La empresa estadounidense de inteligencia empresarial Sisense ha advertido a sus clientes que restablezcan prácticamente todas las contraseñas, claves y tokens utilizados dentro de su aplicación.
La empresa dijo que recientemente sufrió una violación de datos, insinuando que los malhechores obtuvieron diferentes credenciales de inicio de sesión y tokens de sesión.
Según lo informado por KrebsOnSecurityel miércoles pasado, el director de seguridad de la información de Sisense, Sangram Dash, se acercó a los clientes y dijo que la empresa se enteró de que «cierta información de la empresa Sisense puede haber estado disponible en lo que nos han informado que es un servidor de acceso restringido (que generalmente no está disponible en el sitio web). Internet.)»
Gitlab comprometido
«Estamos tomando este asunto en serio y comenzamos rápidamente una investigación», continuó Dash. “Contratamos a expertos líderes de la industria para que nos ayudaran con la investigación. Este asunto no ha resultado en una interrupción de nuestras operaciones comerciales. Por precaución, y mientras continuamos investigando, le instamos a rotar de inmediato cualquier credencial que utilice en su aplicación Sisense”.
Sin embargo, en una nota de seguimiento, Sisense dijo que los usuarios deberían cambiar su contraseñasreemplace el Secreto en la sección Seguridad de la configuración base, cierre la sesión de todos los usuarios, actualice sso.shared_secret, rote el certificado x.509, rote los secretos del cliente (para aquellos que utilizan OpenID) y realice muchas otras actualizaciones (puede encontrar la lista completa aquí).
La violación parece bastante alarmante, e incluso la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) intervino. Al emitir una alerta, el organismo gubernamental dijo que también estaba investigando la violación: “CISA está adoptando un papel activo en la colaboración con empresas privadas. socios de la industria para responder a este incidente, especialmente en lo que se refiere a las organizaciones del sector de infraestructura crítica afectadas”, dijo en la alerta. «Proporcionaremos actualizaciones a medida que haya más información disponible».
Si bien Sisense no compartió ningún detalle sobre la naturaleza de la violación, KrebsOnSecurity descubrió que era probable que los piratas informáticos de alguna manera violaran el repositorio de código Gitlab de la compañía. Este repositorio contenía un token o credencial que les permitía acceder a la empresa. Amazonas Depósitos S3 en la nube. A partir de ahí, los atacantes extrajeron terabytes de datos de clientes, incluidos tokens de acceso, contraseñas de correo electrónico e incluso certificados SSL.
Todo esto provino de “dos fuentes confiables con conocimiento cercano de la investigación de la violación.