Cisco a confirmé aujourd’hui qu’il avait mis son portail public DevHub hors ligne après qu’un acteur de la menace a divulgué des données « non publiques », mais il continue d’affirmer qu’il n’y a aucune preuve que ses systèmes ont été violés.
« Nous avons déterminé que les données en question se trouvent dans un environnement DevHub public—un centre de ressources Cisco qui nous permet de soutenir notre communauté en mettant à disposition du code logiciel, des scripts, etc. pour que les clients puissent l’utiliser au besoin », lit-on dans une déclaration mise à jour de Cisco.
« À ce stade de notre enquête, nous avons déterminé qu’un petit nombre de fichiers qui n’étaient pas autorisés au téléchargement public ont peut-être été publiés. »
Cisco affirme qu’il n’y a aucune indication que des informations personnelles ou des données financières ont été volées, mais continue d’enquêter sur les données auxquelles on a pu accéder.
Cette déclaration intervient après qu’un acteur de la menace connu sous le nom de courtier Intel a affirmé avoir violé Cisco et tenté de vendre des données et du code source volés à l’entreprise.
Breachtrace a parlé à IntelBroker de la violation présumée, qui a déclaré avoir eu accès à un environnement de développeur tiers Cisco via un jeton d’API exposé.
Au cours de l’enquête de Cisco, IntelBroker est devenu de plus en plus frustré lorsque l’entreprise ne reconnaissait pas un incident de sécurité, partageant des captures d’écran avec Breachtrace pour prouver qu’il avait accès à un environnement de développement Cisco.
Ces captures d’écran et fichiers, que nous avons également partagés avec Cisco, ont montré que l’auteur de la menace avait accès à la plupart, sinon à la totalité, des données stockées sur ce portail. Ces données comprenaient le code source, les fichiers de configuration avec les informations d’identification de la base de données, la documentation technique et les fichiers SQL.
On ne sait pas quelles données client ont été stockées sur ces serveurs, et aucune n’a été partagée avec nous.
IntelBroker a en outre affirmé avoir un accès continu jusqu’à aujourd’hui, lorsque Cisco a bloqué tout accès au portail et à l’environnement de développement JFrog compromis. L’auteur de la menace a également déclaré avoir perdu l’accès à un serveur Maven et Docker lié au portail DevHub, mais n’a partagé aucune preuve de cet accès.
Lorsqu’on lui a demandé s’il avait tenté d’extorquer à Cisco de ne pas publier de données volées, IntelBroker a déclaré qu’il n’avait pas essayé car ils ne lui feraient probablement pas confiance pour tenir parole.
« Je ne ferais pas confiance à un acteur menaçant s’il demandait de l’argent pour ne pas divulguer mes affaires, alors ils ne devraient pas non plus », a déclaré IntelBroker à Breachtrace .
Alors que Cisco continue de dire qu’aucun système n’a été violé, tout ce que nous avons vu indique qu’un développement tiers a été violé, permettant à l’auteur de la menace de voler des données.
Breachtrace a contacté Cisco pour lui poser d’autres questions sur ces allégations, mais aucune réponse n’était immédiatement disponible.