A Cisco confirmou hoje que retirou seu portal DevHub público do ar após um ator de ameaças vazar dados "não-públicos", mas continua a afirmar que não há evidências de que seus sistemas foram violados.
"Determinamos que os dados em questão estão em um ambiente DevHub voltado ao público - um centro de recursos da Cisco que nos permite apoiar nossa comunidade, disponibilizando código de software, scripts, etc., para que os clientes usem conforme necessário", lê-se em uma declaração atualizada da Cisco.
Nesta fase da nossa investigação, determinamos que um pequeno número de arquivos que não estavam autorizados para download público pode ter sido publicado.
A Cisco diz que não há indicações de que informações pessoais ou dados financeiros foram roubados, mas continua a investigar quais dados podem ter sido acessados.
Esta declaração vem após um ator de ameaças conhecido como IntelBroker afirmar que conseguiu violar a Cisco e tentou vender dados e código-fonte roubados da empresa.
Durante a investigação da Cisco, IntelBroker ficou cada vez mais frustrado quando a empresa não reconheceu um incidente de segurança, compartilhando capturas de tela para provar que tinha acesso a um ambiente de desenvolvedor da Cisco.
Essas capturas de tela e arquivos, que também compartilhamos com a Cisco, mostraram que o ator de ameaças tinha acesso à maioria, senão a todos, dos dados armazenados nesse portal.
Esses dados incluíam código-fonte, arquivos de configuração com credenciais de banco de dados, documentação técnica e arquivos SQL.
Não está claro quais dados dos clientes estavam armazenados nesses servidores, e nenhum foi compartilhado conosco.
IntelBroker afirmou ainda que teve acesso contínuo até hoje, quando a Cisco bloqueou todo acesso ao portal e ao ambiente de desenvolvedor jFrog comprometido.
O ator de ameaças também disse que perdeu acesso a um servidor Maven e Docker relacionado ao portal DevHub, mas não compartilhou nenhuma prova desse acesso.
Quando perguntado se tentou extorquir a Cisco para não publicar os dados roubados, IntelBroker disse que não tentou, pois eles provavelmente não confiariam nele para manter sua palavra.
"Eu não confiaria em um ator de ameaças se eles pedissem dinheiro para não vazar minhas coisas, então eles também não deveriam", disse IntelBroker.
Enquanto a Cisco continua a dizer que nenhum sistema foi violado, tudo o que vimos indica que um desenvolvimento de terceiros foi violado, permitindo que o ator de ameaças roubasse dados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...