Data breach alla Sisense, leader nel campo della Business Intelligence
05 Giugno 2024La compagnia Sisense è caduta vittima di una violazione sulla quale sta indagando anche l’americana CISA (Cybersecurity and Infrastructure Security Agency).
Fondata a Tel Aviv nel 2004, Sisense è un’azienda di Business Intelligence che sviluppa software di analisi dei dati per grandi realtà, tra le quali figurano società di telecomunicazioni, compagnie aeree e giganti della tecnologia. Gli iniziali finanziatori includevano le società di venture capital Genesis Partners e Opus Capital e il privato Eli Farkash. Nel 2014, Sisense ha stabilito il proprio quartier generale a New York e nel 2019 ha acquisito Periscope Data, una società con sede negli Stati Uniti specializzata in analisi avanzate e modellazione predittiva.
La tecnologia di Sisense consente alle organizzazioni di raccogliere, analizzare e visualizzare grandi quantità di dati aziendali, attingendo direttamente alle tecnologie esistenti e ai sistemi cloud. Fra i suoi clienti vi sarebbero NASDAQ, Air Canada, PagerDuty, Philips Healthcare, Sony, Skullcandy e Verizon.
La notizia della violazione è stata riportata per la prima volta dal ricercatore di sicurezza informatica Brian Krebs, il quale il 10 aprile ha diffuso il contenuto di un’e-mail che sarebbe stata inviata ai clienti da Sangram Dash, CISO di Sisense. Nella comunicazione si affermerebbe che alcune informazioni aziendali di Sisense potrebbero essere state rese disponibili su quello che viene descritto come un server ad accesso limitato, generalmente non disponibile su internet.
L’alert rilasciato dalla CISA l’11 aprile aggiunge alla vicenda un particolare di rilievo. L’agenzia, infatti, ha comunicato di star assumendo un ruolo attivo nella collaborazione con i partner del settore privato per rispondere a questo incidente, soprattutto per quanto riguarda le organizzazioni del settore delle infrastrutture critiche colpite.
Secondo Krebs, fonti accreditate avrebbero sostenuto che la violazione sarebbe iniziata quando avversari non meglio specificati hanno ottenuto l’accesso al repository GitLab dell’azienda, all’interno del quale si trovava un token o una credenziale di accesso ai bucket Amazon S3 di Sisense. In particolare, gli attaccanti avrebbero sfruttato questo accesso per copiare ed esfiltrare diversi terabyte di dati dei clienti, fra cui potenzialmente anche milioni di token di accesso, password di account e-mail e persino certificati SSL.
A commento di tali speculazioni, un rappresentante delle pubbliche relazioni avrebbe specificato a Krebs che Sisense utilizza una versione self-hosted di GitLab, non la versione cloud gestita da GitLab.com. Successivamente, Sangram Dash avrebbe inviato direttamente ai clienti un aggiornamento dettagliato della situazione con le istruzioni da seguire per l’adozione di tutte le misure di mitigazione previste. In particolare, sarebbe stata predisposta la reimpostazione di un numero elevato di token di accesso a diverse tecnologie, tra cui le credenziali di Microsoft Active Directory, le credenziali di accesso a GIT, Web Access Token (WAT) e token Single Sign-On (SSO).
Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.