La violazione di sicurezza alla società Sisense sta attirando l’attenzione dell’Agenzia statunitense per la sicurezza delle infrastrutture e della cybersecurity.
La U.S. Cybersecurity and Infrastructure Security Agency (CISA), l’agenzia statunitense responsabile della protezione delle infrastrutture critiche del Paese, ha recentemente rivelato di essere a conoscenza di una violazione di sicurezza che ha coinvolto la società Sisense.
Sisense, con sede a New York, fornisce servizi di business intelligence e conta più di mille clienti in vari settori, tra cui servizi finanziari, telecomunicazioni, sanità e istruzione superiore. La violazione si è verificata in seguito all’accesso non autorizzato al repository di codice Gitlab dell’azienda, che sembra contenesse un token o una credenziale utile per accedere ai bucket Amazon S3 di Sisense nel cloud.
Apparentemente, gli aggressori hanno sfruttato l’accesso ad Amazon S3 per copiare e trasferire diversi terabyte di dati dei clienti di Sisense, che a quanto pare comprendevano milioni di token di accesso, password di account e-mail e persino certificati SSL.
Questo episodio solleva alcune domande importanti sulla sicurezza dei dati. Tra le preoccupazioni più urgenti vi è la domanda se Sisense abbia adottato adeguate misure di protezione per i dati sensibili dei clienti. Ad esempio, non è ancora chiaro se i dati rubati fossero criptati mentre erano immagazzinati nei server di Amazon.
Nonostante Sisense abbia rifiutato di commentare le informazioni fornite da fonti vicine all’indagine, è evidente che i criminali hanno ora accesso a tutte le credenziali usate dai clienti di Sisense nei loro dashboard.
La CISA ha sollecitato tutti i clienti di Sisense a reimpostare ogni tipo di credenziali e segreti condivisi con l’azienda. Questo stesso consiglio era già stato dato dalla stessa Sisense ai suoi clienti. Inoltre, l’agenzia ha dichiarato di collaborare con partner privati del settore per rispondere a questa compromissione.
Dopo la violazione, Sisense ha invitato i suoi clienti a reimpostare un gran numero di token di accesso attraverso molteplici tecnologie, come ad esempio le credenziali di Microsoft Active Directory, le credenziali GIT, i token di accesso web e i segreti o i token di accesso unico (SSO).
Infine, resta da sottolineare che Sisense è limitata nelle azioni di pulizia che può effettuare per conto dei clienti, in quanto i token di accesso sono file di testo sul computer del cliente che permettono di rimanere collegati per periodi di tempo prolungati, a volte indefinitamente. A seconda del servizio in questione, può essere possibile per gli aggressori riutilizzare questi token di accesso per autenticarsi come la vittima senza mai dover presentare credenziali valide.