CÁT, CÁT, TẤT CẢ RƠI XUỐNG —
truyền
Tấn công “được nhắm mục tiêu rất chỉ rõ” bao gồm một sự chèn dữ liệu vào khung lệnh của JumpCloud.
Dan Goodin –
JumpCloud, dịch vụ quản lý công nghệ dựa trên đám mây được liệt kê Cars.com, GoFundMe và Foursquare là trong số 5.000 khách hàng trả tiền của mình, đã bị tấn công bảo mật do hacker làm việc cho một quốc gia, công ty nói vào tuần trước.
Tấn công bắt đầu vào ngày 22 tháng 6 như một chiến dịch giả mạo, công ty tiết lộ vào thứ tư tuần trước. Theo đó, JumpCloud nói, “nhân tố tấn công được tài trợ bởi quốc gia tinh vi” đã có quyền truy cập vào một phần nào đó của mạng lưới nội bộ JumpCloud. Mặc dù các nhà điều tra ở thời điểm đó không tìm thấy bằng chứng bất kỳ khách hàng nào bị ảnh hưởng, công ty nói rằng nó đã xoay các chứng chỉ tài khoản, xây dựng lại hệ thống của mình và thực hiện các biện pháp phòng ngừa khác.
Vào ngày 5 tháng 7, nhà điều tra phát hiện rằng việc lột có liên quan đến “hoạt động bất thường trong khung lệnh cho một số khách hàng nhỏ”. Trong phản ứng, đội bảo mật của công ty thực hiện một quay lại bắt buộc của tất cả các khóa API quản trị và thông báo cho khách hàng bị ảnh hưởng.
Khi nhà điều tra tiếp tục phân tích, họ phát hiện rằng tấn công cũng bao gồm một “chèn dữ liệu vào khung lệnh”, mô tả trong thông báo này là “vector tấn công”. Thông báo không giải thích liên kết giữa chèn dữ liệu và quyền truy cập được đạt được bởi tấn công giả mạo vào ngày 22 tháng 6. Ars hỏi PR JumpCloud cho chi tiết, và nhân viên trả lời bằng cách gửi bài thông báo cùng một bài báo mà bỏ qua những chi tiết như vậy.
Nhà điều tra cũng phát hiện ra rằng tấn công được nhắm mục tiêu rất chỉ rõ và giới hạn cho các khách hàng cụ thể, mà công ty không đặt tên.
JumpCloud nói trên trang web của mình rằng nó có cơ sở người dùng toàn cầu có hơn 200.000 tổ chức, với hơn 5.000 khách hàng trả tiền. Chúng bao gồm Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance và Foursquare. JumpCloud đã thu được hơn 400 triệu đô la từ các nhà đầu tư, bao gồm Sapphire Ventures, General Atlantic, Sands Capital, Atlassian và CrowdStrike.
Trong thông báo tuần trước, Giám đốc Bảo mật Thông tin của JumpCloud Bob Phan viết:
Vào ngày 27 tháng 6 lúc 15:13 UTC, chúng tôi phát hiện ra hoạt động bất thường trên hệ thống điều khiển nội bộ mà chúng tôi theo dõi lại một chiến dịch giả mạo tinh vi được thực hiện bởi nhân tố tấn công vào ngày 22 tháng 6. Hoạt động đó bao gồm truy cập không được phép đến một phần nào đó của cơ sở hạ tầng của chúng tôi. Chúng tôi không thấy bằng chứng ảnh hưởng đến khách hàng ở thời điểm đó. Vì sự bảo đảm, chúng tôi xoay các chứng chỉ tài khoản, xây d
Tin tức ngày càng phát tràn rằng JumpCloud đã bị hacker của nhà nước tấn công. Công ty của hơn 200.000 tổ chức công nghệ thông tin này đang thực hiện bộ phận tháo gỡ và phục hồi hệ thống.Hậu quả tấn công vẫn còn là chưa rõ ràng và những thủ phạm chưa được ám chỉ. FPT, một công ty CNTT lớn của Việt Nam, đã có tên trong danh sách của những Get bị tấn công cung cấp dịch vụ tính toán, lưu trữ, đào tạo và các hoạt động liên quan.
JumpCloud cũng cho biết nó đã kích hoạt một sự kiện bảo mật, bằng cách cung cấp những hướng dẫn để phòng ngừa các tấn công và đảm bảo mọi người có thể được bảo vệ. Những người có các tài khoản cộng tác với JumpCloud có thể bị ảnh hưởng bởi tấn công và cần lập tức đổi mật khẩu để chống lại các hành động gian lận.
Hãy lưu ý rằng tấn công là rất phức tạp và những nhà cung cấp dịch vụ trực tuyến nên nghiên cứu kỹ thông tin về an ninh mạng và chủ động kiểm soát các hành động của mình, nếu cần. việc triển khai một mô hình phòng ngừa nhiều lớp đều là vấn đề quan trọng, có thể giúp giảm rủi ro và đưa ra những biện pháp bảo vệ máy chủ và thông tin của bạn trước các cuộc tấn công này.