Skradziono dane uwierzytelniające pracownika firmy Atlassian producenta oprogramowania Jira w celu wycieku poufnych danych

Wrażliwe dane należące do firmy Atlassian wyciekły na Telegramie po tym, jak haker wykorzystał poświadczenia pracowników w akcie kradzieży tożsamości, aby uzyskać dostęp do systemu należącego do zewnętrznego dostawcy.

Jak informowały media pod koniec ubiegłego tygodnia, hakerzy z grupy SiegedSec znaleźli poświadczenia należące do pracownika australijskiego dostawcy oprogramowania do współpracy, firmy Atlassian. Użyli tych poświadczeń, aby uzyskać dostęp do Envoy, aplikacji innej firmy, którą Atlassian wykorzystuje do koordynacji zasobów w biurze. Jak się okazało, znaleźli oni dane uwierzytelniające po tym, jak zostały one błędnie opublikowane na publicznym repozytorium.

„Wyciekamy tysiące rekordów pracowników, a także kilka planów pięter budynków. Te rekordy pracowników zawierają adresy e-mail, numery telefonów, nazwiska i wiele więcej~!”.

Niedługo po naruszeniu, badacze cyberbezpieczeństwa z Check Point Software przeanalizowali skradziony zbiór danych i potwierdzili, że posiadał on dwie mapy pięter dla biur w Sydney i San Francisco. Co więcej, SiegedSec wyciekł plik JSON z danymi o pracownikach Atlassian. Dane klientów nie zostały dotknięte tym incydentem.

Badacze z Check Point stwierdzili wtedy to, co później zostało potwierdzone przez wszystkie strony: Systemy Atlassiana nie zostały bezpośrednio naruszone, ale atakujący raczej uzyskali dostęp do Envoya poprzez skradzione dane uwierzytelniające.

„15 lutego 2023 roku dowiedzieliśmy się, że dane z Envoy, aplikacji innej firmy, którą Atlassian wykorzystuje do koordynowania zasobów w biurze, zostały skompromitowane i opublikowane. Dane produktów i klientów Atlassian nie są dostępne za pośrednictwem aplikacji Envoy, a zatem nie są zagrożone” – powiedział Atlassian w ogłoszeniu.

„Bezpieczeństwo Atlassian jest naszym priorytetem i szybko pracowaliśmy, aby wzmocnić fizyczne bezpieczeństwo w naszych biurach na całym świecie. Aktywnie badamy ten incydent i będziemy nadal dostarczać pracownikom aktualizacje, gdy dowiemy się więcej.”

Envoy poinformował również, że jego systemy nie zostały naruszone.

„Badamy to w tej chwili i nie jesteśmy świadomi żadnego kompromisu w naszych systemach. Nasze wstępne badania pokazują, że haker uzyskał dostęp do ważnych poświadczeń pracownika Atlassian, aby uzyskać dostęp do katalogu pracowników Atlassian i planów biur przechowywanych w aplikacji Envoy”, firma powiedziała BleepingComputer.

„Envoy, podobnie jak Atlassian, traktuje bezpieczeństwo i prywatność danych naszych klientów niewiarygodnie poważnie i stosuje rygorystyczne środki w celu ich ochrony”.

„Możemy potwierdzić, że systemy Envoy nie zostały narażone lub naruszone, a żadne inne dane klientów nie zostały udostępnione” – powtórzyła później firma.