Hintli siber güvenlik firması Cloudsek, bir tehdit oyuncunun, çalışanlarının JIRA hesaplarından biri için çalınan kimlik bilgilerini kullanarak Confluence sunucusuna erişim kazandığını söyledi.
Ürün gösterge tablolarının ekran görüntüleri ile üç müşterinin adı ve satın alma siparişleri de dahil olmak üzere bazı dahili bilgiler, Consluence Wiki'den ortaya çıkarılırken, CloudSek, saldırganların veritabanlarından ödün vermediğini söyledi.
Şirketin CEO'su ve kurucusu Rahul Sasi Salı günü yaptığı açıklamada, "CloudSek'e hedeflenen bir siber saldırıyı araştırıyoruz. Bir çalışanın JIRA şifresi, izdiham sayfalarımıza erişmek için tehlikeye atıldı." Dedi.
Bunun yerine, çalınan JIRA kimlik bilgilerini kullanarak, tehdit oyuncusu eğitim ve dahili belgelere, izdiham sayfalarına ve Jira'ya bağlı açık kaynaklı otomasyon komut dosyalarına erişebilir.
'Sedut' adlı bir tehdit oyuncusu, çok sayıda hack forumunda CloudSek'in "Ağları, XVIGIL, Kod tabanı, E -posta, Jira ve Sosyal Medya Hesaplarına" erişim olduğunu iddia ettikleri şeyi satmaya çalışıyor.
Ayrıca, ihlal edilen ve XSS hackleme forumlarını kazımak için kullanılan hesaplar için kullanıcı adları ve şifreler de dahil olmak üzere CloudSek ile ilgili bilgiler içeren görüntüleri sızdırdılar, çeşitli web sitesi tarayıcılarının nasıl kullanılacağı ve CloudSek'in veritabanı şeması, CloudSek Dashboard'u ve satın alma siparişlerini gösteren ekran görüntüleri .
Tehdit oyuncusu şimdi CloudSek'in iddia edilen veritabanını 10.000 $ ve Code tabanı ve çalışan/mühendislik ürünü belgelerini her biri 8.000 $ karşılığında satmaya çalışıyor.
Sasi Çarşamba günü, "Tehdit oyuncusu tarafından paylaşılan tüm ekran görüntüleri ve iddia edilen erişimler Jira biletlerine ve dahili izdiham sayfalarına kadar izlenebilir."
"Elastik DB, MySQL veritabanı şeması ve XVIGIL/PX'in ekran görüntüleri bile JIRA veya Confluence'da depolanan eğitim belgelerinden."
CloudSek, şüpheliler çemberini zaten sıkılaştırdı ve blog yazısında yapılan bir güncellemede Sasi, karanlık web geliştirmelerini izlemekle bilinen başka bir siber güvenlik şirketinin ihlalin arkasında olabileceğini iddia ediyor.
CloudSek CEO'su, "Saldırının arkasında karanlık web izlemesine giren kötü şöhretli bir siber güvenlik şirketinden şüpheleniyoruz." Diyor.
"Saldırı ve göstergeler, geçmişte gözlemlediğimiz benzer taktikleri kullanma konusunda kötü şöhretli bir geçmişe sahip bir saldırgana geri dönüyor."
BleepingComputer bugün daha fazla bilgi için daha önce ulaştı, ancak bir şirket sözcüsü CloudSek ihlaliden şüphelenilen siber güvenlik kıyafeti adı hakkında ek ayrıntılar vermeyi reddetti.
CloudSek sözcüsü Çarşamba günü BleepingComputer'a verdiği demeçte, "CloudSek'e hedeflenen bir saldırı hakkında bilgi sahibi olur olmaz, bilgilerle halka açıldık ve şeffaflık ruhuyla, blog yazımızdaki tüm bulgularımızı bu konuda güncelliyoruz."
Fast Company, yönetici yönetim kurulu üyesi bilgilerinin saldırıda çalınmadığını söylüyor
LastPass, bilgisayar korsanlarının yeni ihlalde müşteri verilerine eriştiğini söylüyor
Medibank, müşterilere verilerinin fidye yazılım çetesi tarafından sızdırıldığı konusunda uyarıyor
Dropbox, hacker 130 Github depolarını çaldıktan sonra ihlali açıklar
Twilio, Haziran'dan itibaren başka bir hack'i açıklıyor, ses kimlik avını suçluyor
Kaynak: Bleeping Computer