„Citrix“ tiria duomenų pažeidimo atvejį, kai klientų duomenys randami pardavimui internetu
„Citrix“ yra viena didžiausių debesų kompiuterijos ir programinės įrangos kompanijų pasaulyje. Jo produktus naudoja vyriausybinės agentūros ir „Fortune 500“ kompanijos visame pasaulyje, todėl tikrai neturėtų stebinti, kad jis dažnai patenka į įsilaužėlių žvilgsnius.
Pirmasis kibernetinio saugumo incidentas įvyko 2015 m., Kai įsilaužėjui pavyko sugadinti vieną iš „Citrix“ turinio valdymo serverių. Iš dalies dėl didžiulių vardų, esančių įmonės klientų sąraše, naujienos buvo plačiai aprėptos žiniasklaidoje, tačiau 2016 m. Sausio mėn. Tinklo milžinė paaiškino, kad jokie klientų duomenys nebuvo pažeisti.
Viskas buvo kiek kitaip praėjusių metų kovą, kai „Citrix“ paviešino dar vieną sėkmingą išpuolį prieš savo vidaus tinklą. Naudodami metodą, vadinamą slaptažodžių purškimu, įsilaužėliai (kurie buvo tariamai susiję su Iranu) sukompromitavo kai kurias „Citrix“ vidines paskyras ir mėgino išfiltruoti duomenis, kurie priklauso NASA ir FTB. Ar jie buvo sėkmingi, iki šiol nežinoma.
Antradienį tyrėjai, dirbantys grėsmės žvalgybos kompanijoje, vadinamoje „Po pažeidimu“, pastebėjo, kad kibernetinis nusikaltėlis parduoda „Citrix“ klientų duomenis pogrindiniame forume, ir jie manė, kad jie atsidūrė déjà vu akimirkoje.
Table of Contents
Hakeris parduoda 2 milijonus „Citrix“ klientų įrašų už 20 000 USD
Tyrėjai susisiekė su pardavėju, kad sužinotų daugiau apie duomenų bazę. Per asmeninį pokalbį su sukčiais sužinojo, kad duomenų bazėje yra 2 milijonų „Citrix“ klientų vardai, telefonų numeriai, el. Pašto adresai ir fiziniai adresai bei įmonių pavadinimai. Jiems buvo pateiktas pavyzdys, įrodantis, kad duomenys yra tikri, ir jiems buvo pasakyta, kad jei jie nori visos duomenų bazės, jiems reikia pašalinti 2,15 BTC, tai yra šiek tiek mažiau nei 20 tūkst. USD. Kai tyrėjai paklausė apie duomenų šaltinį, pardavėjas tvirtino, kad duomenis pateikė pats „Citrix“, o ne iš trečiųjų šalių.
Kitur įsilaužimų forumuose grėsmės aktorius gąsdino ir puolant „Citrix“. Remiantis jų žiniomis, jie buvo išnaikinę daugybę įmonės duomenų ir grasino jai išpirkos programine infekcija. Tačiau „Citrix“ sako, kad taip nėra iš tikrųjų.
Anot „Citrix“, įsilaužėliai pavogė duomenis iš trečiosios šalies
Antradienį „Citrix“ vyriausiasis informacijos saugumo pareigūnas (CISO) Ferminas Serna paskelbė tinklaraščio įrašą, kad galėtų šiek tiek išsiaiškinti šį klausimą ir išsklaidyti kai kuriuos įsilaužėlių teiginius. „Serna“ teigė, kad bendrovė tiria visus įspėjimus, susijusius su klientų duomenų saugumu, tačiau jis taip pat atkreipė dėmesį, kad iki šiol nemato „įrodymų“ apie „Citrix“ tinklo kompromisą.
Pavogti įrašai, matyt, yra iš trečiosios šalies, kuri dirba su „Citrix“. Minėta trečioji šalis žino apie įvykį ir jau išvedė įsibrovėlį. Tyrimas vis dar gali būti tęsiamas, tačiau „Serna“ įsitikinusi, kad užpuolikai negalėjo pasiekti „Citrix“ tinklo per trečiąją šalį. Jis taip pat atkreipė dėmesį, kad vienintelis dalykas, kurį įsilaužėliai galėjo pavogti, yra „mažo jautrumo verslo informacija“. Kol kas viešai prieinami įrodymai tarsi patvirtina Sernos žodžius, tačiau tikras išvadas galima padaryti tik tada, kai paaiškės visi faktai.
Dar viena organizacija atskleidžia trečiųjų šalių pažeidimus
Nenuostabu, kad pažeidimą patyrusi trečioji šalis kol kas lieka bevardė, o tai nėra taip nuostabu, atsižvelgiant į tai, kad tyrimas dar nesibaigė. Vis dėlto reikia pasakyti, kad „Citrix“ nėra vienintelė įmonė, atskleidusi pažeidimus partnerių tarnyboje, kuri tvarko duomenis.
Neseniai „ LiveAuctioneers“ ir „ Dunzo“ pranešė apie nutekėjimą, įvykusį dėl išpuolio prieš trečiųjų šalių duomenų tvarkymo partnerį. Vėlgi, pažeidžiamų organizacijų pavadinimai lieka nežinomi, o tai reiškia, kad mes negalime pasakyti, ar yra ryšys tarp šių incidentų.
„LiveAuctioneers“, „Dunzo“ ir „Citrix“ atskleidimai yra tokie panašūs, tačiau jie yra taip griežtai sugrupuoti pagal laiką, tačiau negalime atmesti galimybės, kad gali kilti ryšys.
