Cisco a confirmat astăzi că a luat portalul său public DevHub offline după ce un actor de amenințare a publicat date „non-publice”, dar continuă să afirme că nu există dovezi că sistemele sale au fost compromise.
„Am determinat că datele în discuție se află într-un mediu DevHub expus publicului – un centru de resurse Cisco care ne permite să sprijinim comunitatea noastră făcând disponibile coduri software, scripturi etc. pentru clienți să le folosească după cum este necesar,” se arată într-o declarație actualizată de la Cisco.
„La această etapă a investigației noastre, am determinat că un număr mic de fișiere care nu au fost autorizate pentru descărcare publică ar fi putut fi publicate.”
Cisco spune că nu există indicații că informații personale sau date financiare au fost furate, dar continuă să investigheze ce date ar fi putut fi accesate.
Această declarație vine după ce un actor de amenințare cunoscut sub numele de IntelBroker a pretins că a pătruns în Cisco și a încercat să vândă date și coduri sursă furate de la companie.
BleepingComputer a vorbit cu IntelBroker despre presupusa breșă, care a spus că a obținut acces la un mediu de dezvoltare al unui terț al Cisco printr-un token de API expus.
În timpul investigației Cisco, IntelBroker a devenit din ce în ce mai frustrat când compania nu ar fi recunoscut un incident de securitate, împărtășind capturi de ecran cu BleepingComputer pentru a dovedi că a avut acces la un mediu de dezvoltare Cisco.
Aceste capturi de ecran și fișiere, pe care le-am împărtășit și cu Cisco, arătau că actorul de amenințare a avut acces la cea mai mare parte, dacă nu chiar la toate datele stocate pe acest portal. Aceste date includ codul sursă, fișiere de configurare cu credențiale de bază de date, documentație tehnică și fișiere SQL.
Este neclar ce date ale clienților erau stocate pe aceste servere, și niciuna nu ne-a fost împărtășită.
IntelBroker a pretins în continuare că a avut acces până astăzi, când Cisco a blocat tot accesul la portal și mediul jFrog de dezvoltare compromis. Actorul de amenințare a mai spus că a pierdut accesul la un server Maven și Docker legat de portalul DevHub, dar nu a împărtășit nicio dovadă a acestui acces.
Atunci când i s-a întrebat dacă a încercat să șantajeze Cisco să nu publice datele furate, IntelBroker a spus că nu a încercat deoarece aceștia probabil nu ar fi avut încredere în el să-și țină cuvântul.
„Nu aș avea încredere într-un actor de amenințare dacă ar cere bani să nu-și divulge lucrurile mele, deci nici ei nu ar trebui,” a declarat IntelBroker pentru BleepingComputer.
În timp ce Cisco continuă să spună că nu au fost compromise sisteme, tot ce am văzut indică faptul că un dezvoltator al unui terț a fost compromis, permițând actorului de amenințare să fure date.
BleepingComputer a contactat Cisco cu întrebări suplimentare despre aceste afirmații, dar un răspuns nu a fost disponibil imediat.
Cisco investighează breșa după ce datele furate au fost puse în vânzare pe forumul de hacking
Disney renunță la Slack după o breșă de date masivă în iulie
Fortinet confirmă breșa de date după ce un hacker pretinde că a furat 440 GB de fișiere
Gigantul tech Nidec confirmă breșa de date după un atac de ransomware
Ransomware-ul BianLian susține un atac asupra medicilor de la Boston Children’s Health
Leave a Reply