ال وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية قالت (CISA) اليوم إنها تحقق في اختراق شركة استخبارات الأعمال سيسينس، والتي تم تصميم منتجاتها للسماح للشركات بعرض حالة خدمات الطرف الثالث المتعددة عبر الإنترنت في لوحة معلومات واحدة. وحثت CISA جميع عملاء Sisense على إعادة تعيين أي بيانات اعتماد وأسرار ربما تمت مشاركتها مع الشركة، وهي نفس النصيحة التي قدمتها Sisense لعملائها مساء الأربعاء.
لدى Sisense، ومقرها مدينة نيويورك، أكثر من ألف عميل عبر مجموعة من قطاعات الصناعة، بما في ذلك الخدمات المالية والاتصالات والرعاية الصحية والتعليم العالي. في 10 أبريل، سانجرام داش، كبير مسؤولي أمن المعلومات في شركة Sisense أخبرت العملاء أن الشركة على علم بالتقارير التي تفيد بأن “بعض معلومات شركة Sisense ربما تكون متاحة على ما قيل لنا إنه خادم وصول مقيد (غير متوفر بشكل عام على الإنترنت)”.
وتابع داش: “نحن نأخذ هذا الأمر على محمل الجد وبدأنا التحقيق على الفور”. “لقد قمنا بإشراك خبراء رائدين في الصناعة لمساعدتنا في التحقيق. ولم يؤد هذا الأمر إلى انقطاع عملياتنا التجارية. من باب الحذر الشديد، وبينما نواصل التحقيق، نحثك على تبديل أي بيانات اعتماد تستخدمها داخل تطبيق Sisense الخاص بك على الفور.
وقالت CISA في تنبيهها إنها تعمل مع شركاء الصناعة من القطاع الخاص للرد على التسوية الأخيرة التي اكتشفها باحثون أمنيون مستقلون تشمل Sisense.
وجاء في التنبيه المتناثر: “تلعب CISA دورًا نشطًا في التعاون مع شركاء الصناعة من القطاع الخاص للاستجابة لهذا الحادث، خاصة فيما يتعلق بمؤسسات قطاع البنية التحتية الحيوية المتأثرة”. “سنقدم التحديثات مع توفر المزيد من المعلومات.”
ورفض Sisense التعليق عندما سئل عن صحة المعلومات التي شاركها مصدران موثوقان لهما معرفة وثيقة بالتحقيق في الانتهاك. وقالت هذه المصادر إن الاختراق يبدو أنه بدأ عندما تمكن المهاجمون بطريقة ما من الوصول إلى مستودع أكواد Gitlab الخاص بالشركة، وفي هذا المستودع كان هناك رمز مميز أو بيانات اعتماد تتيح للأشرار الوصول إلى مجموعات Amazon S3 الخاصة بـ Sisense في السحابة.
يمكن للعملاء استخدام Gitlab إما كحل تتم استضافته في السحابة على Gitlab.com، أو كنشر مُدار ذاتيًا. يدرك KrebsOnSecurity أن Sisense كان يستخدم الإصدار المُدار ذاتيًا من Gitlab.
قال كلا المصدرين إن المهاجمين استخدموا وصول S3 لنسخ وتصفية عدة تيرابايت من بيانات عملاء Sisense، والتي تضمنت على ما يبدو الملايين من رموز الوصول، وكلمات مرور حساب البريد الإلكتروني، وحتى شهادات SSL.
يثير الحادث تساؤلات حول ما إذا كانت شركة Sisense تفعل ما يكفي لحماية البيانات الحساسة التي عهد بها العملاء إليها، مثل ما إذا كان الحجم الهائل من بيانات العملاء المسروقة قد تم تشفيره أثناء وجودها في خوادم Amazon السحابية.
ومع ذلك، فمن الواضح أن المهاجمين غير المعروفين لديهم الآن جميع بيانات الاعتماد التي استخدمها عملاء Sisense في لوحات المعلومات الخاصة بهم.
يوضح الاختراق أيضًا أن Sisense محدود إلى حد ما في إجراءات التنظيف التي يمكن أن يتخذها نيابة عن العملاء، لأن رموز الوصول هي في الأساس ملفات نصية على جهاز الكمبيوتر الخاص بك والتي تسمح لك بالبقاء مسجلاً الدخول لفترات طويلة من الوقت – أحيانًا إلى أجل غير مسمى . واعتمادًا على الخدمة التي نتحدث عنها، قد يكون من الممكن للمهاجمين إعادة استخدام رموز الوصول هذه للمصادقة كضحية دون الاضطرار إلى تقديم بيانات اعتماد صالحة.
أبعد من ذلك، الأمر متروك إلى حد كبير لعملاء Sisense ليقرروا ما إذا كانوا سيغيرون كلمات المرور لمختلف خدمات الطرف الثالث التي عهدوا بها سابقًا إلى Sisense ومتى.
في وقت سابق من اليوم، تواصلت شركة علاقات عامة تعمل مع Sisense لمعرفة ما إذا كانت KrebsOnSecurity تخطط لنشر أي تحديثات أخرى بشأن الاختراق (نشرت KrebsOnSecurity لقطة شاشة للبريد الإلكتروني لعميل CISO إلى كل من ينكدين و مستودون مساء الأربعاء). قال ممثل العلاقات العامة إن Sisense أراد التأكد من أن لديهم فرصة للتعليق قبل نشر القصة.
ولكن عندما واجهت سيسنس التفاصيل التي شاركتها مصادري، يبدو أنها غيرت رأيها.
