La compañía que ofrece servicios de análisis de datos Sisense ha sufrido un incidente de ciberseguridad que podría haber expuesto la información de algunas de las compañías más grandes del mundo. La víctima trabaja con gigantes como Verizon, Nasdaq, Philips Healthcare, Air Canadá y otras grandes corporaciones.
Por el momento, mientras lleva a cabo su investigación particular, Sisense no ha revelado demasiados detalles sobre lo ocurrido.
No obstante, según el periodista especializado en ciberseguridad Brian Krebas -quien ha podido acceder a una notificación del responsable de ciberseguridad de la compañía- cierta información de Sisense habría estado disponible en un servidor de acceso restringido que, generalmente, no suele encontrarse accesible en Internet.
Este suceso ha impulsado a la propia compañía, así como a la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.) a presionar a los clientes para que restablezcan las credenciales que usaron en su aplicación de Sisense "y los secretos potencialmente expuestos o utilizados para acceder a los servicios de Sisense".
"CISA está asumiendo un papel activo en la colaboración con socios de la industria privada para responder a este incidente, especialmente en lo que se refiere a las organizaciones del sector de las infraestructura críticas afectadas", ha subrayado la agencia de ciberseguridad de EE.UU.
Además, el organismo ha pedido a los clientes de Sisense que "investiguen" y les informen de cualquier actividad sospechosa que involucre credenciales potencialmente expuestas o utilizadas para acceder a los servicios de Sisense”.
El viernes Sisense CISO Sangram Dash envió otra notificación a los clientes de la compañía con consejos más específicos sobre qué contraseñas, tokens, certificados, parámetros, etc deben cambiarse, restablecerse o rotarse, según se hace eco HelpNetSecurity.
Un incidente muy grave
Marc Rogers, jefe de seguridad de DEF CON y la comunidad global de voluntarios CTI League califica el evento como "extremadamente grave" y explica que “los datos robados de Sisense contenían todos estos tokens, credenciales y configuraciones de acceso. Este es el peor de los casos para muchos clientes de la casa. A menudo éstas son literalmente las llaves de sus reinos".
Por ahora, la compañía afectada no ha revelado cuál fue el origen de la violación, aunque varias fuentes le han trasladado a Rogers que todo empezó cuando los actores de amenazas obtuvieron el acceso al repositorio de código Gitlab de la firma. Aquí se encontraba un token o credencial que permitía entrar a los depósitos Amazon S3 de la compañía