0
0
O hack do provedor de software Accellion USA LLC renovou os temores dos especialistas em segurança de ataques a fornecedores e destacou a dificuldade de se defender deles em tempo real.
Uma lista crescente de clientes afetados compartilha cronogramas de ataques e reclamações de patches de software inadequados que às vezes contradizem o relato do fornecedor sobre os eventos. A divulgação nesta semana de que as vítimas incluem Jones Day – um escritório de advocacia que lida com informações confidenciais para clientes – ressalta como os indivíduos que não interagem diretamente com a Accellion, no entanto, podem ser expostos, dizem os especialistas em segurança.
Essas partes móveis podem complicar a resposta de todas as vítimas e iniciar um jogo de culpa que pode acabar no tribunal para determinar a responsabilidade, disse Anthony J. Ferrante, chefe global de segurança cibernética da FTI Consulting .
“A acusação está apenas começando”, disse Ferrante, que atuou como testemunha especialista em tais processos entre empresas.
A Accellion, sediada em Palo Alto, Califórnia, disse em um post de 12 de janeiro que soube em meados de dezembro sobre uma vulnerabilidade em seu software File Transfer Appliance, uma ferramenta de 20 anos para compartilhar grandes documentos.
“A Accellion resolveu a vulnerabilidade e lançou um patch dentro de 72 horas para os menos de 50 clientes afetados”, disse a empresa.
Em uma atualização publicada em 1º de fevereiro, a Accellion disse que notificou “todos os clientes de FTA” sobre a vulnerabilidade em 23 de dezembro.
“Este incidente inicial foi o início de um ciberataque orquestrado ao produto Accellion FTA que continuou em janeiro de 2021”, disse a empresa.
Alguns clientes afetados pelo hack ofereceram uma sequência diferente de eventos.
O Gabinete do Auditor do Estado de Washington, que informou que os dados pessoais de mais de 1 milhão de requerentes de seguro-desemprego podem ter sido acessados por meio da ferramenta FTA, disse em um comunicado à imprensa de 1º de fevereiro que “soube do incidente pela primeira vez em 12 de janeiro. ”
A Accellion compartilhou informações “nas próximas semanas” que ajudaram o escritório a concluir que foi afetado, disse Kathleen Cooper, porta-voz do Gabinete de Auditoria do Estado de Washington, em um comunicado.
O banco central da Nova Zelândia relatou que alguns de seus arquivos foram roubados no ataque. O Banco da Reserva da Nova Zelândia disse em um site dedicado à violação que a Accellion lançou um patch de software em 20 de dezembro, mas não alertou imediatamente as equipes de segurança para instalá-lo.
“A Accellion falhou em notificar o banco por cinco dias que um ataque estava ocorrendo contra seus clientes em todo o mundo, e que um patch estava disponível que teria evitado essa violação”, disse o governador do banco, Adrian Orr, em um comunicado de 9 de fevereiro.
Um porta-voz do banco se recusou a comentar mais, devido à investigação contínua.
O conglomerado Singapore Telecommunications Ltd. , conhecido como Singtel, relatou que o incidente durou semanas e levou hackers a coletar dados, incluindo informações de 129.000 clientes individuais e 23 empresas, como fornecedores e clientes corporativos.
Na quarta-feira, a Singtel disse que aplicou uma série de patches ao software Accellion até 27 de dezembro. Mas em 23 de janeiro, a empresa disse: “A Accellion informou que uma nova vulnerabilidade emergiu que tornou os patches aplicados anteriormente em dezembro ineficazes. A Singtel disse que mais tarde confirmou uma violação depois que uma tentativa subsequente de atualizar o software disparou um “alerta de anomalia” em seu sistema.
Um porta-voz da Accellion disse em um comunicado que está trabalhando com investigadores externos para avaliar o hack original e as vulnerabilidades recém-descobertas. O fornecedor disse que também está ajudando os clientes a substituir seu software FTA até 30 de abril, após o qual as licenças não serão renovadas, e migrar para um produto mais novo chamado Kiteworks.
Os especialistas cibernéticos dizem que a aposentadoria pendente dos fornecedores de software de ferramentas antigas sugere que eles podem não estar investindo em atualizações.
A Accellion disse em 1º de fevereiro que encorajou os clientes nos últimos três anos a mudar para a Kiteworks, acrescentando que a ferramenta mais recente tem “arquitetura de segurança de última geração e um processo de desenvolvimento segregado e seguro”. Singtel disse em seu site para a violação que o fornecedor só anunciou a data de “fim da vida” do FTA em 28 de janeiro.
O porta-voz da Accellion se recusou a comentar sobre clientes específicos e não respondeu a um pedido de comentário quando foi anunciada a data oficial de término do FTA.
“Compartilharemos mais informações assim que esta avaliação for concluída”, disse ele.
Especialistas em segurança afirmam que a precipitação radioativa fornece outro alerta para os fornecedores veterinários agressivos, à medida que os investigadores continuam investigando a violação no ano passado em pelo menos nove agências federais e 100 empresas por meio do provedor de software SolarWinds Corp.
O ataque ao Accellion “parece um mini-SolarWinds”, disse Sachin Bansal, conselheiro geral da SecurityScorecard Inc., uma empresa cibernética que avalia a postura de segurança das empresas.
As equipes de gerenciamento e segurança devem coordenar quando atualizar o software para evitar interrupções e reduzir os riscos, disse Scott Crawford, diretor de pesquisa de segurança da informação da 451 Research, parte da S&P Global Market Intelligence.
“Dependemos tanto de terceiros agora que, se não começarmos a levar isso a sério, teremos grandes problemas mais tarde”, disse Crawford.
FONTE: WSJ