Af Eskil Sørensen, 16/10/24
Cisco undersøger pt påstande om et brud, efter at en trusselsaktør begyndte at sælge angiveligt stjålne data på et hackingforum.
Det skriver BleepingComputer, der har fået opsnappet historien og fået den bekræftet af Cisco.
Således bekræfter en talsmand fra Cisco kendskabet til rapporter om, at en aktør hævder at have fået adgang til visse Cisco-relaterede filer, og at Cisco har iværksat en undersøgelse af påstanden.
Udtalelsen kommer efter at en kendt trusselsaktør ved navn "IntelBroker" har sagt, at han og to andre, der kalder sig "EnergyWeaponUser og "zjj" forårsagede et brud hos Cisco den 6. oktober 2024 og stjal en stor mængde udviklerdata fra virksomheden. Udsagnet findes i et indlæg på et hackerforum, hvor de kompromitterede data oplistes, og det er ikke så lidt: "Github-projekter, Gitlab-projekter, SonarQube-projekter, kildekode, hårdkodede legitimationsoplysninger, certifikater, kunde-SRC'er, Cisco fortrolige dokumenter, Jira-billetter, API-tokens, AWS Private buckets, Cisco Technology SRC'er, Docker Builds, Azure Storage buckets, Private og offentlige nøgler, SSL-certifikater, Cisco Premium-produkter og mere!,"
Skift adgangskoder
IntelBroker har også delt eksempler på de påståede stjålne data, herunder en database, kundeoplysninger, diverse kundedokumentation og skærmbilleder af kundeadministrationsportaler. Dog er der ikke delt detaljer om, hvordan dataene blev fremskaffet.
IntelBroker er en kendt aktør i hackerkredse og har tidligere på året solgt data fra andre virksomheder: Fx begyndte IntelBroker i juni at sælge eller lække data fra adskillige virksomheder, herunder T-Mobile, AMD og Apple. Kilder, der er bekendt med angrebet, har sagt til BleepingComputer, at data blev stjålet fra en tredjeparts udbyder af administrerede tjenester til DevOps og softwareudvikling.
Det fremgår ikke, om Cisco-bruddet er relateret til bruddene i juni.
En af DKCERTs samarbejdspartnere oplyser, at de i forbindelse med hændelsen er blevet opfordret til at skifte adgangskoder og sørge for at implementere to-faktorlogin, hvor det er relevant.
Links: