Sensible Daten von Atlassian waren zuvor auf Telegram durchgesickert, nachdem ein Hacker Mitarbeiteranmeldeinformationen in einem Akt des Identitätsdiebstahls verwendet hatte, um auf ein System zuzugreifen, das einem Drittanbieter gehört.
Wie die Medien Ende letzter Woche berichteten, fanden Hacker der SiegedSec-Bedrohungsakteursgruppe die Zugangsdaten eines Mitarbeiters des australischen Anbieters von Kollaborationssoftware Atlassian. Sie nutzten diese Anmeldeinformationen, um auf Envoy zuzugreifen, eine Drittanbieter-App, die Atlassian für die Koordination von Ressourcen im Büro verwendet.
Wie sich herausstellte, fanden sie die Anmeldeinformationen, nachdem sie fälschlicherweise in einem öffentlichen Repository veröffentlicht wurden.
Lecks auf Telegramm
Nachdem sie die in Envoy gefundenen Daten gesammelt hatten, ließen sie sie auf Telegram durchsickern:
„Wir geben Tausende von Mitarbeiterakten sowie einige Grundrisse von Gebäuden preis. Diese Mitarbeiterakten enthalten E-Mail-Adressen, Telefonnummern, Namen und vieles mehr~!“
Nicht lange nach der Verletzung analysierten Cybersicherheitsforscher von Check Point Software den gestohlenen Datensatz und bestätigten, dass er zwei Grundrisse der Büros in Sydney und San Francisco enthielt. Darüber hinaus hat SiegedSec eine JSON-Datei mit Daten zu Atlassian-Mitarbeitern geleakt. Kundendaten (öffnet in neuem Tab) war von diesem Vorfall nicht betroffen.
Check Point erklärte dann, was später von allen Parteien bestätigt wurde: Die Systeme von Atlassian wurden nicht direkt angegriffen, sondern die Angreifer griffen über gestohlene Zugangsdaten auf Envoy zu.
„Am 15. Februar 2023 haben wir erfahren, dass Daten von Envoy, einer Drittanbieter-App, die Atlassian zur Koordinierung von Büroressourcen verwendet, kompromittiert und veröffentlicht wurden. Atlassian-Produkt- und Kundendaten sind nicht über die Envoy-App zugänglich und daher nicht gefährdet “, sagte Atlassian der Veröffentlichung.
„Die Sicherheit von Atlassians hat für uns Priorität, und wir haben schnell daran gearbeitet, die physische Sicherheit in unseren Büros weltweit zu verbessern. Wir untersuchen diesen Vorfall aktiv und werden die Mitarbeiter weiterhin auf dem Laufenden halten, sobald wir mehr erfahren.“
Envoy sagte auch, dass seine Systeme nicht kompromittiert wurden.
„Wir untersuchen dies gerade und sind uns keiner Kompromittierung unserer Systeme bewusst. Unsere ersten Recherchen zeigen, dass ein Hacker Zugriff auf die gültigen Anmeldeinformationen eines Atlassian-Mitarbeiters erlangte, um das Atlassian-Mitarbeiterverzeichnis und die Bürogrundrisse in der Envoy-App zu schwenken und darauf zuzugreifen “, sagte das Unternehmen gegenüber BleepingComputer.
„Envoy nimmt wie Atlassian die Sicherheit und Vertraulichkeit der Daten unserer Kunden unglaublich ernst und hat strenge Maßnahmen ergriffen, um sie zu schützen.“
„Wir können bestätigen, dass die Systeme von Envoy nicht kompromittiert oder verletzt wurden und auf die Daten anderer Kunden nicht zugegriffen wurde“, wiederholte das Unternehmen später.
Über: Piepender Computer (öffnet in neuem Tab)