Das amerikanische Business-Intelligence-Unternehmen Sisense warnte seine Kunden, praktisch alle in der Sisense-Anwendung verwendeten Passwörter, Schlüssel und Token zurückzusetzen.
Anfang dieser Woche sei es zu einem Datenverstoß gekommen, was darauf hindeutet, dass die Täter unterschiedliche Anmeldedaten und Sitzungstoken erhalten hätten.
Wie berichtet von KrebsOnSecurityAm vergangenen Mittwoch wandte sich Sangram Dash, Chief Information Security Officer von Sisense, an Kunden und sagte, das Unternehmen habe erfahren, dass „bestimmte Unternehmensinformationen von Sisense möglicherweise auf einem Server mit eingeschränktem Zugriff verfügbar gemacht wurden (der nicht allgemein verfügbar ist). Internet.)”
Kompromittiertes Gitlab
„Wir nehmen diese Angelegenheit ernst und haben umgehend eine Untersuchung eingeleitet“, fuhr Dash fort. „Wir haben branchenführende Experten engagiert, die uns bei der Untersuchung unterstützen. Diese Angelegenheit hat nicht zu einer Unterbrechung unseres Geschäftsbetriebs geführt. Aus größter Vorsicht und während wir die Ermittlungen fortsetzen, bitten wir Sie dringend, alle Anmeldeinformationen, die Sie in Ihrer Sisense-Anwendung verwenden, umgehend zu wechseln.“
In einer Folgenotiz sagte Sisense jedoch, dass Benutzer ihre Passwörter ändern, das Geheimnis im Abschnitt „Basiskonfigurationssicherheit“ ersetzen, alle Benutzer abmelden, sso.shared_secret aktualisieren, das x.509-Zertifikat rotieren und die Client-Geheimnisse rotieren sollten (für diese). unter Verwendung von OpenID) und nehmen Sie viele andere Aktualisierungen vor (die vollständige Liste finden Sie hier). Hier).
Der Verstoß scheint ziemlich alarmierend zu sein, da meldete sich sogar die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) zu Wort. In einer Warnung gab die Regierungsbehörde an, dass sie den Verstoß ebenfalls untersucht: „CISA übernimmt eine aktive Rolle bei der Zusammenarbeit mit Privatpersonen.“ Wir bitten unsere Industriepartner, auf diesen Vorfall zu reagieren, insbesondere im Zusammenhang mit betroffenen Organisationen im Bereich der kritischen Infrastruktur“, heißt es in der Warnung. „Wir werden Aktualisierungen bereitstellen, sobald weitere Informationen verfügbar sind.“
Während Sisense keine Details zur Art des Verstoßes mitteilte, stellte KrebsOnSecurity fest, dass es wahrscheinlich war, dass Hacker irgendwie in das Gitlab-Code-Repository des Unternehmens eingedrungen waren. Dieses Repo enthielt einen Token bzw. Zugangsdaten, der ihnen den Zugriff auf die Amazon S3-Buckets des Unternehmens in der Cloud ermöglichte. Von dort aus haben die Angreifer Terabytes an Kundendaten exfiltriert, darunter Zugangstoken, E-Mail-Passwörter und sogar SSL-Zertifikate.
All dies stammte von „zwei vertrauenswürdigen Quellen mit genauem Wissen über die Untersuchung des Verstoßes.“
