A Cisco confirmou recentemente que está investigando relatos de uma grande violação de dados. As alegações surgiram depois que um conhecido grupo de hackers, IntelBroker, alegou ter obtido acesso não autorizado aos sistemas da Cisco. Em uma postagem em um fórum de crimes cibernéticos, a IntelBroker detalhou que violou a Cisco em 10 de junho de 2024, roubando uma quantidade significativa de dados, que supostamente inclui código-fonte, documentos internos da Cisco e dados confidenciais de clientes.
Quem está por trás da violação de dados da Cisco?
Um porta-voz da Cisco compartilhou uma declaração com BipandoComputadordizendo: “A Cisco está ciente de relatos de que um ator está alegando ter obtido acesso a determinados arquivos relacionados à Cisco. Lançamos uma investigação para avaliar esta alegação e nossa investigação está em andamento.” Esta declaração pública destaca a abordagem cautelosa da Cisco, ao mesmo tempo que confirma que uma investigação está realmente em andamento. O porta-voz, no entanto, não revelou detalhes específicos sobre a natureza ou extensão da alegada violação.
A IntelBroker afirmou que colaborou com outros dois indivíduos, identificados como EnergyWeaponUser e “zjj”, para obter acesso aos sistemas da Cisco. Os dados comprometidos incluem projetos do GitHub, GitLab e SonarQube, juntamente com credenciais codificadas, certificados SSL, buckets de armazenamento AWS e Azure, tokens API e muito mais. O agente da ameaça também postou amostras dos dados roubados, que incluem capturas de tela de vários portais de gerenciamento de clientes, um banco de dados e documentação interna da Cisco.
Os dados foram supostamente roubados de um provedor de serviços gerenciados terceirizado envolvido no desenvolvimento de software e nos serviços DevOps da Cisco. Fontes indicam que este mesmo fornecedor enfrentou violações envolvendo outras grandes empresas, incluindo T-Mobile e Apple. No entanto, ainda não está claro se este fornecedor terceirizado também foi a causa dos problemas recentes da Cisco.
Quais dados foram supostamente comprometidos?
A postagem da IntelBroker descreve uma ampla gama de informações que foram supostamente roubadas. De acordo com o autor da ameaça, os dados comprometidos incluem projetos de desenvolvimento hospedados em plataformas como GitHub, GitLab e SonarQube, que são essenciais para os processos de desenvolvimento de software da Cisco. Além disso, os hackers afirmam ter obtido credenciais embutidas no código-fonte, o que poderia fornecer acesso não autorizado a outras partes dos sistemas da Cisco. Os certificados de segurança, incluindo certificados SSL e chaves de criptografia públicas e privadas, também foram comprometidos, representando um sério risco para a segurança das comunicações dentro da rede da Cisco.
Os dados roubados também incluem documentos internos rotulados como “Confidencial da Cisco”, que podem conter informações operacionais confidenciais. Além disso, os hackers afirmam ter obtido acesso a tokens de API e dados de armazenamento em nuvem, incluindo buckets privados da AWS e buckets de armazenamento do Azure. Estes activos poderiam ser explorados para obter acesso não autorizado a sistemas cruciais. Outros itens confidenciais listados incluem compilações do Docker, tickets do Jira e detalhes relacionados aos produtos premium da Cisco.
Empresas potencialmente afetadas
A IntelBroker afirma que inúmeras empresas de alto perfil podem ser afetadas pela violação. As alegadas vítimas abrangem vários setores, incluindo telecomunicações, finanças e tecnologia, levantando preocupações sobre a potencial exposição de ativos críticos. Empresas de telecomunicações como Verizon, AT&T (nos EUA e no México), British Telecom, Vodafone (na Albânia e na Austrália) e T-Mobile (nos EUA e na Polónia) foram citadas entre as potenciais vítimas. No sector financeiro, grandes entidades como o Bank of America, o Barclays e o National Australian Bank terão sido afectadas. Além disso, organizações de tecnologia e saúde, incluindo Microsoft, Liberty Global e Dignity Health, também estão listadas como vítimas da suposta violação.
Embora estas alegações ainda não tenham sido verificadas, o envolvimento destas organizações de alto perfil tem gerado considerável preocupação. O âmbito dos dados potencialmente comprometidos apresenta sérios riscos não só para a Cisco, mas também para as empresas afetadas e os seus clientes.
