Wyciek danych firmy Fortinet. Co poszło nie tak?

Na Breach Forum 12 września użytkownik o nazwie Fortibitch opublikował post zawierający dane dostępowe do bucket’a MinIO (nie jest to usługa S3 należąca do Amazon Web Services, jak podano we wpisie — adres IP wskazuje na Szwajcarię i należy do firmy Private Layer). Rzekomo udostępnił 440 GB danych wykradzionych z konta SharePoint należącego do Fortinet

Wyciek danych - zdjęcie ilustracyjne
Wyciek danych - zdjęcie ilustracyjne
Źródło zdjęć: © avlab

Pewne jest, że wyciek miał miejsce, ponieważ firma opublikowała oświadczenie. Wynika z niego, że nieuprawniony dostęp dotyczy zaledwie mniej niż 0.3% wszystkich klientów — dodatkowo nie wszystkie udostępnione dane zawierają jakiekolwiek informacje o klientach.

Breach Forum - wyciek
Breach Forum - wyciek© Avlab

Sam atakujący podobno nie uzyskał dostępu do wewnętrznej sieci Fortinet. Według informacji w notce prasowej wyciek nie ma żadnego związku z działaniem ransomware, co jest niezgodne z opisem na forum — niemniej oświadczenie jest zdecydowanie wiarygodniejsze od wpisu "anonimowej" osoby.

MinIO na serwerze hostującym dane z wycieku Fortinet
MinIO na serwerze hostującym dane z wycieku Fortinet© Avlab

Można podejrzewać, że przejęte zostało konto Office 365 jednego pracownika, które akurat posiadało dostęp do wykradzionych danych (np. udostępnionych przez współpracowników, co jest standardem w SharePoint). W pewien sposób zostały przejęte dane logowania. Dlatego dość istotne jest skonfigurowanie przykładowo MFA — po podaniu prawidłowego loginu i hasła konieczne będzie również wpisanie kodu wyświetlonego w aplikacji, np. Microsoft Authenticator.

Dalsza część artykułu pod materiałem wideo

Co poszło nie tak?

Przyczyną przejęcia poświadczeń (nie tylko w opisywanym przypadku) może być zwykły phishing, ale również działanie złośliwego oprogramowania. Ważne jest szkolenie pracowników i monitorowanie ich aktywności, szczególnie podczas pracy zdalnej, o czym szerszej pisałem w tej recenzji.

Być może warto przemyśleć również zastosowanie praktyki przechowywania najbardziej kluczowych danych firmy (przykładowo informacji o klientach) w wewnętrznych systemach, do których dostęp ograniczony byłby wyłącznie do sieci lokalnej i ewentualnie VPN. Do usług typu SharePoint można zalogować się z dowolnej lokalizacji, a przy zastosowaniu ograniczeń w sieci wewnętrznej minimalizuje się ryzyko nieuprawnionego dostępu.

Wnioski

Fortinet jest jednym z najbardziej znaczących przedsiębiorstw z branży cybersecurity, dlatego oprócz szeregu innych problemów związanych z wyciekiem danych pojawią się również straty wizerunkowe. O ile CrowdStrike posiada duże doświadczenie w globalnych awariach i raczej nie będzie podobnego przykładu w najbliższym czasie, to każda firma powinna poważnie podejść do kwestii zabezpieczeń.

Zawsze jednak należy przeprowadzić w pierwszej kolejności analizę ryzyka i ocenę sensowności podejmowanych działań, bo nie każde zabezpieczenie ma zastosowanie w danym przypadku.

Programy

Zobacz więcej
Źródło artykułu:avlab.pl
Wybrane dla Ciebie
Komentarze (5)