0
0
EXCLUSIVO: Um bug no painel de suporte da Palo Alto Networks (PAN) expôs milhares de bilhetes de suporte ao cliente a um indivíduo não autorizado, descobriu o BleepingComputer.
As informações expostas incluíam, nomes e informações de contato (negócios) da pessoa que cria bilhetes de suporte, conversas entre os funcionários da Palo Alto Networks e o cliente.
Evidências compartilhadas com o BleepingComputer indicam que alguns tickets de suporte continham anexos — como logs de firewall, dumps de configuração e outros ativos de depuração compartilhados com a equipe do PAN pelos clientes.
A Palo Alto Networks, uma fornecedora líder de produtos e firewalls de cibersegurança e redes, diz ao BleepingComputer que agora corrigiu o problema — cerca de oito dias depois de ter sido relatado.
Como posso ajudá-lo hoje?
Uma configuração errada no sistema de suporte da Palo Alto Networks permitiu a divulgação de informações confidenciais — permitindo que um cliente acesse bilhetes de suporte privado de outras empresas.
Um cliente pan que prefere permanecer anônimo descobriu o problema este mês e relatou à equipe da Palo Alto Networks, que já resolveu o problema.
O cliente disse ainda ao BleepingComputer que eles podiam ver cerca de 1.989 casos de suporte que não pertenciam a eles ou à sua organização, e compartilhou capturas de tela atestando o fato:
Alguns desses casos de suporte tinham anexos de arquivos, como logs de firewall, dumps de configuração, layouts NSG (Network Security Group, grupo de segurança de rede), imagens de mensagens de erro e arquivos internos semelhantes compartilhados pelos clientes com a Palo Alto Networks para fins de solução de problemas.
A captura de tela mostra um ícone de “download” ao lado de cada arquivo. Note que o cliente que nos avisou não compartilhou nenhum dos arquivos com o BleepingComputer e afirma não baixar os arquivos também.
Algumas outras informações expostas nos bilhetes de suporte incluíam:
- Nome de contato, título, endereço de e-mail e número de telefone do cliente criando os bilhetes
- Conteúdo de conversas entre equipe de suporte do PAN e clientes
- Número de série e modelo do produto PAN
- Números de casos, linha de assunto e gravidade de solicitação (Crítico, Alto, Médio, Baixo)
“Os primeiros problemas começaram quando me registrei para uma conta de suporte de Palo Alto no dia 10 de março”, diz o cliente anônimo ao BleepingComputer.
“Após o login, meu navegador ficaria preso em um loop de redirecionamento ao tentar acessar o knowledgebase de Palo Alto, mas, mais importante, ele estava retornando 403 permissões insuficientes ao tentar fazer login no Palo Alto Hub, de onde o Cloud Identity Engine poderia ser instalado.”
O cliente levantou essa questão com suporte pan e foi informado que seu acesso ao Palo Alto Hub foi “fixo”.
“No entanto, para minha surpresa, quando entrei no portal de suporte, pude ver não apenas os casos de suporte que criei, mas também ~1990 casos de suporte na aba ‘Casos da Minha Empresa'”, explica ainda o usuário.
Palo Alto Networks: ‘nenhum dado foi baixado ou alterado’
Ao perceber o erro de acesso, o cliente diz ao BleepingComputer que ele notificou prontamente a Palo Alto Networks, tanto levantando uma “solicitação de suporte crítico” quanto entrando em contato com membros selecionados do PAN no LinkedIn.
BleepingComputer entrou em contato com a PAN para entender melhor o escopo e o impacto desse vazamento de dados.
A PAN diz que nenhum dado foi baixado e implica que o escopo do vazamento permaneceu limitado a apenas um cliente:
“Fomos notificados de um problema que permitia que um cliente autorizado visualizasse um pequeno subconjunto de casos de suporte, que eles normalmente não seriam capazes de visualizar”, disse um porta-voz da Palo Alto Networks à BleepingComputer.
“Imediatamente iniciamos uma investigação e identificamos que foi devido a um erro de configuração de permissão em um sistema de suporte.”
“Nossa análise confirmou que nenhum dado foi baixado ou alterado, e o problema foi imediatamente corrigido.”
Note-se, no entanto, que a correção de bugs levou aproximadamente oito dias, após a qual o acesso do cliente acima mencionado aos 1.900 bilhetes não relacionados foi revogado.
A PAN não respondeu se notificou os clientes cujas informações foram impactadas pelo bug do vazamento de dados, ou se planejava fazê-lo.
Neste momento, diz a empresa, não há necessidade de ação do cliente e que está confiante de que seus produtos e serviços estão seguros.
FONTE: BLEEPING COMPUTER