Cisco takes DevHub portal offline after hacker publishes stolen data
2024/10/18 BleepingComputer — Cisco の発表は、DevHub ポータルのオフラインに関するものであり、同社の “非公開” のデータを脅威アクターが流出させたという報告を受けてのものである。しかし Cisco は、自社のシステムが侵害された証拠はないと主張している。Cisco のインシデント・レポートには、「問題のデータは、パブリックな DevHub 環境に存在するものであると判明した。DevHub とは、Cisco のリソース・センターであり、必要に応じてソフトウェア・コードやスクリプトなどを利用できるようにし、コミュニティをサポートするものだ」と記されている。
Cisco は、「現段階での調査では、一般には公開が許可されていない、少数のファイルが開示された可能性があると判断している」と述べている。Cisco は、個人情報が盗まれた形跡はないとしているが、不正にアクセスされたデータの種類については、引き続き調査中であるとしている。なお、Cisco に侵入した IntelBroker という脅威アクターが、盗み出したデータとソースコードを販売すると主張した後に、同社による声明は発表されている。
Source: BleepingComputer
BleepingComputer が IntelBroker に問い合わせたところ、公開された API トークンを通じて、Cisco のサードパーティ開発者環境にアクセスしたとの回答があった。
Cisco が調査の継続を言い続け、セキュリティ・インシデントを認めないことに、苛立ちを募らせた IntelBroker は、同社の開発環境にアクセスしたことを証明するスクリーンショットを BleepingComputer に共有した。
これらのスクリーンショットとファイルは Cisco にも共有されており、このポータルに保存されている大半のデータに、脅威アクターがアクセスしていたことが明らかにされている。このデータに含まれるものには、ソースコード/データベース認証情報付きのコンフィグ・ファイル/技術文書/SQL ファイルなどがある。
現時点において、これらのサーバに保存されていた顧客データの種類は不明であり、BleepingComputer にも共有されていない。
今日になって Cisco は、侵害されたポータルと JFrog 開発環境への全アクセスを遮断したが、その時点までアクセスを継続していたと、IntelBroker は主張している。それに加えて、DevHub ポータルに関連する Maven/Docker サーバへのアクセスを失ったと述べているが、そのアクセスを証明する証拠は提示していない。
盗み出したデータの公開と引き換えに身代金を支払えと、Cisco を恐喝したかという問いに対して IntelBroker は、約束を守ると言っても信用されないと思い、試みなかったと述べている。
IntelBroker は、「もし漏洩を防ぐために金銭を要求するような脅威アクターがいたとしても、私は彼らを信用しないだろう。だから、Cisco も私を信用すべきではない」と、 BleepingComputer に語っている。
現時点においても、システムは侵害されていないと Cisco は主張しているが、我々が目にしたものが示すのは、サードパーティの開発が侵害され、脅威アクターがデータを盗むことを可能にしていた状況である。
BleepingComputer は Cisco に対して、さらに詳しい質問行っているが、いまも回答は得られていない。
この IntelBroker って、とても冷静な脅威アクターだということが、最初に感じたことです。こうして、BleepingComputer のインタビューに答えることで、ダークウェブでの販売を上手く展開したいと考えているのでしょう。もしくは、Cisco が折れてくるのを待っているのでしょう。よろしければ、IntelBroker で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.