17.02.2023: Hikaye ve başlık, her iki şirketin de yeni açıklamalarını yansıtacak şekilde güncellendi.
Atlassian, tehdit aktörlerinin üçüncü taraf bir satıcıdan veri çalmak için çalınan çalışan kimlik bilgilerini kullanmasının ardından bir veri sızıntısı yaşadı. Ancak şirket, ağının ve müşteri bilgilerinin güvende olduğunu söylüyor.
İlk olarak Cyberscoop tarafından bildirildiği üzere, SiegedSec olarak bilinen bir bilgisayar korsanlığı grubu, Avustralya merkezli bir işbirliği yazılım şirketi olan Atlassian’dan çalındığını iddia ederek dün Telegram’a veri sızdırdı.
SiegedSec bilgisayar korsanları, “Binlerce çalışan kaydını ve birkaç bina kat planını sızdırıyoruz. Bu çalışan kayıtları e-posta adreslerini, telefon numaralarını, adları ve çok daha fazlasını içeriyor~!” dedi.
Kaynak: BleepingComputer
Sızıntıdan kısa bir süre sonra Check Point Software, BleepingComputer’a sızan verileri analiz ettiklerini ve bu verilerin Sidney ve San Francisco ofisleri için iki kat haritası ve çalışanlar hakkında bilgiler içeren bir JSON dosyası içerdiğini söyledi.
Check Point Software, BleepingComputer’a “İlk analize göre, grubun doğrudan Atlassian’ı değil, https://envoy.com/ adlı bir üçüncü taraf sağlayıcıyı hacklediğinden şüpheleniyoruz.”
Atlassian, BleepingComputer’a güvenliği ihlal edilen verilerin ofis içi işlevler için kullandıkları üçüncü taraf satıcı Envoy’dan geldiğini doğruladı.
“15 Şubat 2023’te, Atlassian’ın ofis içi kaynakları koordine etmek için kullandığı üçüncü taraf bir uygulama olan Envoy’dan alınan verilerin güvenliğinin ihlal edildiğini ve yayınlandığını öğrendik. Atlassian ürün ve müşteri verilerine Envoy uygulaması aracılığıyla erişilemiyor ve bu nedenle risk altında değil. ,” Atlassian BleepingComputer’a söyledi.
“Atlassians’ın güvenliği önceliğimizdir ve küresel olarak ofislerimizde fiziksel güvenliği artırmak için hızla çalıştık. Bu olayı aktif olarak araştırıyoruz ve daha fazlasını öğrendikçe çalışanlara güncellemeler sağlamaya devam edeceğiz.”
Ancak Envoy, kendi taraflarındaki bir ihlalden haberdar olmadıklarını ve bir Atlassian çalışanının kimlik bilgilerinin çalınarak tehdit aktörünün Envoy uygulamasındaki verilere erişmesine izin verdiğine inandıklarını söylüyor.
“Şu anda bunu araştırıyoruz ve sistemlerimize yönelik herhangi bir tehlikeden haberdar değiliz. İlk araştırmamız, bir bilgisayar korsanının bir Atlassian çalışanının geçerli kimlik bilgilerine erişim sağladığını ve Envoy’un uygulamasında tutulan Atlassian çalışan dizini ve ofis kat planlarına döndüğünü ve bunlara eriştiğini gösteriyor. ,” dedi Envoy, BleepingComputer’a.
“Envoy, Atlassian gibi, müşterilerimizin verilerinin güvenliğini ve gizliliğini inanılmaz derecede ciddiye alıyor ve bunları korumak için katı önlemler alıyor.”
2/17/23 Güncellemesi:
Envoy’dan yapılan yeni bir açıklamada şirket, sistemlerinin ihlal edilmediğini, bunun yerine bir Atlassian çalışanının kimlik bilgilerinin çalındığını ve tehdit aktörlerinin Envoy uygulamasında depolanan verilere erişmesine izin verildiğini belirtiyor.
“Hem Envoy hem de Atlassian güvenlik ekipleri, veri ihlalinin kaynağını belirlemek için işbirliği yapıyor. Talep günlüklerinde, bilgisayar korsanlarının bir Atlassian çalışan hesabından geçerli kullanıcı kimlik bilgileri aldığını ve bu erişimi, etkilenen verileri indirmek için kullandığını doğrulayan kanıtlar bulduk. Envoy’un uygulaması,” dedi Envoy, BleepingComputer’a.
“Envoy’un sistemlerinin tehlikeye atılmadığını veya ihlal edilmediğini ve başka hiçbir müşterinin verilerine erişilmediğini doğrulayabiliriz.”
Atlassian, BleepingComputer’a bir çalışanın kimlik bilgilerinin yanlışlıkla bir kamu deposunda yayınlandığını ve tehdit aktörlerinin Envoy uygulamasında şirketin verilerini çalmak için bunları kullanmasına izin verdiğini söyledi.
Bir Atlassian, “Güvenlik istihbarat ekibimiz, olası tüm giriş yollarını keşfetmek için son 48 saat boyunca Envoy ile yakın bir şekilde çalıştı. Dün akşam ABD saatine göre güvenlik istihbaratı bulgularını yayınladı ve Envoy verilerimizin nasıl ele geçirildiğini kesin olarak söyleyebiliriz.” sözcüsü BleepingComputer’a güncellenmiş bir açıklamada söyledi.
“Hackleme grubunun, bir Atlassian çalışanının çalışan tarafından yanlışlıkla halka açık bir depoya gönderilen kimlik bilgilerini kullanarak Envoy uygulamasından Atlassian verilerini ele geçirdiğini öğrendik. Bu nedenle, bilgisayar korsanlığı grubunun, yayınlanan bilgileri içeren çalışan hesabı aracılığıyla görülebilen verilere erişimi vardı. diğer Atlassian çalışanlarının ve yüklenicilerinin ofis kat planları ve kamu Elçisi profilleri.”
“Atlassian’ın Envoy verilerine yönelik başka herhangi bir tehdidin ortadan kaldırılmasında etkili olduğu kanıtlanan soruşturmanın başlarında, güvenliği ihlal edilmiş çalışanın hesabı derhal devre dışı bırakıldı. Atlassian ürün ve müşteri verilerine Envoy uygulaması aracılığıyla erişilemiyor ve bu nedenle risk altında değil.”
Güncelleme 16/23 16:35 ET: Elçi açıklaması eklendi
17.02.23 Güncellemesi: 21:45 ET: Hikaye, Envoy ve Atlassian’ın yeni açıklamalarını yansıtacak şekilde güncellendi.
17.02.23 Güncellemesi: 13:45 ET: Atlassian’dan ek açıklama eklendi