IL Agenzia statunitense per la sicurezza informatica e le infrastrutture La CISA ha dichiarato oggi che sta indagando sull'hacking della società di business intelligence Si senso, i cui prodotti sono progettati per consentire alle aziende di visualizzare lo stato online di più servizi di terze parti in un'unica dashboard. CISA ha esortato tutti i clienti Sisense a reimpostare tutte le credenziali e i segreti che potrebbero essere stati condivisi con l'azienda, che è lo stesso consiglio che Sisense ha dato ai suoi clienti mercoledì sera.
Sisense, con sede a New York, conta più di 1.000 clienti in una vasta gamma di settori industriali, tra cui servizi finanziari, telecomunicazioni, sanità e istruzione superiore. Il 10 aprile, Sangram Dash, responsabile della sicurezza informatica presso Sisense Ha detto ai clienti che la società è a conoscenza di segnalazioni secondo cui “alcune informazioni aziendali di Sisense potrebbero essere disponibili su quello che ci è stato detto essere un server ad accesso limitato (non generalmente disponibile su Internet)”.
“Prendiamo la questione molto sul serio e abbiamo avviato immediatamente un'indagine”, ha continuato Dash. “Abbiamo incaricato esperti leader del settore di assisterci nelle indagini. Questa questione non ha comportato un'interruzione delle nostre operazioni commerciali. Per estrema cautela e mentre continuiamo a indagare, vi esortiamo a sostituire immediatamente qualsiasi credenziale usi nella tua app Sisense.
La CISA ha affermato nella sua allerta che sta lavorando con partner del settore privato per rispondere al recente compromesso scoperto da ricercatori indipendenti sulla sicurezza che coinvolgono Sisense.
“La CISA sta svolgendo un ruolo attivo nella collaborazione con i partner del settore privato per rispondere a questo incidente, in particolare per quanto riguarda le organizzazioni del settore delle infrastrutture critiche colpite”, si legge nell'avviso sparso. “Forniremo aggiornamenti non appena saranno disponibili ulteriori informazioni.”
Sisense ha rifiutato di commentare quando gli è stato chiesto della veridicità delle informazioni condivise da due fonti affidabili con una conoscenza approfondita dell'indagine sulla violazione. Queste fonti hanno affermato che la violazione sembra essere iniziata quando gli aggressori in qualche modo hanno ottenuto l'accesso al repository di codici dell'azienda in Gitlab e quel repository conteneva un token o credenziali che consentivano ai malintenzionati di accedere ai bucket Amazon S3 di Sisense nel cloud.
Entrambe le fonti hanno affermato che gli aggressori hanno utilizzato l'accesso S3 per copiare e filtrare diversi terabyte di dati dei clienti Sisent, che apparentemente includevano milioni di token di accesso, password di account di posta elettronica e persino certificati SSL.
L'incidente solleva dubbi sul fatto che Sisense stesse facendo abbastanza per proteggere i dati sensibili che i clienti gli avevano affidato, ad esempio se l'enorme volume di dati dei clienti rubati fosse stato crittografato mentre si trovava nei server cloud di Amazon.
Tuttavia, è chiaro che gli aggressori sconosciuti ora dispongono di tutte le credenziali che i clienti Sisense utilizzavano nelle loro dashboard.
L'hacking mostra anche che Sisense è in qualche modo limitato nelle azioni di pulizia che può intraprendere per conto dei clienti, perché i token di accesso sono essenzialmente file di testo sul tuo computer che ti consentono di rimanere connesso per lunghi periodi di tempo, a volte indefinitamente. A seconda del servizio di cui stiamo parlando, gli aggressori potrebbero riutilizzare questi token di accesso per autenticarsi come vittima senza dover fornire credenziali valide.
Oltre a ciò, spetta in gran parte ai clienti Sisense decidere se e quando modificare le password per i vari servizi di terze parti precedentemente affidati a Sisense.
Oggi, una società di pubbliche relazioni che lavora con Sisense ha contattato per vedere se KrebsOnSecurity intendeva pubblicare ulteriori aggiornamenti sull'hacking (KrebsOnSecurity ha pubblicato uno screenshot dell'e-mail del cliente CISO a entrambi LinkedIn E Mastodonte Mercoledì sera). Il rappresentante delle pubbliche relazioni ha detto che Sisense voleva assicurarsi che avessero l'opportunità di commentare prima di pubblicare la storia.
Ma quando Sisense si è confrontata con i dettagli condivisi dalle mie fonti, sembra aver cambiato idea.
“Dopo essersi consultati con Sisense, mi hanno detto che non volevano rispondere”, ha detto il rappresentante delle pubbliche relazioni in una risposta via email.
Nicola Tessitoreun ricercatore presso l'Università della California, International Computer Science Institute (ICSI) di Berkeley e docente presso l'Università della California, Davis, ha affermato che la società a cui sono affidati molti accessi sensibili dovrebbe crittografare queste informazioni.
“Se ospitano i dati dei clienti su un sistema di terze parti come Amazon, è meglio crittografarli”, ha affermato Weaver. “Se chiedono alle persone di conservare le credenziali, significa che non sono state crittografate. Quindi il primo errore è lasciare le credenziali di Amazon nel tuo archivio Git. Il secondo errore è utilizzare S3 senza utilizzare la crittografia. Il primo è negativo ma tollerabile , ma quest'ultimo è imperdonabile considerando le sue azioni.
