Fortinet ha confirmado la vulneración de los datos pertenecientes a un «pequeño número» de sus clientes, después de que un hacker que utilizaba el apodo algo colorido «Fortibitch» filtrara 440 GB de información a través de BreachForums esta semana.
El pirata informático afirmó haber obtenido los datos de un sitio de SharePoint Azure y afirmó haberlos filtrado después de que la empresa se negó a negociar una demanda de rescate con el individuo. La situación vuelve a poner en evidencia la responsabilidad de las empresas en materia de seguridad datos mantenidos en repositorios en la nube de tercerosdicen los investigadores.
Acceso no autorizado al entorno SaaS
Fortinet no identificó específicamente la fuente de la infracción. Pero en un aviso del 12 de septiembreLa compañía dijo que alguien obtuvo «acceso no autorizado a una cantidad limitada de archivos almacenados en la instancia de Fortinet de un lector de archivos compartidos de terceros basado en la nube».
El proveedor de seguridad, uno de los más grandes del mundo por capitalización de mercado, identificó que el problema afecta a menos del 0,3% de sus más de 775.000 clientes en todo el mundo, lo que elevaría el número de organizaciones afectadas a aproximadamente 2.325.
Fortinet dijo que no vio signos de actividad maliciosa en torno a los datos comprometidos. «Fortinet implementó inmediatamente un plan para proteger a los clientes y se comunicó directamente con ellos cuando correspondía y apoyó sus planes de mitigación de riesgos», señaló el proveedor de seguridad en el aviso. “El incidente no implicó ningún cifrado de datos, implementación de ransomware ni acceso a la red corporativa de Fortinet. » Fortinet dijo que no esperaba que el incidente tuviera consecuencias. impacto material en sus operaciones o las finanzas.
En un informe de inteligencia de amenazas compartido con Dark Reading, CloudSEK dijo que observó a un actor de amenazas que usaba el identificador Fortibitch y revelaba lo que parecía incluir no solo datos de clientes, sino también documentos financieros y de marketing, información sobre productos, datos de recursos humanos de la India y algunos datos de empleados. .
«El perpetrador intentó extorsionar a la empresa pero, después de negociaciones infructuosas, publicó los datos», dijo CloudSEK. La empresa supone que el hacker habría intentado primero vender los datos, si tuvieran algún valor real.
Fortinet no confirmó ni negó si el pirata informático intentó interactuar con la empresa con respecto a los datos robados.
La publicación del hacker en BreachForums incluía referencias algo libres de contexto a Adquisición de Lacework por Fortinet y SiguienteDLP. También hace referencia a algunos otros malos actores, el más interesante de los cuales es una organización ucraniana identificada como DC8044. «No existen conexiones directas entre Fortibitch y DC8044, pero el tono sugiere una historia entre los dos», según CloudSEK. “Según la información disponible, podemos decir con confianza media que el actor malicioso tiene su base en Ucrania. »
Una brecha de seguridad: recordatorio de los riesgos de la exposición de datos en la nube
El compromiso de Fortinet, aunque aparentemente no es demasiado significativo, es un recordatorio de la mayor amenaza. riesgos de exposición de datos a las empresas cuando utilizan Software como servicio (SaaS) y otros servicios en la nube. sin las garantías adecuadas. Un análisis reciente de Metomic De los aproximadamente 6,5 millones de archivos de Google Drive, más del 40% contenían datos confidenciales, incluidos datos de empleados y hojas de cálculo que contenían contraseñas.
Las empresas solían almacenar sus datos en archivos de Google Drive con poca protección. Más de un tercio (34,2%) de los archivos escaneados se compartieron con direcciones de correo electrónico externas y más de 350.000 archivos se compartieron públicamente.
Rich Vibert, director ejecutivo y fundador de Metomic, dice que las organizaciones cometen tres errores fundamentales cuando se trata de proteger datos en entornos de nube: No usar autenticación multifactor (MFA) controlar el acceso a aplicaciones SaaS; dar a los empleados demasiado acceso a archivos y recursos confidenciales dentro de la propia aplicación; y almacenar datos confidenciales durante demasiado tiempo.
Aún no está claro cómo el hacker pudo acceder a los datos del entorno SharePoint de Fortinet. Pero es probable que el atacante haya podido obtener acceso a credenciales de inicio de sesión válidas, como a través de phishing, luego haya iniciado sesión y haya extraído datos de SharePoint y entornos similares, dice Koushik Pal, periodista de inteligencia especializado en amenazas en CloudSEK. Los ladrones de información también son un vector de ataque «muy común», señala Pal.
Repensar la seguridad en la nube
«Como regla general, los desarrolladores deben utilizar variables de entorno, bóvedas o almacenamiento cifrado para información confidencial y evitar codificar credenciales en el código fuente», dice Pal. A menudo, los desarrolladores codifican credenciales de acceso como claves API, nombre de usuario y contraseña en el código fuente y, sin darse cuenta, insertan el código en un repositorio público o privado no seguro desde el que es posible acceder a él con relativa facilidad.
«Las empresas deberían hacer obligatoria la autenticación multifactor para acceder a SharePoint y otros sistemas críticos para evitar el acceso no autorizado, incluso si las credenciales están comprometidas», dice Pal. “Supervise los repositorios periódicamente para detectar credenciales expuestas, datos confidenciales o errores de configuración, y aplique las mejores prácticas de seguridad en todos los equipos. »
Akhil Mittal, gerente senior de ciberseguridad de Synopsys Software Integrity Group, dice que incidentes como el experimentado por Fortinet muestran por qué está mal que las organizaciones dejen la seguridad de sus activos en la nube por completo a los proveedores de servicios en la nube. “Las organizaciones deberían repensar cómo almacenan los datos de los clientes «En las unidades compartidas, garantizar que la información crítica se mantenga separada de los archivos menos confidenciales», explica.
También es una buena idea cifrar los datos confidenciales en tránsito y en reposo, para limitar los daños incluso si los atacantes obtienen acceso. Mittal cree que el seguimiento continuo de los activos de la nube es fundamental para su protección. «La aplicación de principios de confianza cero a plataformas de terceros también garantiza que no se confíe automáticamente en ningún servicio externo, lo que reduce el riesgo de acceso no autorizado», añade.
No te pierdas las últimas noticias Podcast confidencial de lectura oscura, donde hablamos con dos profesionales de la ciberseguridad que fueron arrestados en el condado de Dallas, Iowa, y obligados a pasar la noche en la cárcel, simplemente por realizar su trabajo de pruebas de penetración. ¡Escuche ahora!
