วันนี้ Cisco ยืนยันว่าได้ปิด public DevHub portal ของบริษัท หลังจากที่ผู้ไม่หวังดีได้เผยแพร่ข้อมูลที่เป็นความลับ แต่ Cisco ยังคงยืนยันว่าไม่มีหลักฐานว่าระบบของบริษัทถูกโจมตี
ข้อความอัปเดตจาก Cisco ระบุว่า "เราได้ตรวจสอบแล้วว่าข้อมูลที่เกี่ยวข้องอยู่ใน public facing DevHub environment ซึ่งเป็นศูนย์ข้อมูลของ Cisco ที่ให้บริการต่อชุมชนของเรา โดยการเปิดให้ใช้ซอฟต์แวร์ โค้ด สคริปต์ ฯลฯ ตามความต้องการของลูกค้า"
จากการตรวจสอบ พบว่ามีไฟล์จำนวนเล็กน้อยที่ไม่ได้รับอนุญาตให้ดาวน์โหลดจากสาธารณะ อาจถูกเปิดเผยโดยที่ไม่ได้รับอนุญาต
Cisco ระบุว่าไม่มีข้อบ่งชี้ว่าข้อมูลส่วนบุคคล หรือข้อมูลทางการเงินถูกขโมยออกไป แต่ยังคงมีการดำเนินการตรวจสอบต่อไปว่าข้อมูลใดที่อาจถูกเข้าถึงบ้าง
คำชี้แจงนี้ออกมาหลังจากผู้โจมตีที่รู้จักในชื่อ IntelBroker อ้างว่าสามารถโจมตีระบบของ Cisco และพยายามขายข้อมูล และซอร์สโค้ดที่ขโมยมาจากบริษัท
BleepingComputer ได้พูดคุยกับ IntelBroker เกี่ยวกับการโจมตีที่ถูกอ้าง ซึ่งพวกเขาบอกว่าได้เข้าถึง third-party developer environment ของ Cisco ผ่านทาง API token ที่ถูกเปิดเผยออกมา
ในระหว่างการตรวจสอบของ Cisco ทางกลุ่ม IntelBroker เริ่มรู้สึกไม่พอใจมากขึ้นเมื่อบริษัทไม่ยอมรับเหตุการณ์ที่ถูกโจมตี โดยเขาได้แชร์ภาพหน้าจอให้กับ BleepingComputer เพื่อพิสูจน์ว่าเขาสามารถเข้าถึง developer environment ของ Cisco ได้
ภาพหน้าจอ และไฟล์เหล่านี้ แสดงให้เห็นว่าผู้โจมตีมีสิทธิ์เข้าถึงข้อมูลส่วนใหญ่ หรืออาจจะทั้งหมดที่เก็บไว้ในพอร์ทัลนี้ เช่น โค้ดต้นฉบับ, ไฟล์การตั้งค่าที่มีข้อมูล credentials ของฐานข้อมูล, เอกสารทางเทคนิค และ SQL files
ยังไม่ชัดเจนว่ามีข้อมูลของลูกค้าใดบ้างที่เก็บไว้ในเซิร์ฟเวอร์เหล่านี้ เนื่องจากไม่ได้มีการแชร์ข้อมูลดังกล่าว
IntelBroker ยังอ้างว่ายังคงสามารถเข้าถึงพอร์ทัลได้จนถึงวันนี้ แต่เมื่อ Cisco ได้บล็อกการเข้าถึงทั้งหมดไปยังพอร์ทัล รวมถึง developer environment ของ JFrog ที่ถูกโจมตี โดยกลุ่มผู้โจมตีระบุเพิ่มเติมว่าไม่สามารถเข้าถึงเซิร์ฟเวอร์ Maven และ Docker ที่เกี่ยวข้องกับพอร์ทัล DevHub ได้อีกแล้ว แต่ทั้งนี้ไม่ได้มีการแชร์หลักฐานเกี่ยวกับการเข้าถึงดังกล่าว
เมื่อถูกถามว่าพยายามเรียกค่าไถ่กับ Cisco เพื่อไม่เผยแพร่ข้อมูลที่ถูกขโมยออกมาหรือไม่ กลุ่ม IntelBroker ระบุว่าเขาไม่ได้พยายามทำเช่นนั้น เพราะพวกเขาไม่สามารถไว้ใจ Cisco ได้
แม้ว่า Cisco จะยังคงยืนยันว่าไม่มีระบบใดถูกโจมตี แต่จากสิ่งที่ได้พบทั้งหมดบ่งบอกว่ามีการโจมตีที่ third-party development ซึ่งทำให้ผู้โจมตีสามารถขโมยข้อมูลออกไปได้
BleepingComputer ได้ติดต่อ Cisco เพื่อสอบถามเพิ่มเติมเกี่ยวกับเหตุการณ์นี้ แต่ยังไม่ได้รับการตอบกลับ
ที่มา : bleepingcomputer
You must be logged in to post a comment.