Citrix verkent een datalekincident nadat de gegevens van klanten online te koop zijn gevonden
Citrix is een van de grootste cloud computing- en softwarebedrijven ter wereld. De producten worden gebruikt door overheidsinstanties en Fortune 500-bedrijven over de hele wereld, dus het hoeft geen verrassing te zijn dat het vaak in het vizier van hackers valt.
Het eerste cybersecurity-incident vond plaats in 2015 toen een hacker een van de contentmanagementservers van Citrix wist te compromitteren. Mede dankzij de enorme namen in de klantenlijst van het bedrijf werd het nieuws uitgebreid door de media besproken, maar in januari 2016 legde de netwerkgigant uit dat er geen klantgegevens in het gedrang kwamen.
In maart vorig jaar was de situatie een beetje anders toen Citrix opnieuw een succesvolle aanval op zijn interne netwerk onthulde. Met behulp van een techniek die wachtwoordverstuiving wordt genoemd, hebben hackers (die naar verluidt met Iran waren verbonden) een aantal interne Citrix-accounts gecompromitteerd en geprobeerd gegevens van NASA en de FBI te exfiltreren. Of ze succesvol waren, is tot op de dag van vandaag onbekend.
Dinsdag merkten onderzoekers die voor een bedreigingsinformatiebedrijf genaamd Under the Breach werkten op dat een cybercrimineel Citrix-klantgegevens verkoopt op een ondergronds forum, en ze dachten dat ze een déjà vu-moment zouden krijgen.
Table of Contents
Een hacker verkoopt 2 miljoen Citrix-klantrecords voor $ 20.000
De onderzoekers namen contact op met de verkoper om meer te weten te komen over de database. Tijdens een privégesprek met de boeven ontdekten ze dat de database de namen, telefoonnummers, e-mailadressen en fysieke adressen en bedrijfsnamen van 2 miljoen Citrix-klanten bevatte. Ze kregen een monster als bewijs dat de gegevens echt zijn en kregen te horen dat als ze de hele database willen, ze 2,15 BTC moeten betalen, wat iets minder is dan $ 20 duizend. Toen de onderzoekers vroegen naar de bron van de gegevens, was de verkoper er stellig van overtuigd dat deze afkomstig was van Citrix zelf en niet van een derde partij.
Elders op de hackforums schepte een bedreigingsacteur ook op over het aanvallen van Citrix. Volgens hun berichten hadden ze veel gegevens van het bedrijf gefilterd en bedreigden ze deze met een ransomware-infectie. Citrix zegt echter dat dit niet echt het geval is.
Volgens Citrix hebben de hackers de gegevens van een derde partij gestolen
Dinsdag publiceerde Fermin Serna, de Chief Information Security Officer (CISO) van Citrix, een blogpost om licht te werpen op de zaak en een aantal van de beweringen van de hackers te weerleggen. Serna zei dat het bedrijf alle waarschuwingen onderzoekt die betrekking hebben op de beveiliging van de gegevens van zijn klanten, maar hij wees er ook op dat het tot dusver "geen bewijs" heeft gezien van een compromis van het netwerk van Citrix.
De gestolen records zijn blijkbaar afkomstig van een derde partij die met Citrix werkt. De genoemde derde partij is op de hoogte van het incident en heeft de indringer er al uit geschopt. Het onderzoek is mogelijk nog aan de gang, maar Serna is er zeker van dat de aanvallers via de derde partij geen toegang tot het netwerk van Citrix hadden kunnen krijgen. Hij wees er ook op dat het enige dat de hackers hadden kunnen stelen "bedrijfsgevoelige bedrijfsinformatie" is. Tot dusver lijkt het openbaar beschikbare bewijs de woorden van Serna te ondersteunen, maar de echte conclusies kunnen pas worden getrokken nadat alle feiten beschikbaar zijn.
Weer een andere organisatie meldt een inbreuk van een derde partij
Het is niet verrassend dat de derde partij die de inbreuk heeft geleden voorlopig niet bij naam wordt genoemd, wat niet zo verrassend is gezien het feit dat het onderzoek nog niet is afgelopen. Het moet echter worden gezegd dat Citrix niet het enige bedrijf is dat een inbreuk meldt bij een partnerdienst die gegevens verwerkt.
Onlangs meldden LiveAuctioneers en Dunzo lekken die zijn opgetreden als gevolg van een aanval op een externe gegevensverwerkingspartner. Nogmaals, de namen van de gehackte organisaties blijven onbekend, wat betekent dat we niet kunnen zeggen of er een verband bestaat tussen deze incidenten.
De onthullingen van LiveAuctioneers, Dunzo en Citrix zijn zo vergelijkbaar en ze zijn echter zo strak gegroepeerd qua tijd dat we de mogelijkheid van een mogelijke correlatie niet kunnen negeren.
