Агентство по кибербезопасности и защите инфраструктуры США (CISA) заявило, что расследует недавний взлом компании Sisense, занимающейся анализом данных. CISA предупреждает, что атака затронула организации критической инфраструктуры страны и призывает клиентов Sisense срочно заменить все учетные данные и токены доступа, связанные с инструментами и сервисами компании.
Sisense — американская компания, занимающаяся разработкой ПО для бизнес-аналитики, основанная в Израиле в 2004 году и имеющая штаб-квартиру в Нью-Йорке. Среди клиентов компании числятся такие гиганты, как Nasdaq, ZoomInfo, Verizon и Air Canada.
CISA заявляет, что в настоящее время работает над расследованием совместно с представителями частного сектора и старается оценить возможные последствия инцидента. Также сообщается, что взлом был обнаружен некими независимыми ИБ-исследователями.
Эксперты призывают всех клиентов Sisense как можно скорее сбросить все учетные данные и секреты, которые могли быть раскрыты или использованы для доступа к платформе и сервисам компании.
Аналогичный совет дали своим клиентам и сами представители Sisense. Так, известный ИБ-журналист Брайан Кребс цитировал разосланное клиентам компании письмо, в котором сообщалось о взломе внутреннего сервера Sisense, на котором хранились данные пользователей.
В своем блоге Кребс, со ссылкой на собственные источники, рассказывает, что взлом начался с того, что злоумышленники каким-то образом получили доступ к GitLab-репозиторию компании, где нашли токен или учетные данные, которые давали доступ к бакетам Sisense в облаке Amazon S3.
Источники журналиста утверждают, что злоумышленники использовали доступ к S3 для кражи нескольких терабайт данных клиентов Sisense. Предполагается, что были похищены миллионы токенов доступа, пароли от учетных записей электронной почты и даже SSL-сертификаты. Так, позже Sisense опубликовала более детальные инструкции по сбросу всевозможных токенов и учетных данных для своих клиентов.
Серьезность атаки на Sisense косвенно подтверждает и ИБ-специалист Марк Роджерс (Marc Rogers), по данным которого, агентства по кибербезопасности всех стран альянса Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании) были привлечены к реагированию на этот инцидент.
Основываясь на предупреждении CISA и просачивающихся в сеть слухах, специалисты полагают, что речь, похоже, идет о масштабной атаке на цепочку поставок, в результате которой пострадали данные тысяч компаний по всему миру.