тхе Америчка агенција за сајбер безбедност и безбедност инфраструктуре ЦИСА је данас саопштила да истражује хакирање компаније за пословну интелигенцију Сисенсе, чији су производи дизајнирани да омогуће предузећима да виде онлајн статус више услуга трећих страна на једној контролној табли. ЦИСА је позвала све Сисенсе клијенте да ресетују све акредитиве и тајне које су можда подељене компанији, што је исти савет који је Сисенсе дао својим клијентима у среду увече.
Сисенсе, са седиштем у Њујорку, има више од хиљаду клијената у низу индустријских сектора, укључујући финансијске услуге, телекомуникације, здравствену заштиту и високо образовање. 10. априла год. Санграм Дасх, главни службеник за безбедност информација у Сисенсе-у Рекла је клијентима да је компанија упозната са извештајима да „неке корпоративне информације компаније Сисенсе могу бити доступне на ономе што нам је речено да је сервер са ограниченим приступом (који генерално није доступан на Интернету).“
„Ми ову ствар схватамо веома озбиљно и одмах смо започели истрагу“, наставио је Даш. „Ангажовали смо водеће стручњаке у индустрији да нам помогну у истрази. Ова ствар није резултирала прекидом наших пословних операција, а док настављамо да истражујемо, позивамо вас да одмах замените све акредитиве. користите у оквиру апликације Сенсе.
ЦИСА је у свом упозорењу навела да сарађује са приватним индустријским партнерима како би одговорила на недавни компромис који су открили независни истраживачи безбедности који укључују Сисенсе.
„ЦИСА игра активну улогу у сарадњи са индустријским партнерима из приватног сектора како би реаговала на овај инцидент, посебно у погледу погођених организација сектора критичне инфраструктуре“, наводи се у раштрканом упозорењу. „Пружићемо ажурирања како више информација буде доступно.”
Сисенсе је одбио да коментарише када је упитан о истинитости информација које су поделила два поуздана извора са интимним сазнањима о истрази кршења. Ови извори кажу да је кршење изгледа почело када су нападачи некако добили приступ Гитлаб-овом спремишту кода, а у том спремишту је постојао токен или акредитиви који су лошим момцима омогућили да приступе Сисенсе-овим Амазон С3 кантама у облаку.
Купци могу да користе Гитлаб или као решење хостовано у облаку на Гитлаб.цом или као примену којом се самостално управља. КребсОнСецурити разуме да је Сисенсе користио верзију Гитлаба којом се самостално управља.
Оба извора су рекли да су нападачи користили С3 приступ за копирање и филтрирање неколико терабајта Сисенсе корисничких података, који су очигледно укључивали милионе приступних токена, лозинке налога е-поште, па чак и ССЛ сертификате.
Инцидент поставља питања о томе да ли је Сисенсе чинио довољно да заштити осетљиве податке које су му клијенти поверили, као што је да ли је огроман обим украдених података о клијентима шифрован док је био на Амазоновим серверима у облаку.
Међутим, јасно је да непознати нападачи сада имају све акредитиве које су корисници Сисенсе користили на својим контролним таблама.
Хак такође показује да је Сисенсе донекле ограничен у акцијама чишћења које може да предузме у име купаца, јер су токени за приступ у суштини текстуалне датотеке на вашем рачунару које вам омогућавају да останете пријављени током дужег временског периода — понекад неограничено. У зависности од тога о којој услузи говоримо, можда ће бити могуће да нападачи поново користе ове приступне токене да би се аутентификовали као жртва без да морају да обезбеде важеће акредитиве.
Осим тога, на Сисенсе клијентима је у великој мери да одлуче да ли и када да промене лозинке за разне услуге трећих страна које су претходно поверили Сисенсе-у.
Раније данас, ПР фирма која ради са Сисенсеом контактирала је да види да ли КребсОнСецурити планира да објави било каква даља ажурирања о хаку (КребсОнСецурити је поставио снимак екрана е-поште ЦИСО клијента на оба ЛинкедИн И Мастодонт среда увече). Представник за односе с јавношћу рекао је да је Сисенсе желео да буде сигуран да имају прилику да коментаришу пре објављивања приче.
Али када се Сисенсе суочила са детаљима које су поделили моји извори, изгледа да се предомислила.
„Након консултација са Сисенсом, рекли су ми да не желе да одговоре“, рекао је представник за односе с јавношћу у одговору е-поштом.
