Citrix esplora un incidente di violazione dei dati dopo che i dati dei clienti sono stati trovati in vendita online
Citrix è una delle più grandi società di cloud computing e software al mondo. I suoi prodotti sono utilizzati da agenzie governative e aziende di Fortune 500 in tutto il mondo, quindi non dovrebbe essere una sorpresa il fatto che spesso cada negli occhi degli hacker.
Il primo incidente di sicurezza informatica si è verificato nel 2015 quando un hacker è riuscito a compromettere uno dei server di gestione dei contenuti di Citrix. Grazie in parte ai grandi nomi nella lista dei clienti dell'azienda, la notizia è stata ampiamente trattata dai media, ma a gennaio 2016 il colosso della rete ha spiegato che nessun dato sui clienti era stato compromesso.
Le cose erano un po 'diverse nel marzo dell'anno scorso quando Citrix ha rivelato un altro attacco riuscito contro la sua rete interna. Usando una tecnica chiamata spruzzo di password, gli hacker (che erano presumibilmente collegati all'Iran) hanno compromesso alcuni account Citrix interni e hanno cercato di esfiltrare i dati che appartengono alla NASA e all'FBI. Non è ancora noto se abbiano avuto successo.
Martedì, i ricercatori che lavorano per una società di intelligence sulle minacce chiamata Under the Breach hanno notato che un criminale informatico sta vendendo i dati dei clienti Citrix su un forum sotterraneo e hanno pensato di essere in un momento di déjà vu.
Table of Contents
Un hacker vende 2 milioni di record di clienti Citrix per $ 20.000
I ricercatori hanno contattato il venditore per saperne di più sul database. Durante una conversazione privata con i criminali, hanno appreso che il database conteneva nomi, numeri di telefono, e-mail e indirizzi fisici e nomi di società di 2 milioni di clienti Citrix. È stato loro fornito un campione come prova che i dati sono reali e gli è stato detto che se vogliono l'intero database, devono sborsare 2,15 BTC, che è poco meno di $ 20 mila. Quando i ricercatori hanno chiesto la fonte dei dati, il venditore era fermamente convinto che provenisse dalla stessa Citrix e non da una terza parte.
Altrove nei forum di hacking, anche un attore di minacce si stava vantando di attaccare Citrix. Secondo i loro post, avevano esfiltrato molti dati dalla società e li stavano minacciando con un'infezione da ransomware. Citrix, tuttavia, afferma che non è proprio così.
Secondo Citrix, gli hacker hanno rubato i dati a terzi
Martedì Fermin Serna, Chief Information Security Officer (CISO) di Citrix, ha pubblicato un post sul blog per fare luce sulla questione e dissipare alcune delle affermazioni degli hacker. Serna ha dichiarato che la società sta indagando su tutti gli avvisi che riguardano la sicurezza dei dati dei suoi clienti, ma ha anche sottolineato che finora non ha visto "nessuna prova" di un compromesso della rete Citrix.
I record rubati provengono apparentemente da una terza parte che lavora con Citrix. La terza parte è a conoscenza dell'incidente e ha già espulso l'intruso. L'indagine potrebbe essere ancora in corso, ma Serna è certa che gli aggressori non avrebbero potuto accedere alla rete di Citrix attraverso la terza parte. Ha anche sottolineato che l'unica cosa che gli hacker potrebbero aver rubato sono "informazioni commerciali a bassa sensibilità". Finora, le prove pubblicamente disponibili sembrano appoggiare le parole di Serna, ma le vere conclusioni possono essere tratte solo dopo che tutti i fatti sono disponibili.
Ancora un'altra organizzazione rivela una violazione di terze parti
Non sorprende che la terza parte che ha subito la violazione rimanga senza nome per ora, il che non è così sorprendente dato il fatto che l'indagine non è ancora finita. Va detto, tuttavia, che Citrix non è l'unica azienda a rivelare una violazione in un servizio di partnership che elabora i dati.
Di recente, LiveAuctioneers e Dunzo hanno segnalato perdite verificatesi a causa di un attacco a un partner di elaborazione dati di terze parti. Ancora una volta, i nomi delle organizzazioni violate rimangono sconosciuti, il che significa che non possiamo dire se esiste un collegamento tra questi incidenti.
Le divulgazioni di LiveAuctioneers, Dunzo e Citrix sono così simili, e sono così strettamente raggruppate nel tempo, tuttavia, che non possiamo scartare la possibilità di una potenziale correlazione.