A IntelBroker colocou os dados roubados à venda em um conhecido fórum de hackers. De acordo com a postagem, os dados estão disponíveis para compra usando Monero (XMR), uma criptomoeda popular por seus recursos de privacidade. O hacker também manifestou a disposição de utilizar um intermediário para a transação, prática comum entre os cibercriminosos que visam garantir o anonimato durante o processo de venda. Ao usar uma criptomoeda como o Monero e oferecer um intermediário, a IntelBroker está tentando dificultar o rastreamento do vendedor e do comprador potencial pelas autoridades.
Os dados supostamente oferecidos para venda incluem informações confidenciais, como certificados, tokens de API e credenciais que poderiam ser usadas para acessar os sistemas da Cisco ou de seus clientes. As táticas do grupo de hackers seguem uma tendência mais ampla em que os cibercriminosos muitas vezes monetizam dados roubados através de fóruns clandestinos, às vezes até vendendo-os a empresas concorrentes ou a estados-nação.
Consequências da violação de dados da Cisco
As consequências de uma violação de dados confirmada na Cisco podem ser significativas, tanto em termos de perdas financeiras como de danos à reputação. As violações de dados muitas vezes resultam em publicidade negativa, redução da confiança do cliente e declínio no valor de mercado da empresa, o que poderia afetar potencialmente os resultados financeiros da Cisco. Na verdade, as ações da Cisco Systems registaram uma ligeira queda após a notícia da alegada violação ter sido tornada pública. HackManac postou detalhes sobre a violação na plataforma social X (antigo Twitter), fazendo com que as ações caíssem de US$ 0,30 para US$ 53,95 durante as negociações da tarde.
🚨Alerta de violação de dados ‼️
IntelBroker, em colaboração com EnergyWeaponUser e zjj, afirma estar vendendo dados de uma violação recente da Cisco.
Os dados comprometidos supostamente incluem projetos GitHub e GitLab, projetos SonarQube, código-fonte, credenciais codificadas, certificados,… pic.twitter.com/b3ZHbLs773
-HackManac (@H4ckManac) 14 de outubro de 2024
Esta queda pode reflectir a incerteza dos investidores, especialmente à luz das extensas reivindicações feitas pela IntelBroker. No momento em que escrevo, de acordo com Visualização de Negociação dados, o preço das ações da Cisco está em US$ 54,16, mostrando alguma estabilização após o incidente.
A resposta da Cisco até agora
A resposta da Cisco foi medida, fornecendo informações limitadas e ao mesmo tempo confirmando que estão investigando ativamente as alegações. Esta abordagem pode indicar que a empresa ainda está trabalhando para determinar a extensão total de qualquer violação que possa ter ocorrido. Dado o envolvimento de clientes empresariais de alto perfil e a natureza dos dados roubados, é provável que a Cisco enfrente uma pressão considerável para fornecer uma declaração pública abrangente assim que a investigação for concluída.
Hackread.com também informou que entrou em contato com a Cisco para comentar, mas ainda não recebeu resposta. Se as alegações forem confirmadas, a estratégia de relações públicas da Cisco terá provavelmente de abordar não só o âmbito do ataque, mas também fornecer detalhes sobre como pretendem mitigar potenciais riscos futuros.
IntelBroker: um histórico de violações de dados
A IntelBroker tem um histórico de realização de violações de dados de alto perfil. No início deste ano, o grupo de hackers assumiu a responsabilidade pela violação de várias empresas importantes, incluindo T-Mobile, HPEe AMD. Durante o ataque à Apple em junho de 2024, a IntelBroker alegou ter roubado código-fonte relacionado às ferramentas internas da empresa, enquanto no caso da AMD, eles supostamente obtiveram acesso a informações confidenciais de funcionários e produtos.
A crescente proeminência da IntelBroker na comunidade do crime cibernético torna a sua recente reclamação contra a Cisco particularmente preocupante. Embora ainda não se saiba se todos os detalhes são precisos, os sucessos anteriores do grupo de hackers conferem um nível de credibilidade às presentes alegações. As agências de aplicação da lei, bem como as empresas afetadas, provavelmente estão monitorando de perto as atividades da IntelBroker enquanto procuram compreender como essas violações ocorreram e o que poderia ser feito para mitigar tais riscos no futuro.
Crédito da imagem em destaque: Cisco