Incydent wyszedł na jaw 24 lipca, kiedy Cisco dowiedziało się, iż jeden z jego przedstawicieli padł ofiarą ataku vishingowego. Atakujący zdołał uzyskać dostęp i ukraść „podzbiór podstawowych informacji profilowych” z instancji systemu CRM, używanego przez korporacje. Warto dodać, iż jest to system strony trzeciej – nie autorski system Cisco.
Atak vishingowy to atak socjotechniczny, w którym przestępcy podszywają się pod zaufane instytucje (np. banki, policję) w celu wyłudzenia danych osobowych lub pieniędzy. Dzwonią do ofiary i próbują nakłonić ją do ujawnienia wrażliwych informacji, takich jak dane logowania do bankowości internetowej, numery kart kredytowych czy hasła.
Gigant sieciowy natychmiast podjął kroki w celu zablokowania hakerowi dostępu do systemu CRM. Dochodzenie wykazało, iż atakujący uzyskał informacje dostarczone przez osoby, które zarejestrowały konto na stronie cisco.com.
Wykradzione informacje obejmują imię i nazwisko, adres e-mail, numer telefonu, nazwę organizacji, adres, identyfikator użytkownika przypisany przez Cisco oraz metadane związane z kontem (np. datę utworzenia).
Cisco poinformowało, iż haker nie uzyskał żadnych poufnych ani zastrzeżonych informacji należących do klientów. Hasła również nie zostały naruszone.
„Nie stwierdziliśmy żadnego wpływu na nasze produkty ani usługi, a żadne inne wystąpienia Cisco CRM nie zostały dotknięte” – stwierdził producent.
Powiadomiono użytkowników dotkniętych problemem, a także organy ochrony danych.
„Każdy incydent cyberbezpieczeństwa to okazja do nauki, wzmocnienia naszej odporności i pomocy szerszej społeczności zajmującej się bezpieczeństwem” – stwierdziło Cisco. „Wdrażamy dalsze środki bezpieczeństwa, aby zmniejszyć ryzyko wystąpienia podobnych incydentów w przyszłości, w tym ponownie szkolimy personel w zakresie identyfikacji i ochrony przed potencjalnymi atakami vishingowymi”. To nie jedyne naruszenie danych, jakiego Cisco ostatnio doświadczyło. Pisaliśmy o tym na Kapitanie. W grudniu 2024 roku znany haker IntelBroker ujawnił gigabajty plików, w tym kod źródłowy, skrypty, certyfikaty cyfrowe i pliki konfiguracyjne dotyczące produktów Cisco.
Cisco potwierdziło autentyczność danych, ale zapewniło, iż systemy korporacyjne nie zostały naruszone – dane pobrano z publicznego środowiska DevHub, które służyło jako centrum zasobów dla klientów. Badacze bezpieczeństwa spekulowali wówczas, iż chociaż większość danych z tej instancji DevHub była już publiczna, niektóre skradzione pliki nie powinny zostać upublicznione.
