A Citrix az adatok megsértésével kapcsolatos eseményt fedezi fel, miután az ügyfelek adatait online eladásra találták
A Citrix a világ egyik legnagyobb felhőalapú számítástechnikai és szoftvervállalata. Termékeit az állami ügynökségek és a Fortune 500 cégek használják szerte a világon, tehát nem kellene meglepőnek lennie, hogy gyakran a hackerek látnivalói közé tartozik.
Az első kiberbiztonsági eseményre 2015-ben került sor, amikor a hackereknek sikerült veszélybe sodorniuk a Citrix egyik tartalomkezelő szerverét. Részben a cég ügyféllistáján szereplő hatalmas neveknek köszönhetően a hírt széles körben a média fedte fel, de a hálózatépítő óriás 2016. januárjában elmagyarázta, hogy az ügyfelek adatait nem veszélyeztetik.
A dolgok egy kicsit más tavaly márciusban, amikor a Citrix közzétett újabb sikeres támadás ellen a belső hálózaton. Nevezett technikával egy jelszót permetezés, hackerek (amelyek állítólag kapcsolódó Irán) veszélybe néhány belső Citrix számlák és megpróbálta ledobottak tartozó adatokat a NASA és az FBI. A mai napig ismeretlen, hogy sikeresek voltak-e.
Kedden az Under Breach nevû fenyegetõ hírszerzõ társaságnál dolgozó kutatók észrevették, hogy egy kiberbûnözõ egy Citrix ügyféladatát egy földalatti fórumon értékesíti, és azt gondolták, hogy egy déjà vu pillanatban vannak.
Table of Contents
Egy hacker 2 millió Citrix ügyfélrekordot árul 20 000 dollárért
A kutatók kapcsolatba léptek az eladóval, hogy többet megtudjanak az adatbázisról. A csalókkal folytatott privát beszélgetés során megtudták, hogy az adatbázis 2 millió Citrix ügyfél nevét, telefonszámát, e-mail címét és fizikai címét, valamint cégnevét tartalmazza. Mintát kaptunk nekik, hogy bizonyítsák az adatok valódiságát, és azt mondták nekik, hogy ha a teljes adatbázist akarják, akkor 2,15 BTC-t kell kitölteniük, ami alig 20 ezer dollár. Amikor a kutatók megkérdezték az adatok forrását, az eladó határozottan állította, hogy az maga a Citrixből származik, nem pedig harmadik féltől.
A csapkodó fórumokon máshol egy fenyegető színész is bátorította a Citrix támadását. A hozzászólásaik szerint sok adatot kiszűrtek a társaságtól, és ransomware fertőzéssel fenyegették. A Citrix azonban azt mondja, hogy nem igazán ez a helyzet.
A Citrix szerint a hackerek harmadik személytől lopták az adatokat
Kedden Fermin Serna, a Citrix információbiztonsági főtitkára (CISO) blogbejegyzést tett közzé annak érdekében, hogy rávilágítson az ügyre, és eloszlassa a hackerek néhány állítását. Serna elmondta, hogy a társaság minden olyan riasztást kivizsgál, amely az ügyfelek adatainak biztonságát érinti, de rámutatott arra is, hogy eddig "nincs bizonyíték" a Citrix hálózatának kompromittációjára.
Az ellopott nyilvántartások nyilvánvalóan egy harmadik féltől származnak, amely a Citrix-szel együttműködik. Az említett harmadik fél ismeri az eseményt, és már kiszabadította a betolakodót. Lehet, hogy a nyomozás továbbra is folyamatban van, de Serna biztos abban, hogy a támadók harmadik fél útján nem juthattak volna el a Citrix hálózatához. Azt is rámutatott, hogy a hackerek csak az "alacsony érzékenységű üzleti információt" lophatták meg. Eddig úgy tűnik, hogy a nyilvánosan elérhető bizonyítékok Serna szavait támasztják alá, ám a valódi következtetéseket csak az összes tény rendelkezésre állása után lehet levonni.
Még egy szervezet harmadik fél általi jogsértést tesz fel
Nem meglepő, hogy a jogsértést elszenvedett harmadik személy egyelőre nem kap megnevezést, ami nem olyan meglepő, tekintettel arra a tényre, hogy a vizsgálat még nem ért véget. Azt azonban el kell mondani, hogy a Citrix nem az egyetlen olyan vállalat, amely az adatfeldolgozó partnerszolgáltatásnál feltárt jogsértést.
A közelmúltban a LiveAuctioneers és a Dunzo számoltak be olyan szivárgásokról, amelyek egy harmadik féltől származó adatfeldolgozó partner támadása miatt következtek be. A megsértett szervezetek neve ismét ismeretlen marad, ami azt jelenti, hogy nem mondhatjuk, van-e kapcsolat ezen események között.
A LiveAuctioneers, a Dunzo és a Citrix közzétételek annyira hasonlóak, és annyira szorosan vannak csoportosítva időben, hogy nem engedhetjük meg, hogy kizárjuk a potenciális korreláció lehetőségét.
