Citrix explora um incidente de violação de dados após encontrar dados de clientes para venda on-line
A Citrix é uma das maiores empresas de computação em nuvem e software do mundo. Seus produtos são usados por agências governamentais e empresas da Fortune 500 em todo o mundo, portanto, não deve ser uma surpresa que muitas vezes caia na mira dos hackers.
O primeiro incidente de segurança cibernética ocorreu em 2015, quando um hacker conseguiu comprometer um dos servidores de gerenciamento de conteúdo da Citrix. Graças em parte aos grandes nomes da lista de clientes da empresa, as notícias foram amplamente abordadas pela mídia, mas em janeiro de 2016, a gigante das redes explicou que nenhum dado de cliente foi comprometido.
As coisas estavam um pouco diferentes em março do ano passado, quando a Citrix divulgou outro ataque bem-sucedido contra sua rede interna. Usando uma técnica chamada spray de senha, os hackers (que supostamente estavam vinculados ao Irã) comprometeram algumas contas internas da Citrix e tentaram filtrar dados pertencentes à NASA e ao FBI. Se eles tiveram sucesso permanece desconhecido até hoje.
Na terça-feira, os pesquisadores que trabalhavam para uma empresa de inteligência de ameaças chamada Under the Breach notaram que um cibercriminoso está vendendo dados de clientes da Citrix em um fórum secreto e pensaram que estavam em um momento de déjà vu.
Índice
Um hacker vende 2 milhões de registros de clientes da Citrix por US $ 20.000
Os pesquisadores entraram em contato com o vendedor para descobrir mais sobre o banco de dados. Durante uma conversa particular com os bandidos, eles descobriram que o banco de dados continha nomes, números de telefone, endereços de e-mail e endereços físicos e nomes de empresas de 2 milhões de clientes da Citrix. Eles receberam uma amostra como prova de que os dados são reais e foram informados de que, se desejam o banco de dados inteiro, precisam desembolsar 2,15 BTC, que é pouco menos de US $ 20 mil. Quando os pesquisadores perguntaram sobre a fonte dos dados, o vendedor estava convencido de que vinha da própria Citrix e não de terceiros.
Em outros lugares dos fóruns de hackers, um ator de ameaças também se gabava de atacar a Citrix. Segundo seus posts, eles haviam exfiltrado muitos dados da empresa e estavam ameaçando-os com uma infecção por ransomware. A Citrix, no entanto, diz que esse não é realmente o caso.
Segundo a Citrix, os hackers roubaram os dados de terceiros
Na terça-feira, Fermin Serna, diretor de segurança da informação da Citrix (CISO), publicou um post no blog para esclarecer o assunto e dissipar algumas das alegações dos hackers. Serna disse que a empresa está investigando todos os alertas que dizem respeito à segurança dos dados de seus clientes, mas também apontou que até agora não viu "nenhuma evidência" de um comprometimento da rede da Citrix.
Aparentemente, os registros roubados são provenientes de terceiros que trabalham com a Citrix. O referido terceiro sabe sobre o incidente e já expulsou o invasor. A investigação ainda pode estar em andamento, mas Serna tem certeza de que os invasores não poderiam ter acesso à rede da Citrix por meio de terceiros. Ele também apontou que a única coisa que os hackers poderiam ter roubado são "informações comerciais de baixa sensibilidade". Até agora, as evidências publicamente disponíveis parecem apoiar as palavras de Serna, mas as conclusões reais só podem ser tiradas depois que todos os fatos estiverem disponíveis.
Outra organização divulga uma violação de terceiros
Não é de surpreender que o terceiro que sofreu a violação permaneça sem nome por enquanto, o que não é tão surpreendente, considerando o fato de que a investigação ainda não terminou. É preciso dizer, no entanto, que a Citrix não é a única empresa que divulga uma violação em um serviço de parceria que processa dados.
Recentemente, LiveAuctioneers e Dunzo relataram vazamentos que ocorreram devido a um ataque a um parceiro de processamento de dados de terceiros. Mais uma vez, os nomes das organizações violadas permanecem desconhecidos, o que significa que não podemos dizer se há um vínculo entre esses incidentes.
As divulgações de LiveAuctioneers, Dunzo e Citrix são tão parecidas, e são tão bem agrupadas no tempo, no entanto, que não podemos descartar a possibilidade de uma possível correlação.
