Cisco bugün, bir tehdit aktörünün “kamuya açık olmayan” verileri sızdırmasının ardından halka açık DevHub portalını çevrimdışına aldığını doğruladı ancak sistemlerinin ihlal edildiğine dair hiçbir kanıt olmadığını belirtmeye devam ediyor.
“Söz konusu verilerin halka açık bir DevHub ortamında olduğunu belirledik; bu, müşterilerimizin ihtiyaç duyduğunda kullanması için yazılım kodunu, komut dosyalarını vb. kullanıma sunarak topluluğumuzu desteklememizi sağlayan bir Cisco kaynak merkezidir.” Cisco’dan açıklama.
“Araştırmamızın bu aşamasında, herkese açık olarak indirilmesine izin verilmeyen az sayıda dosyanın yayınlanmış olabileceğini belirledik.”
Cisco, kişisel bilgilerin veya finansal verilerin çalındığına dair herhangi bir belirti olmadığını ancak hangi verilere erişilmiş olabileceğini araştırmaya devam ettiğini söyledi.
Bu açıklama, IntelBroker olarak bilinen bir tehdit aktörünün Cisco’yu ihlal ettiğini ve şirketten çalınan verileri ve kaynak kodunu satmaya çalıştığını iddia etmesinden sonra geldi.
Kaynak: BleepingComputer
BleepingComputer, iddia edilen ihlal hakkında IntelBroker ile konuştu ve IntelBroker, açığa çıkan bir API belirteci aracılığıyla Cisco üçüncü taraf geliştirici ortamına erişim sağladığını söyledi.
Cisco’nun araştırması sırasında IntelBroker, şirketin bir güvenlik olayını kabul etmemesi nedeniyle giderek daha fazla hayal kırıklığına uğradı ve Cisco geliştirici ortamına erişimi olduğunu kanıtlamak için ekran görüntülerini BleepingComputer ile paylaştı.
Cisco ile de paylaştığımız bu ekran görüntüleri ve dosyalar, tehdit aktörünün bu portalda depolanan verilerin tamamına olmasa da çoğuna erişimi olduğunu gösterdi. Bu veriler kaynak kodunu, veritabanı kimlik bilgilerini içeren yapılandırma dosyalarını, teknik belgeleri ve SQL dosyalarını içeriyordu.
Bu sunucularda hangi müşteri verilerinin saklandığı belli değil ve hiçbiri bizimle paylaşılmadı.
IntelBroker ayrıca, Cisco’nun portala ve güvenliği ihlal edilmiş jFrog geliştirici ortamına tüm erişimi engellediği bugüne kadar erişimin devam ettiğini iddia etti. Tehdit aktörü ayrıca DevHub portalıyla ilgili Maven ve Docker sunucusuna erişimini kaybettiğini ancak söz konusu erişime ilişkin herhangi bir kanıt paylaşmadığını söyledi.
Cisco’ya çalınan verileri yayınlamaması için şantaj yapıp yapmadığı sorulduğunda IntelBroker, sözünü tutması konusunda ona güvenmeyecekleri için denemediğini söyledi.
IntelBroker, BleepingComputer’a şunları söyledi: “Bir tehdit aktörü, eşyalarımı sızdırmamak için para isterse güvenmem, dolayısıyla da yapmamalılar.”
Cisco hiçbir sistemin ihlal edilmediğini söylemeye devam etse de gördüğümüz her şey üçüncü taraf bir geliştirmenin ihlal edildiğini ve tehdit aktörünün verileri çalmasına olanak sağladığını gösteriyor.
BleepingComputer bu iddialarla ilgili daha fazla soru sormak için Cisco’ya ulaştı ancak hemen bir yanıt alınamadı.