Cisco hat kürzlich bestätigt, dass es Berichte über einen schwerwiegenden Datenschutzverstoß untersucht. Die Behauptungen tauchten auf, nachdem eine bekannte Hackergruppe, IntelBroker, behauptete, sie habe sich unbefugten Zugriff auf die Systeme von Cisco verschafft. In einem Beitrag in einem Cyberkriminalitätsforum erläuterte IntelBroker, dass sie am 10. Juni 2024 gegen Cisco verstoßen und eine erhebliche Datenmenge gestohlen haben, darunter angeblich Quellcode, interne Cisco-Dokumente und vertrauliche Kundendaten.
Wer steckt hinter der Cisco-Datenpanne?
Ein Cisco-Sprecher teilte eine Erklärung mit BleepingComputerDarin heißt es: „Cisco sind Berichte bekannt, denen zufolge ein Akteur behauptet, Zugriff auf bestimmte Cisco-bezogene Dateien erhalten zu haben. Wir haben eine Untersuchung eingeleitet, um diese Behauptung zu prüfen, und unsere Untersuchung ist noch nicht abgeschlossen.“ Diese öffentliche Erklärung unterstreicht Ciscos vorsichtiges Vorgehen und bestätigt gleichzeitig, dass tatsächlich eine Untersuchung im Gange ist. Konkrete Einzelheiten zu Art und Umfang des mutmaßlichen Verstoßes machte der Sprecher jedoch nicht.
IntelBroker behauptete, dass sie mit zwei anderen Personen namens EnergyWeaponUser und „zjj“ zusammengearbeitet hätten, um Zugriff auf die Systeme von Cisco zu erhalten. Zu den kompromittierten Daten gehören Projekte von GitHub, GitLab und SonarQube sowie hartcodierte Anmeldeinformationen, SSL-Zertifikate, AWS- und Azure-Speicher-Buckets, API-Tokens und vieles mehr. Der Bedrohungsakteur veröffentlichte auch Proben der gestohlenen Daten, darunter Screenshots verschiedener Kundenverwaltungsportale, einer Datenbank und interner Cisco-Dokumentation.
Die Daten wurden angeblich von einem Drittanbieter von Managed Services gestohlen, der an der Softwareentwicklung und den DevOps-Diensten von Cisco beteiligt ist. Quellen deuten darauf hin, dass derselbe Anbieter Opfer von Verstößen gegen andere große Unternehmen geworden ist, darunter T-Mobile und Apple. Es bleibt jedoch unklar, ob dieser Drittanbieter auch die Ursache für die jüngsten Probleme von Cisco war.
Welche Daten wurden angeblich kompromittiert?
Der Beitrag von IntelBroker beschreibt eine Vielzahl von Informationen, die angeblich gestohlen wurden. Nach Angaben des Bedrohungsakteurs umfassen die kompromittierten Daten Entwicklungsprojekte, die auf Plattformen wie GitHub, GitLab und SonarQube gehostet werden und für die Softwareentwicklungsprozesse von Cisco von entscheidender Bedeutung sind. Darüber hinaus behaupten die Hacker, im Quellcode fest codierte Anmeldeinformationen erhalten zu haben, die möglicherweise unbefugten Zugriff auf andere Teile der Cisco-Systeme ermöglichen könnten. Berichten zufolge wurden auch Sicherheitszertifikate, darunter SSL-Zertifikate sowie öffentliche und private Verschlüsselungsschlüssel, kompromittiert, was ein ernstes Risiko für die sichere Kommunikation innerhalb des Cisco-Netzwerks darstellt.
Zu den gestohlenen Daten gehören auch interne Dokumente mit der Kennzeichnung „Cisco Confidential“, die möglicherweise sensible Betriebsinformationen enthalten. Darüber hinaus behaupten die Hacker, Zugriff auf API-Tokens und Cloud-Speicherdaten erhalten zu haben, darunter private AWS-Buckets und Azure-Speicher-Buckets. Diese Vermögenswerte könnten ausgenutzt werden, um sich unbefugten Zugriff auf wichtige Systeme zu verschaffen. Zu den weiteren aufgeführten sensiblen Elementen gehören Docker-Builds, Jira-Tickets und Details zu den Premium-Produkten von Cisco.
Potenziell betroffene Unternehmen
IntelBroker behauptet, dass zahlreiche namhafte Unternehmen von dem Verstoß betroffen sein könnten. Die mutmaßlichen Opfer stammen aus mehreren Branchen, darunter Telekommunikation, Finanzen und Technologie, was Bedenken hinsichtlich der möglichen Gefährdung kritischer Vermögenswerte aufkommen lässt. Zu den potenziellen Opfern zählen Telekommunikationsunternehmen wie Verizon, AT&T (in den USA und Mexiko), British Telecom, Vodafone (in Albanien und Australien) und T-Mobile (in den USA und Polen). Im Finanzsektor sind Berichten zufolge große Unternehmen wie die Bank of America, Barclays und die National Australian Bank betroffen. Darüber hinaus werden auch Technologie- und Gesundheitsorganisationen, darunter Microsoft, Liberty Global und Dignity Health, als Opfer des mutmaßlichen Verstoßes aufgeführt.
Obwohl diese Behauptungen noch überprüft werden müssen, hat die Beteiligung solch hochkarätiger Organisationen erhebliche Bedenken hervorgerufen. Der Umfang potenziell kompromittierter Daten stellt nicht nur für Cisco, sondern auch für die betroffenen Unternehmen und deren Kunden erhebliche Risiken dar.
