Citrix undersöker en dataöverträdelsehändelse efter att kundens data hittades till försäljning online
Citrix är ett av världens största molnberäknings- och mjukvaruföretag. Dess produkter används av myndigheter och Fortune 500-företag över hela världen, så det borde verkligen inte vara en överraskning att det ofta faller in i hackarens sevärdheter.
Den första cybersäkerhetshändelsen inträffade 2015 då en hackare lyckades kompromissa med en av Citrixs innehållshanteringsserver. Delvis tack vare de enorma namnen i företagets lista över kunder täcktes nyheterna omfattande av media, men i januari 2016 förklarade nätverksjätten att ingen kundinformation komprometterades.
Sakerna var lite annorlunda i mars förra året då Citrix avslöjade ytterligare en framgångsrik attack mot sitt interna nätverk. Med hjälp av en teknik som kallas lösenordssprejning kompromitterade hackare (som påstås vara kopplade till Iran) vissa interna Citrix-konton och försökte exfiltrera data som tillhör NASA och FBI. Huruvida de var framgångsrika förblir okänd denna dag.
På tisdag märkte forskare som arbetar för ett hotintelligensföretag, Under the Breach, att en cyberkriminell säljer Citrix-kunddata på ett underjordiskt forum, och de trodde att de var i ett déjà vu-ögonblick.
Table of Contents
En hackare säljer 2 miljoner Citrix kundposter för 20 000 dollar
Forskarna kom i kontakt med säljaren för att ta reda på mer om databasen. Under en privat konversation med skurkarna fick de veta att databasen innehöll namn, telefonnummer, e-postadress och fysiska adresser och företagsnamn för 2 miljoner Citrix-kunder. De fick ett prov som bevis på att uppgifterna är verkliga och fick höra att om de vill ha hela databasen, måste de skylla ut 2,15 BTC, vilket är knappt 20 tusen dollar. När forskarna frågade om datakällan var säljaren fast vid att den kom från Citrix själv och inte från en tredje part.
På andra håll på forumet som hackade, skryter en hotskådespelare också om att attackera Citrix. Enligt deras inlägg hade de exponerat mycket data från företaget och hotade det med en ransomware-infektion. Citrix säger dock att detta inte riktigt är fallet.
Enligt Citrix stal hackarna uppgifterna från en tredje part
På tisdagen publicerade Fermin Serna, Citrixs chef för informationssäkerhet (CISO), ett blogginlägg för att belysa saken och skingra några av hackarens påståenden. Serna sa att företaget undersöker alla varningar som rör säkerheten för sina kunders data, men han påpekade också att det hittills har sett "inga bevis" på en kompromiss med Citrix nätverk.
De stulna dokumenten kommer uppenbarligen från en tredje part som arbetar med Citrix. Den nämnda tredje parten känner till händelsen och har redan kastat ut inkräktaren. Utredningen kan fortfarande pågå, men Serna är säker på att angriparna inte kunde ha fått tillgång till Citrix nätverk via tredje part. Han påpekade också att det enda hackarna kunde ha stulat är "affärsinformation med låg känslighet." Hittills tycks de offentligt tillgängliga bevisen stödja Sernas ord, men de verkliga slutsatserna kan bara dras när alla fakta är tillgängliga.
Ännu en annan organisation avslöjar ett överträdelse från tredje part
Inte överraskande förblir den tredje parten som drabbades av överträdelsen ännu inte nämnd, vilket inte är så förvånande med tanke på att utredningen inte är över än. Det måste emellertid sägas att Citrix inte är det enda företaget som avslöjar ett överträdelse vid en samarbetsservice som behandlar data.
Nyligen rapporterade LiveAuctioneers och Dunzo om läckor som inträffade på grund av en attack mot en tredjeparts databehandlingspartner. Återigen förblir namnen på de kränkta organisationerna okända, vilket betyder att vi inte kan säga om det finns en koppling mellan dessa incidenter.
Informationen om LiveAuctioneers, Dunzo och Citrix är så likadana, och de är så tätt gruppad tid, dock att vi inte kan diskontera möjligheten till en potentiell korrelation.