“بعد التشاور مع Sisense، أخبروني أنهم لا يرغبون في الرد،” قال مندوب العلاقات العامة في رد عبر البريد الإلكتروني.
تحديث الساعة 6:49 مساءً بالتوقيت الشرقي: تمت إضافة توضيح بأن Sisense يستخدم إصدارًا مستضافًا ذاتيًا من Gitlab، وليس الإصدار السحابي الذي يديره Gitlab.com.
أيضًا، أرسل CISO Dash الخاص بـ Sisense تحديثًا إلى العملاء مباشرةً. أحدث نصيحة من الشركة أكثر تفصيلاً بكثير، وتتضمن إعادة تعيين عدد كبير محتمل من رموز الوصول عبر تقنيات متعددة، بما في ذلك بيانات اعتماد Microsoft Active Directory، وبيانات اعتماد GIT، والرموز المميزة للوصول إلى الويب، وأي أسرار أو رموز مميزة لتسجيل الدخول الموحد (SSO). .
الرسالة الكاملة من Dash إلى العملاء أدناه:
“مساء الخير،
نحن نتابع اتصالاتنا السابقة بتاريخ 10 أبريل 2024، فيما يتعلق بالتقارير التي تفيد بأن بعض معلومات شركة Sisense ربما تكون متاحة على خادم وصول مقيد. وكما ذكرنا، نحن نأخذ هذا الأمر على محمل الجد ولا يزال تحقيقنا مستمرًا.
يجب على عملائنا إعادة تعيين أي مفاتيح أو رموز مميزة أو بيانات اعتماد أخرى في بيئتهم المستخدمة داخل تطبيق Sisense.
على وجه التحديد، يجب عليك:
– تغيير كلمة المرور الخاصة بك: قم بتغيير جميع كلمات المرور المتعلقة بـ Sisense على http://my.sisense.com
– غير الدخول الموحد:
– استبدل السر الموجود في قسم أمان التكوين الأساسي بـ GUID/UUID الخاص بك.
– إعادة تعيين كلمات المرور لجميع المستخدمين في تطبيق سيسنس.
– قم بتسجيل الخروج لجميع المستخدمين عن طريق تشغيل GET /api/v1/authentication/logout_all ضمن المستخدم المسؤول.
– الدخول الموحد (SSO):
– إذا كنت تستخدم SSO JWT لمصادقة المستخدم في Sisense، فستحتاج إلى تحديث sso.shared_secret في Sisense ثم استخدام القيمة التي تم إنشاؤها حديثًا على جانب معالج SSO.
– نوصي بشدة بتدوير شهادة x.509 لموفر هوية SSO SAML الخاص بك.
– إذا كنت تستخدم OpenID، فمن الضروري تدوير سر العميل أيضًا.
– بعد هذه التعديلات، قم بتحديث إعدادات الدخول الموحد (SSO) في Sisense بالقيم التي تمت مراجعتها.
– قم بتسجيل الخروج لجميع المستخدمين عن طريق تشغيل GET /api/v1/authentication/logout_all ضمن المستخدم المسؤول.
– بيانات اعتماد قاعدة بيانات العملاء: إعادة تعيين بيانات الاعتماد في قاعدة البيانات الخاصة بك والتي تم استخدامها في تطبيق Sisense لضمان استمرارية الاتصال بين الأنظمة.
– نماذج البيانات: قم بتغيير جميع أسماء المستخدمين وكلمات المرور في سلسلة اتصال قاعدة البيانات في نماذج البيانات.
– معلمات المستخدم: إذا كنت تستخدم ميزة معلمات المستخدم، فقم بإعادة تعيينها.
– Active Directory/LDAP: قم بتغيير اسم المستخدم وكلمة مرور المستخدم للمستخدمين الذين يتم استخدام تفويضهم لمزامنة AD.
– مصادقة HTTP لـ GIT: قم بتدوير بيانات الاعتماد في كل مشروع GIT.
– عملاء B2D: استخدم اتصال API PATCH api/v2/b2d التالي في قسم الإدارة لتحديث اتصال B2D.
– تطبيقات Infusion: قم بتدوير المفاتيح المرتبطة.
– رمز الوصول إلى الويب: قم بتدوير كافة الرموز المميزة.
– خادم البريد الإلكتروني المخصص: قم بتدوير بيانات الاعتماد المرتبطة.
– الكود المخصص: إعادة تعيين أي أسرار تظهر في دفاتر الملاحظات ذات التعليمات البرمجية المخصصة.
إذا كنت بحاجة إلى أي مساعدة، يرجى إرسال تذكرة دعم العملاء على https://community.sisense.com/t5/support-portal/bd-p/SupportPortal ووضع علامة عليها باعتبارها حرجة. لدينا فريق استجابة مخصص على أهبة الاستعداد للمساعدة في تلبية طلباتك.
في Sisense، نولي أهمية قصوى للأمن ونلتزم بنجاح عملائنا. نشكركم على شراكتكم والتزامكم بأمننا المتبادل.
يعتبر،
سانجرام داش
كبير موظفي أمن المعلومات”
“متعطش للطعام. طالب. متحمس محترف للزومبي. مبشر شغوف بالإنترنت.”
More Stories
نحن نرفع السعر المستهدف لشركة Apple بعد أن ارتفعت الأرباح وارتفعت
الأسهم ترتفع مع تلاشي المخاوف من رفع أسعار الفائدة من بنك الاحتياطي الفيدرالي، مع وجود شركة أبل
عرض جيروم باول على الأسواق مهلة. اختفت في لمح البصر.