Хакер #305. Многошаговые SQL-инъекции
Компания Cisco подтвердила, что была вынуждена отключить свой портал DevHub, так как хакеры сливают в сеть «непубличные» данные. При этом компания по-прежнему утверждает, что нет никаких доказательств того, что ее системы были скомпрометированы.
«Мы установили, что данные, о которых идет речь, находятся в общедоступной среде DevHub — ресурсном центре Cisco, который позволяет нам поддерживать сообщество, предоставляя клиентам доступ к программному коду, скриптам и так далее, чтобы клиенты могли использовать все это по мере необходимости, — гласит обновленное заявление Cisco. — На данном этапе расследования установлено, что небольшое количество файлов, не разрешенных для публичного скачивания, могли быть опубликованы».
В Cisco подчеркивают, что нет никаких признаков того, что была похищена личная информация или финансовые данные, но расследование еще продолжается.
Напомним, что о взломе Cisco на прошлой неделе заявил хакер под ником IntelBroker. По его словам, 6 октября 2024 года он и его сообщники (EnergyWeaponUser и zjj) взломали компанию и похитили большое количество данных о разработчиках.
«Скомпрометированные данные: проекты Github, проекты Gitlab, проекты SonarQube, исходный код, жестко закодированные учетные данные, сертификаты, SRC клиентов, конфиденциальные документы Cisco, тикеты Jira, API-токены, приватные бакеты AWS, технологические SRC Cisco, сборки Docker, бакеты Azure Storage, приватные и публичные ключи, SSL-сертификаты, премиум-продукты Cisco и многое другое», — писал IntelBroker на хакерском форуме.
Также в своем посте злоумышленник поделился образцами якобы украденных данных, включая БД, информацию о клиентах, различную документацию для заказчиков и скриншоты порталов управления.
Как теперь сообщает Bleeping Computer, IntelBroker утверждает, что получил доступ к среде для сторонних разработчиков Cisco через «утекший» токен API. Более того, так как Cisco до сих пор не признала факт атаки официально, IntelBroker поделился с журналистами дополнительными файлами и скриншотами, чтобы доказать, что у него действительно был доступ к среде разработки.
Издание сообщает, что передало эту информацию Cisco, и файлы действительно демонстрируют, что хакер имел доступ к большинству, если не ко всем данным, хранящимся на скомпрометированном портале (включая исходный код, файлы конфигурации с учетными данными БД, техническую документацию и файлы SQL).
Хуже того, еще в конце прошлой недели IntelBroker заявил, что лишился доступа к этим данным лишь в минувшую пятницу (18 октября), после того как Cisco полностью отключила доступ к порталу и скомпрометированной среде JFrog. Хакер утверждает, что одновременно с этим потерял доступ к серверу Maven и Docker, связанными с порталом DevHub.
Представители Cisco пока не прокомментировали эти заявления злоумышленника.