Η Cisco αποσυνδέει το DevHub μετά τη δημοσίευση κλεμμένων δεδομένων από χάκερ

Η Cisco επιβεβαίωσε σήμερα ότι έβγαλε τη δημόσια πύλη DevHub της εκτός σύνδεσης αφού ένας παράγοντας απειλής διέρρευσε “μη δημόσια” δεδομένα, αλλά συνεχίζει να δηλώνει ότι δεν υπάρχουν στοιχεία ότι τα συστήματά της παραβιάστηκαν.

“Διαπιστώσαμε ότι τα εν λόγω δεδομένα βρίσκονται σε ένα δημόσιο περιβάλλον DevHub – ένα κέντρο πόρων της Cisco που μας δίνει τη δυνατότητα να υποστηρίξουμε την κοινότητά μας διαθέτοντας κώδικα λογισμικού, σενάρια κ.λπ. για χρήση από τους πελάτες όπως απαιτείται”, αναφέρει μια ενημερωμένη δήλωση από τη Cisco.

“Σε αυτό το στάδιο της έρευνάς μας, προσδιορίσαμε ότι ένας μικρός αριθμός αρχείων που δεν ήταν εξουσιοδοτημένα για δημόσια λήψη ενδέχεται να έχουν δημοσιευτεί.”

Η Cisco λέει ότι δεν υπάρχουν ενδείξεις ότι έχουν κλαπεί προσωπικές πληροφορίες ή οικονομικά δεδομένα, αλλά συνεχίζει να ερευνά ποια δεδομένα μπορεί να έχουν πρόσβαση.

Αυτή η δήλωση έρχεται αφότου ένας ηθοποιός απειλών γνωστός ως IntelBroker ισχυρίστηκε ότι παραβίασε τη Cisco και προσπάθησε να πουλήσει δεδομένα και τον πηγαίο κώδικα που είχαν κλαπεί από την εταιρεία.

Η BleepingComputer μίλησε στην IntelBroker για την υποτιθέμενη παραβίαση, η οποία είπε ότι απέκτησε πρόσβαση σε ένα περιβάλλον προγραμματιστή τρίτου μέρους της Cisco μέσω ενός εκτεθειμένου διακριτικού API.

Κατά τη διάρκεια της έρευνας της Cisco, ο IntelBroker απογοητεύτηκε ολοένα και περισσότερο όταν η εταιρεία δεν αναγνώριζε ένα περιστατικό ασφαλείας, μοιράζοντας στιγμιότυπα οθόνης με το BleepingComputer για να αποδείξει ότι είχε πρόσβαση σε περιβάλλον προγραμματιστών Cisco.

Αυτά τα στιγμιότυπα οθόνης και τα αρχεία, τα οποία μοιραστήκαμε επίσης με τη Cisco, έδειξαν ότι ο παράγοντας απειλής είχε πρόσβαση στα περισσότερα, αν όχι όλα, από τα δεδομένα που ήταν αποθηκευμένα σε αυτήν την πύλη. Αυτά τα δεδομένα περιλάμβαναν πηγαίο κώδικα, αρχεία διαμόρφωσης με διαπιστευτήρια βάσης δεδομένων, τεχνική τεκμηρίωση και αρχεία SQL.

Δεν είναι σαφές ποια δεδομένα πελατών είχαν αποθηκευτεί σε αυτούς τους διακομιστές και κανένα δεν κοινοποιήθηκε σε εμάς.

Η IntelBroker ισχυρίστηκε περαιτέρω ότι είχε συνεχή πρόσβαση μέχρι σήμερα, όταν η Cisco απέκλεισε κάθε πρόσβαση στην πύλη και το παραβιασμένο περιβάλλον προγραμματιστή jFrog. Ο ηθοποιός της απειλής είπε επίσης ότι έχασε την πρόσβαση σε έναν διακομιστή Maven and Docker που σχετίζεται με την πύλη DevHub, αλλά δεν μοιράστηκε καμία απόδειξη της εν λόγω πρόσβασης.

Όταν ρωτήθηκε αν προσπάθησε να εκβιάσει τη Cisco να μην δημοσιεύσει κλεμμένα δεδομένα, η IntelBroker είπε ότι δεν προσπάθησε καθώς πιθανότατα δεν θα τον εμπιστευόταν να κρατήσει τον λόγο του.

«Δεν θα εμπιστευόμουν έναν ηθοποιό απειλών αν ζητούσαν χρήματα για να μην διαρρεύσουν τα πράγματά μου, οπότε ούτε κι εκείνος θα έπρεπε», είπε η IntelBroker στο BleepingComputer.

Ενώ η Cisco συνεχίζει να λέει ότι κανένα σύστημα δεν παραβιάστηκε, όλα όσα έχουμε δει δείχνουν ότι παραβιάστηκε μια ανάπτυξη τρίτου μέρους, επιτρέποντας στον παράγοντα απειλής να κλέψει δεδομένα.

Η BleepingComputer επικοινώνησε με τη Cisco με περαιτέρω ερωτήσεις σχετικά με αυτούς τους ισχυρισμούς, αλλά δεν ήταν άμεσα διαθέσιμη απάντηση.