Na Breach Forum 12 września użytkownik o nazwie Fortibitch opublikował post zawierający dane dostępowe do bucket’a MinIO (nie jest to usługa S3 należąca do Amazon Web Services, jak podano we wpisie — adres IP wskazuje na Szwajcarię i należy do firmy Private Layer). Rzekomo udostępnił 440 GB danych wykradzionych z konta SharePoint należącego do Fortinet.
Post informujący o wycieku z Fortinet na Breach Forum.
Pewne jest, iż wyciek miał miejsce, ponieważ firma opublikowała oświadczenie. Wynika z niego, iż nieuprawniony dostęp dotyczy zaledwie mniej niż 0.3% wszystkich klientów — dodatkowo nie wszystkie udostępnione dane zawierają jakiekolwiek informacje o klientach. Sam atakujący podobno nie uzyskał dostępu do wewnętrznej sieci Fortinet. Według informacji w notce prasowej wyciek nie ma żadnego związku z działaniem ransomware, co jest niezgodne z opisem na forum — niemniej oświadczenie jest zdecydowanie wiarygodniejsze od wpisu „anonimowej” osoby.
MinIO na serwerze hostującym dane z wycieku Fortinet.
Można podejrzewać, iż przejęte zostało konto Office 365 jednego pracownika, które akurat posiadało dostęp do wykradzionych danych (np. udostępnionych przez współpracowników, co jest standardem w SharePoint). W pewien sposób zostały przejęte dane logowania. Dlatego dość istotne jest skonfigurowanie przykładowo MFA — po podaniu prawidłowego loginu i hasła konieczne będzie również wpisanie kodu wyświetlonego w aplikacji, np. Microsoft Authenticator.
Przyczyną przejęcia poświadczeń (nie tylko w opisywanym przypadku) może być zwykły phishing, ale również działanie złośliwego oprogramowania. Ważne jest szkolenie pracowników i monitorowanie ich aktywności, szczególnie podczas pracy zdalnej, o czym szerszej pisałem w tej recenzji.
Być może warto przemyśleć również zastosowanie praktyki przechowywania najbardziej kluczowych danych firmy (przykładowo informacji o klientach) w wewnętrznych systemach, do których dostęp ograniczony byłby wyłącznie do sieci lokalnej i ewentualnie VPN. Do usług typu SharePoint można zalogować się z dowolnej lokalizacji, a przy zastosowaniu ograniczeń w sieci wewnętrznej minimalizuje się ryzyko nieuprawnionego dostępu.
Fortinet jest jednym z najbardziej znaczących przedsiębiorstw z branży cybersecurity, dlatego oprócz szeregu innych problemów związanych z wyciekiem danych pojawią się również straty wizerunkowe. O ile CrowdStrike posiada duże doświadczenie w globalnych awariach i raczej nie będzie podobnego przykładu w najbliższym czasie, to każda firma powinna poważnie podejść do kwestii zabezpieczeń. Zawsze jednak należy przeprowadzić w pierwszej kolejności analizę ryzyka i ocenę sensowności podejmowanych działań, bo nie każde zabezpieczenie ma zastosowanie w danym przypadku.
