Dalış Özeti:
- Cisco’nun Veri Gizliliği ve Olay Müdahale Ekibi, isimsiz bir telekom sağlayıcısını hedef alan bir saldırının, Cisco Duo müşterileri tarafından kullanılan çok faktörlü kimlik doğrulama kodlarını açığa çıkardığını söyledi. etkilenen müşterilere gönderilen e-posta.
- “Tedarikçiden bugüne kadar aldığımız bilgilere dayanarak Duo müşterilerinin yaklaşık %1’inin etkilendiğini değerlendirdik. Bir Cisco sözcüsü Salı günü e-posta yoluyla yaptığı açıklamada, soruşturmamız devam ediyor ve etkilenen müşterilerimizi uygun şekilde yerleşik kanallarımız aracılığıyla bilgilendiriyoruz.” dedi.
- Cisco’ya göre bir saldırgan, kimlik avı saldırısı yoluyla bir çalışanın kimlik bilgilerini aldıktan sonra 1 Nisan’da telekom sağlayıcısının dahili sistemlerine izinsiz girdi. Saldırgan bu erişimi Cisco Duo müşterilerinin 1 Mart’tan 31 Mart’a kadar iletilen MFA SMS mesaj kayıtlarını çalmak için kullandı.
Dalış Bilgisi:
Cisco Duo’nun dünya çapında 100.000’den fazla müşterisi var ve Cisco’nun değerlendirmesine göre, ihlalin ardından bu ticari müşterilerin yaklaşık 1.000’i artık risk altında. Cisco Duo’yu satın aldıbir MFA ve tek oturum açma sağlayıcısı olan 2018’de 2,35 milyar dolara satın alındı.
Bir şirket sözcüsü, “Cisco, olayı araştırmak ve çözmek için tedarikçiyle aktif olarak çalışıyor” dedi.
Saldırgan, telefon numaralarını, operatör bilgilerini, coğrafi verileri ve gönderilen mesajın tarihini, saatini ve türünü içeren mesaj günlüklerine sızdı.
Cisco telekom sağlayıcısının adını vermeyi reddetti ancak bir sözcü, üçüncü taraf satıcının Duo MFA mesajlarını Kuzey Amerika’daki alıcılara SMS ve VoIP yoluyla gönderdiğini söyledi.
Sağlayıcı Cisco’ya, saldırganın mesaj günlüklerinde yer alan numaralardan herhangi birine mesaj göndermek için dahili sistem erişimini kullanmadığını söyledi.
Cisco, etkilenen müşterilere gönderdiği e-postada şunları söyledi: “Sağlayıcıya göre, olayı fark ettikten sonra sağlayıcı derhal bir soruşturma başlattı ve çalışanın kimlik bilgilerinin derhal geçersiz kılınması, etkinlik günlüklerinin analiz edilmesi ve Cisco’ya olay hakkında bilgi verilmesi dahil olmak üzere hafifletici önlemler uyguladı.” .
Telekom sağlayıcısı ayrıca Cisco’ya sosyal mühendislik saldırılarıyla ilişkili riskleri önlemek ve daha da azaltmak için önlemler aldığını da söyledi.
Cisco, etkilenen müşterilerin saldırgan tarafından çalınan mesaj günlüklerinin bir kopyasını talep edebileceklerini söyledi.
MFA ve tek oturum açma sağlayıcıları düzenli olarak siber suçlular tarafından hedef alınmaktadır. Kimlik doğrulama sağlayıcısına yönelik 2022 kimlik avı saldırısı Twilio 160’tan fazla müşterinin verilerini açığa çıkardı.
2022 ve 2023 boyunca Okta çok sayıda ihlalle kuşatıldı ve saldırı dizisi o vuruş yüksek profilli Okta müşteri ortamları. A Okta’nın destek portalına Eylül 2023’te saldırı şirketin tüm müşteri destek sistemi müşterilerini etkiledi.