Ажурирано у 18:49 ЕТ: Додато је појашњење да Сисенсе користи верзију Гитлаба која се хостује самостално, а не верзију у облаку којом управља Гитлаб.цом.
Такође, Сисенсе-ов ЦИСО Дасх је директно клијентима послао ажурирање. Најновији савет компаније је много детаљнији и укључује ресетовање потенцијално великог броја приступних токена у више технологија, укључујући акредитиве за Мицрософт Ацтиве Дирецтори, ГИТ акредитиве, токене за веб приступ и све тајне или токене за једнократну пријаву (ССО). .
Комплетна порука Дасх-а клијентима је у наставку:
„Добро вече,
Пратимо нашу претходну комуникацију од 10. априла 2024. у вези са извештајима да неке Сисенсе информације могу бити доступне на серверу са ограниченим приступом. Као што је поменуто, ову ствар схватамо озбиљно и наша истрага је у току.
Наши клијенти морају да ресетују све кључеве, токене или друге акредитиве у свом окружењу који се користе у апликацији Сисенсе.
Конкретно, морате:
– Промените своју лозинку: Промените све лозинке везане за Сисенсе на хттп://ми.сисенсе.цом
– Осим јединственог пријављивања:
– Замените тајну у одељку Сигурност основне конфигурације својим сопственим ГУИД/УУИД-ом.
– Ресетујте лозинке за све кориснике у апликацији Сисенсе.
– Одјавите се са свих корисника покретањем ГЕТ /апи/в1/аутхентицатион/логоут_алл под администраторским корисником.
– Јединствена пријава (ССО):
– Ако користите ССО ЈВТ за аутентификацију корисника у Сисенсе-у, мораћете да ажурирате ссо.схаред_сецрет у Сисенсе-у, а затим да користите новокреирану вредност на страни руковаоца ССО-а.
– Топло препоручујемо ротирање к.509 сертификата за вашег ССО САМЛ добављача идентитета.
– Ако користите ОпенИД, потребно је ротирати и тајну клијента.
– Након ових измена, ажурирајте ССО подешавања у Сисенсе-у са ревидираним вредностима.
– Одјавите се са свих корисника покретањем ГЕТ /апи/в1/аутхентицатион/логоут_алл под администраторским корисником.
– Акредитиви корисничке базе података: Ресетујте акредитиве у вашој бази података који су коришћени у апликацији Сисенсе да бисте обезбедили континуитет комуникације између система.
– Обрасци података: Промените сва корисничка имена и лозинке у низу везе са базом података у обрасцима података.
– Кориснички параметри: Ако користите функцију корисничких параметара, ресетујте је.
– Ацтиве Дирецтори/ЛДАП: Промените корисничко име и корисничку лозинку за кориснике чија се ауторизација користи за АД синхронизацију.
– ХТТП аутентификација за ГИТ: Уведите акредитиве у сваки ГИТ пројекат.
– Б2Д клијенти: Користите следећи позив АПИ ПАТЦХ апи/в2/б2д у одељку Администрација да бисте ажурирали Б2Д везу.
– Инфузионе апликације: Ротирајте повезане тастере.
– Токен за веб приступ: Ротирајте све токене.
– Наменски сервер е-поште: Управљајте повезаним акредитивима.
– Прилагођени код: Ресетујте све тајне које се појављују у бележницама помоћу прилагођеног кода.
Ако вам је потребна помоћ, пошаљите карту за корисничку подршку на хттпс://цоммунити.сисенсе.цом/т5/суппорт-портал/бд-п/СуппортПортал и означите је као критичну. Имамо наменски тим за реаговање у приправности да вам помогне у вези са вашим захтевима.
У Сисенсе-у придајемо највећи значај безбедности и посвећени смо успеху наших клијената. Захваљујемо вам на вашем партнерству и посвећености нашој заједничкој безбедности.
Сматра се,
Санграм Дасх
Главни службеник за безбедност информација
„Љубитељ пива. Предан научник поп културе. Нинџа кафе. Зли љубитељ зомбија. Организатор.“
More Stories
Промена ФДИЦ-а која богатим штедишама банака оставља мању заштиту
Предвиђање ПЕПЕ цене за 7 дана – 3 кључна фактора који ће помоћи Мемецоин-у
Беркшир Хатавеј Ворена Бафета извештава о оштром паду профита