ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bugün iş zekası şirketindeki bir ihlali araştırdığını söyledi altı duyuürünleri, şirketlerin birden fazla üçüncü taraf çevrimiçi hizmetinin durumunu tek bir kontrol panelinde görüntülemesine olanak tanıyacak şekilde tasarlanmıştır. CISA, tüm Sisense müşterilerini, şirketle paylaşılmış olabilecek tüm kimlik bilgilerini ve sırları sıfırlamaya çağırdı; bu, Sisense’in Çarşamba akşamı müşterilerine verdiği tavsiyenin aynısıydı.
New York City merkezli Sisense’nin finansal hizmetler, telekomünikasyon, sağlık hizmetleri ve yüksek öğrenim de dahil olmak üzere çeşitli sektörlerde 1.000’den fazla müşterisi var. 10 Nisan’da Sisense Baş Bilgi Güvenliği Sorumlusu Sangram Dash müşterilere, şirketin “bazı Sisense şirket bilgilerinin, bize sınırlı erişimli bir sunucu olduğu söylenen (internet üzerinde genel olarak mevcut değildir) bir sunucu üzerinde mevcut olabileceği” yönündeki raporlardan haberdar edildiğini söyledi.
Dash, “Bu konuyu ciddiye alıyoruz ve derhal bir soruşturma başlattık” diye devam etti. “Soruşturmada bize yardımcı olmaları için sektörün önde gelen uzmanlarını görevlendirdik. Bu husus ticari faaliyetlerimizin aksamasına yol açmamıştır. Biz araştırmaya devam ederken, Sisense uygulamanızda kullandığınız tüm kimlik bilgilerini derhal rotasyona tabi tutmanızı rica ediyoruz.”
CISA, uyarısında, Sisense’i de içeren bağımsız güvenlik araştırmacıları tarafından yakın zamanda keşfedilen bir uzlaşmaya yanıt vermek için özel sektör ortaklarıyla birlikte çalıştığını söyledi.
Seyrek uyarıda, “CISA, özellikle etkilenen kritik altyapı sektörü kuruluşlarıyla ilgili olduğu için, bu olaya müdahale etmek için özel sektör ortaklarıyla işbirliğinde aktif bir rol üstleniyor” deniyor. “Daha fazla bilgi elde edildikçe güncellemeler sağlayacağız.”
Sisense, ihlal soruşturması hakkında yakın bilgiye sahip iki güvenilir kaynak tarafından paylaşılan bilgilerin doğruluğu sorulduğunda yorum yapmaktan kaçındı. Bu kaynaklar, ihlalin, saldırganların bir şekilde şirketin Gitlab’daki kod deposuna erişim sağlamasıyla başlamış gibi göründüğünü ve bu depoda kötü adamlara Sisense’nin buluttaki Amazon S3 klasörlerine erişim sağlayan bir token veya kimlik bilgisinin bulunduğunu söyledi.
Her iki kaynak da saldırganların S3 erişimini kullanarak milyonlarca erişim jetonunu, e-posta hesabı şifresini ve hatta SSL sertifikalarını içeren birkaç terabaytlık Sisent müşteri verilerini kopyalayıp dışarı sızdırdığını söyledi.
Olay, Sisense’in müşteriler tarafından kendisine emanet edilen hassas verileri korumak için yeterince çaba gösterip göstermediği (örneğin, çalınan büyük hacimli müşteri verilerinin bu Amazon bulut sunucularında dururken şifrelenip şifrelenmediği) konusunda soruları gündeme getiriyor.
Ancak artık bilinmeyen saldırganların Sisense müşterilerinin kontrol panellerinde kullandığı tüm kimlik bilgilerine sahip olduğu açık.
İhlal aynı zamanda Sisense’in müşteriler adına gerçekleştirebileceği temizleme eylemlerinin bir şekilde sınırlı olduğunu da açıkça ortaya koyuyor; çünkü erişim belirteçleri aslında bilgisayarınızdaki metin dosyalarıdır ve uzun süreler boyunca (bazen süresiz olarak) oturumunuzu açık tutmanıza izin verir. . Hangi hizmetten bahsettiğimize bağlı olarak, saldırganların geçerli kimlik bilgileri sunmaya gerek kalmadan kurban olarak kimlik doğrulaması yapmak için bu erişim belirteçlerini yeniden kullanması mümkün olabilir.
Bunun ötesinde, daha önce Sisense’e emanet ettikleri çeşitli üçüncü taraf hizmetlerinin şifrelerini değiştirip değiştirmeyeceklerine ve ne zaman değiştireceklerine karar vermek büyük ölçüde Sisense müşterilerine kalmıştır.
Bugün erken saatlerde, Sisense ile çalışan bir halkla ilişkiler firması, KrebsOnSecurity’nin ihlalle ilgili başka güncellemeler yayınlamayı planlayıp planlamadığını öğrenmek için iletişime geçti (KrebsOnSecurity, CISO’nun müşteri e-postasının ekran görüntüsünü Çarşamba akşamı hem LinkedIn’e hem de Mastodon’a gönderdi). Halkla İlişkiler temsilcisi, Sisense’in hikaye yayınlanmadan önce yorum yapma fırsatına sahip olduklarından emin olmak istediğini söyledi.
Ancak kaynaklarımın paylaştığı ayrıntılarla karşılaşınca Sisense görünüşe göre fikrini değiştirdi.
Halkla İlişkiler temsilcisi e-postayla gönderdiği yanıtta, “Sense ile görüştükten sonra bana yanıt vermek istemediklerini söylediler” dedi.
Nicholas WeaverCalifornia Üniversitesi, Berkeley Uluslararası Bilgisayar Bilimleri Enstitüsü’nde (ICSI) bir araştırmacı ve UC Davis’te öğretim görevlisi, bu kadar çok hassas oturum açma yetkisi verilen bir şirketin bu bilgileri kesinlikle şifrelemesi gerektiğini söyledi.
Weaver, “Müşteri verilerini Amazon gibi üçüncü taraf bir sistemde barındırıyorlarsa şifrelense iyi olur” dedi. “İnsanlara kimlik bilgilerini geri almalarını söylüyorlarsa bu, şifrelenmemiş olduğu anlamına gelir. Yani bir numaralı hata, Amazon kimlik bilgilerini Git arşivinizde bırakmaktır. İkinci hata, S3’ü üstüne şifreleme kullanmadan kullanmaktır. İlki kötü ama affedilebilir, ikincisi ise işleri göz önüne alındığında affedilemez.”