¿Qué se sabe sobre la filtración de datos de Sisense?
Sisense aún mantiene en secreto los detalles sobre el incidente de seguridad.
Una notificación del director de seguridad de la información de la empresa, compartida por el periodista de ciberseguridad Brian Krebs, dice que la empresa está «al tanto de los informes de que cierta información de la empresa Sisense puede haber estado disponible en lo que nos han informado que es un servidor de acceso restringido (no disponible generalmente). En Internet.»
Mientras investigan el incidente con la ayuda de expertos externos en ciberseguridad, instaron a los clientes a rotar las credenciales que utilizaron dentro de su aplicación Sisense.
«CISA está asumiendo un papel activo en la colaboración con socios de la industria privada para responder a este incidente, especialmente en lo que se refiere a las organizaciones del sector de infraestructura crítica afectadas», dijo la agencia de ciberseguridad de EE. UU., y pidió a los clientes de Sisense que «investiguen e informen a CISA». cualquier actividad sospechosa que involucre credenciales potencialmente expuestas o utilizadas para acceder a los servicios de Sisense”.
Los clientes de Sisense incluyen corporaciones como Nasdaq, Air Canada, Hive y otras .
Dependiendo de la información que se haya visto comprometida, esto tiene el potencial de ser un gran problema. Si las credenciales/secretos de los clientes se han visto comprometidos y se han utilizado indebidamente, los actores de amenazas podrían haber tenido acceso a los datos corporativos de esas organizaciones.
ACTUALIZACIÓN (12 de abril de 2024, 05:35 am ET):
Sisense CISO Sangram Dash ha enviado otra notificación a los clientes de la empresa, con consejos más específicos sobre qué contraseñas, tokens, certificados, parámetros, etc. deben reemplazarse, restablecerse o rotarse.
Notificación al cliente de Sisense (Fuente: Marc Rogers)
“La naturaleza de Sisense es que requieren acceso a fuentes de datos confidenciales de sus clientes. Tienen acceso directo a conexiones JDBC, SSH y plataformas SaaS como Salesforce y muchas más. También significa que tienen tokens, credenciales y certificados que a menudo tienen un alcance superior”, señaló Marc Rogers, jefe de seguridad de DEF CON y fundador de CTI League (una comunidad global de voluntarios, CERT).
“Los datos robados de sisense contenían todos estos tokens, credenciales y configuraciones de acceso. Este es el peor de los casos para muchos clientes de Sisense. A menudo éstas son literalmente las llaves de sus reinos. Trátelo como un evento EXTREMADAMENTE grave”.
Sisense aún no ha confirmado cómo ocurrió la violación, aunque varias fuentes le dijeron a Brian Krebs que todo comenzó cuando los atacantes obtuvieron acceso al repositorio de código Gitlab de la compañía, donde encontraron un token o credencial que les permitió acceder a los depósitos Amazon S3 de la compañía.
Fuente y redacción: helpnetsecurity.com
