά συμπεράσματα μπορούν να εξαχθούν μόνο αφού είναι διαθέσιμα όλα τα γεγονότα.

Ωστόσο, ένας άλλος οργανισμός αποκαλύπτει παραβίαση τρίτου μέρους

Δεν αποτελεί έκπληξη το γεγονός ότι το τρίτο μέρος που υπέστη την παραβίαση παραμένει ανώνυμο προς το παρόν, κάτι που δεν προκαλεί έκπληξη δεδομένου ότι η έρευνα δεν έχει τελειώσει ακόμη. Πρέπει να ειπωθεί, ωστόσο, ότι η Citrix δεν είναι η μόνη εταιρεία που αποκαλύπτει παραβίαση σε συνεργαζόμενη υπηρεσία που επεξεργάζεται δεδομένα.

Πρόσφατα, οι LiveAuctioneers και η Dunzo ανέφεραν διαρροές που συνέβησαν λόγω επίθεσης σε τρίτο συνεργάτη επεξεργασίας δεδομένων. Για άλλη μια φορά, τα ονόματα των παραβιασμένων οργανώσεων παραμένουν άγνωστα, πράγμα που σημαίνει ότι δεν μπορούμε να πούμε αν υπάρχει σχέση μεταξύ αυτών των περιστατικών.

Οι γνωστοποιήσεις LiveAuctioneers, Dunzo και Citrix είναι τόσο παρόμοιες και είναι τόσο αυστηρά ομαδοποιημένες, ωστόσο, που δεν μπορούμε να μειώσουμε την πιθανότητα πιθανής συσχέτισης.