IntelBroker hat die gestohlenen Daten in einem bekannten Hackerforum zum Verkauf angeboten. Laut ihrem Beitrag können die Daten mit Monero (XMR) erworben werden, einer Kryptowährung, die für ihre Datenschutzfunktionen beliebt ist. Der Hacker hat auch seine Bereitschaft zum Ausdruck gebracht, für die Transaktion einen Mittelsmann einzusetzen, was unter Cyberkriminellen eine gängige Praxis ist, die darauf abzielt, während des Verkaufsprozesses Anonymität zu gewährleisten. Durch die Verwendung einer Kryptowährung wie Monero und das Angebot, einen Mittelsmann einzusetzen, versucht IntelBroker, es den Strafverfolgungsbehörden zu erschweren, sowohl den Verkäufer als auch den potenziellen Käufer zu verfolgen.
Zu den angeblich zum Verkauf angebotenen Daten gehören vertrauliche Informationen wie Zertifikate, API-Tokens und Anmeldeinformationen, die für den Zugriff auf die Systeme von Cisco oder seinen Kunden verwendet werden könnten. Die Taktiken der Hackergruppe folgen einem breiteren Trend, bei dem Cyberkriminelle gestohlene Daten oft über Untergrundforen zu Geld machen und sie manchmal sogar an konkurrierende Firmen oder Nationalstaaten verkaufen.
Folgen der Cisco-Datenpanne
Die Folgen einer bestätigten Datenschutzverletzung bei Cisco könnten erheblich sein, sowohl im Hinblick auf finanzielle Verluste als auch auf Reputationsschäden. Datenschutzverletzungen führen häufig zu negativer Publizität, vermindertem Kundenvertrauen und einem Rückgang des Marktwerts des Unternehmens, was sich möglicherweise negativ auf das Endergebnis von Cisco auswirken könnte. Tatsächlich verzeichneten die Aktien von Cisco Systems einen leichten Rückgang, nachdem die Nachricht über den mutmaßlichen Verstoß veröffentlicht wurde. HackManac veröffentlichte Einzelheiten über den Verstoß auf der sozialen Plattform X (ehemals Twitter), was dazu führte, dass die Aktien während des Nachmittagshandels um 0,30 $ auf 53,95 $ fielen.
🚨Datenschutzverletzungswarnung ‼️
IntelBroker behauptet in Zusammenarbeit mit EnergyWeaponUser und zjj, Daten aus einem kürzlich erfolgten Cisco-Verstoß zu verkaufen.
Zu den kompromittierten Daten gehören Berichten zufolge GitHub- und GitLab-Projekte, SonarQube-Projekte, Quellcode, fest codierte Anmeldeinformationen, Zertifikate usw. pic.twitter.com/b3ZHbLs773
— HackManac (@H4ckManac) 14. Oktober 2024
Dieser Rückgang spiegelt möglicherweise die Unsicherheit der Anleger wider, insbesondere angesichts der umfangreichen Ansprüche von IntelBroker. Zum Zeitpunkt des Verfassens dieses Artikels gem TradingView Den aktuellen Daten zufolge liegt der Aktienkurs von Cisco bei 54,16 US-Dollar, was auf eine gewisse Stabilisierung nach dem Vorfall hinweist.
Bisherige Antwort von Cisco
Die Reaktion von Cisco wurde gemessen und lieferte begrenzte Informationen, bestätigte jedoch, dass die Ansprüche aktiv untersucht werden. Dieser Ansatz könnte darauf hindeuten, dass das Unternehmen noch daran arbeitet, das volle Ausmaß eines möglicherweise aufgetretenen Verstoßes zu ermitteln. Angesichts der Beteiligung hochkarätiger Unternehmenskunden und der Art der gestohlenen Daten ist es wahrscheinlich, dass Cisco einem erheblichen Druck ausgesetzt sein wird, nach Abschluss der Untersuchung eine umfassende öffentliche Stellungnahme abzugeben.
Hackread.com hat außerdem berichtet, dass es Cisco um einen Kommentar gebeten, aber noch keine Antwort erhalten hat. Sollten sich die Behauptungen bestätigen, muss sich die PR-Strategie von Cisco wahrscheinlich nicht nur auf das Ausmaß des Angriffs konzentrieren, sondern auch Einzelheiten darüber liefern, wie das Unternehmen potenzielle zukünftige Risiken mindern will.
IntelBroker: Eine Geschichte von Datenschutzverletzungen
IntelBroker kann auf eine Erfolgsbilanz bei der Durchführung hochkarätiger Datenschutzverletzungen zurückblicken. Anfang des Jahres bekannte sich die Hackergruppe zu Verstößen gegen mehrere große Unternehmen, darunter T-Mobile, HPEUnd AMD. Während des Angriffs auf Apple im Juni 2024 behauptete IntelBroker, Quellcode für die internen Tools des Unternehmens gestohlen zu haben, während sie sich im Fall von AMD angeblich Zugang zu sensiblen Mitarbeiter- und Produktinformationen verschafft hätten.
Die zunehmende Bedeutung von IntelBroker in der Cybercrime-Community macht die jüngste Klage gegen Cisco besonders besorgniserregend. Es bleibt zwar abzuwarten, ob alle Angaben zutreffend sind, die bisherigen Erfolge der Hackergruppe verleihen den vorliegenden Anschuldigungen jedoch ein gewisses Maß an Glaubwürdigkeit. Strafverfolgungsbehörden und betroffene Unternehmen werden die Aktivitäten von IntelBroker wahrscheinlich genau beobachten, um zu verstehen, wie es zu diesen Verstößen kam und was getan werden könnte, um solche Risiken in Zukunft zu mindern.
Hervorgehobener Bildnachweis: Cisco
