Warum CISA CISOs vor einem Verstoß bei Sisense warnt – Krebs on Security

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit CISA gab heute bekannt, dass es den Hack des Business-Intelligence-Unternehmens untersucht Sisense, dessen Produkte es Unternehmen ermöglichen sollen, den Online-Status mehrerer Drittanbieterdienste in einem einzigen Dashboard anzuzeigen. CISA forderte alle Sisense-Kunden auf, alle Anmeldeinformationen und Geheimnisse zurückzusetzen, die möglicherweise mit dem Unternehmen geteilt wurden. Dies ist derselbe Rat, den Sisense seinen Kunden am Mittwochabend gegeben hat.

Sisense mit Sitz in New York City hat mehr als 1.000 Kunden aus verschiedenen Branchen, darunter Finanzdienstleistungen, Telekommunikation, Gesundheitswesen und Hochschulbildung. Am 10. April Sangram Dash, Chief Information Security Officer bei Sisense Sie teilte ihren Kunden mit, dass dem Unternehmen Berichte bekannt seien, dass „einige Sisense-Unternehmensinformationen möglicherweise auf einem Server mit eingeschränktem Zugriff verfügbar sein könnten (der im Internet nicht allgemein verfügbar ist).“

„Wir nehmen diese Angelegenheit sehr ernst und haben sofort eine Untersuchung eingeleitet“, fuhr Dash fort. „Wir haben branchenführende Experten beauftragt, uns bei der Untersuchung zu unterstützen. Aus Gründen der Vorsicht fordern wir Sie dringend auf, alle Ausweise unverzüglich zu ersetzen Sie verwenden es in Ihrer Sisense-App.

CISA sagte in seiner Warnung, dass es mit privaten Industriepartnern zusammenarbeitet, um auf die kürzlich von unabhängigen Sicherheitsforschern entdeckte Kompromittierung im Zusammenhang mit Sisense zu reagieren.

„CISA spielt eine aktive Rolle bei der Zusammenarbeit mit Industriepartnern aus dem privaten Sektor, um auf diesen Vorfall zu reagieren, insbesondere im Hinblick auf betroffene Organisationen im Bereich kritischer Infrastruktur“, heißt es in der vereinzelten Warnung. „Wir werden Aktualisierungen bereitstellen, sobald weitere Informationen verfügbar sind.“

Sisense lehnte eine Stellungnahme ab, als er nach der Richtigkeit der Informationen gefragt wurde, die von zwei zuverlässigen Quellen mit genauem Wissen über die Untersuchung des Verstoßes übermittelt wurden. Diesen Quellen zufolge begann der Verstoß offenbar, als die Angreifer sich irgendwie Zugang zum Code-Repository des Unternehmens in Gitlab verschafften und dieses Repository ein Token oder Anmeldeinformationen enthielt, die den Angreifern den Zugriff auf die Amazon S3-Buckets von Sisense in der Cloud ermöglichten.

Beiden Quellen zufolge nutzten die Angreifer den S3-Zugriff, um mehrere Terabyte an Sisense-Kundendaten zu kopieren und zu filtern, darunter offenbar Millionen von Zugriffstokens, E-Mail-Kontokennwörtern und sogar SSL-Zertifikaten.

Der Vorfall wirft die Frage auf, ob Sisense genug getan hat, um die sensiblen Daten der ihm anvertrauten Kunden zu schützen, etwa ob die riesige Menge an gestohlenen Kundendaten auf den Cloud-Servern von Amazon verschlüsselt wurde.

Es ist jedoch klar, dass die unbekannten Angreifer nun über alle Anmeldeinformationen verfügen, die Sisense-Kunden in ihren Dashboards verwendet haben.

Der Hack zeigt auch, dass Sisense bei den Bereinigungsmaßnahmen, die es im Namen der Kunden durchführen kann, etwas eingeschränkt ist, da Zugriffstoken im Wesentlichen Textdateien auf Ihrem Computer sind, die es Ihnen ermöglichen, über längere Zeiträume – manchmal auf unbestimmte Zeit – angemeldet zu bleiben. Je nachdem, um welchen Dienst es sich handelt, ist es für Angreifer möglicherweise möglich, diese Zugriffstokens erneut zu verwenden, um sich als Opfer zu authentifizieren, ohne gültige Anmeldeinformationen angeben zu müssen.

Darüber hinaus liegt es weitgehend bei Sisense-Kunden, zu entscheiden, ob und wann sie Passwörter für verschiedene Dienste von Drittanbietern ändern, die sie zuvor Sisense anvertraut haben.

Heute früh hat eine PR-Firma, die mit Sisense zusammenarbeitet, Kontakt aufgenommen, um zu erfahren, ob KrebsOnSecurity plant, weitere Updates zum Hack zu veröffentlichen (KrebsOnSecurity hat einen Screenshot der E-Mail des CISO-Kunden an beide gepostet). LinkedIn Und Mastodon Mittwochabend). Der PR-Vertreter sagte, Sisense wolle sicherstellen, dass sie vor der Veröffentlichung der Geschichte Gelegenheit zur Stellungnahme hätten.

Doch als Sisense mit den von meinen Quellen geteilten Details konfrontiert wurde, schien sie ihre Meinung geändert zu haben.

„Nach Rücksprache mit Sisense teilten sie mir mit, dass sie nicht antworten wollten“, sagte der PR-Vertreter in einer E-Mail-Antwort.

Nicholas Weaverein Forscher an der University of California, International Computer Science Institute (ICSI) in Berkeley und Dozent an der University of California, Davis, sagte, dass das Unternehmen, das mit vielen sensiblen Logins betraut ist, diese Informationen verschlüsseln sollte.

„Wenn sie Kundendaten auf einem Drittsystem wie Amazon hosten, ist es besser, sie zu verschlüsseln“, sagte Weaver. „Wenn sie die Leute auffordern, ihre Zugangsdaten zurückzusetzen, bedeutet das, dass sie nicht verschlüsselt wurden. Der zweite Fehler besteht darin, S3 ohne Verschlüsselung zu verwenden Letzteres ist angesichts seiner Taten unverzeihlich.