Duomenų praradimo prevencijos startuolis „Cyberhaven“ teigia, kad įsilaužėliai paskelbė kenkėjišką „Chrome“ plėtinio naujinį, kuris galėjo pavogti klientų slaptažodžius ir seanso prieigos raktus, teigiama el. laiške, išsiųstame paveiktiems klientams, kurie galėjo tapti šios įtariamos tiekimo grandinės atakos aukomis.
„Cyberhaven“ patvirtino kibernetinę ataką „TechCrunch“ penktadienį, tačiau atsisakė komentuoti konkretų incidentą.
Bendrovės klientams išsiųstame el. laiške, kurį gavo ir paskelbė saugos tyrinėtojas Mattas Johansenas, sakoma, kad įsilaužėliai pakenkė įmonės paskyrai, kad ankstų gruodžio 25 d. rytą paskelbtų kenkėjišką jos „Chrome“ plėtinio naujinį. pažeistas naršyklės plėtinys, „galima slapta informacija, įskaitant autentifikuotus seansus ir slapukus, būti išfiltruota į užpuoliko domeną“.
„Cyberhaven“ atstovas spaudai Cameronas Colesas atsisakė komentuoti el. laišką, bet neginčijo jo autentiškumo.
Trumpame el. paštu atsiųstame pareiškime „Cyberhaven“ teigė, kad jos saugos komanda aptiko kompromisą gruodžio 25 d. popietę ir kad kenkėjiškas plėtinys (24.10.4 versija) buvo pašalintas iš „Chrome“ internetinės parduotuvės. Netrukus po to buvo išleista nauja teisėta plėtinio versija (24.10.5).
„Cyberhaven“ siūlo produktus, kurie, kaip teigiama, apsaugo nuo duomenų išfiltravimo ir kitų kibernetinių atakų, įskaitant naršyklės plėtinius, leidžiančius įmonei stebėti galimai kenkėjišką veiklą svetainėse. „Chrome“ internetinėje parduotuvėje rodoma, kad „Cyberhaven“ plėtinyje šiuo metu yra apie 400 000 verslo klientų vartotojų.
„TechCrunch“ paklaustas „Cyberhaven“ atsisakė pasakyti, kiek paveiktų klientų pranešė apie pažeidimą. Kalifornijoje įsikūrusi bendrovė kaip klientus nurodo technologijų milžinus Motorola, Reddit ir Snowflake, taip pat advokatų kontoras ir sveikatos draudimo milžinus.
Pagal elektroninį laišką, kurį „Cyberhaven“ išsiuntė savo klientams, paveikti vartotojai turėtų „atšaukti“ ir „pasukti visus slaptažodžius“ ir kitus tekstinius kredencialus, tokius kaip API prieigos raktai. „Cyberhaven“ teigė, kad klientai taip pat turėtų peržiūrėti savo žurnalus, ar nėra kenkėjiškos veiklos. (Prisijungusių paskyrų seanso žetonai ir slapukai, pavogti iš vartotojo naršyklės, gali būti naudojami norint prisijungti prie tos paskyros be slaptažodžio ar dviejų veiksnių kodo, todėl įsilaužėliai gali veiksmingai apeiti šias saugos priemones.)
El. laiške nenurodoma, ar klientai taip pat turėtų pakeisti kitų „Chrome“ naršyklėje saugomų paskyrų kredencialus, o „TechCrunch“ paklaustas „Cyberhaven“ atstovas atsisakė nurodyti.
El. laiške nurodyta, kad pažeista įmonės paskyra buvo „viena „Google Chrome Store“ administratoriaus paskyra. „Cyberhaven“ nepasakė, kaip buvo pažeista įmonės paskyra arba kokia buvo įmonės saugumo politika, leidžianti pažeisti paskyrą. Bendrovė savo trumpame pareiškime teigė, kad „pradėjo visapusišką mūsų saugumo praktikos peržiūrą ir, remdamasi mūsų išvadomis, įgyvendins papildomas apsaugos priemones“.
„Cyberhaven“ teigė, kad pasamdė reagavimo į incidentus įmonę, kuri klientams skirtame el. laiške yra „Mandiant“, ir „aktyviai bendradarbiauja su federaline teisėsauga“.
Jaime Blasco, „Nudge Security“ įkūrėjas ir CTO, X pranešimuose teigė, kad keli kiti „Chrome“ plėtiniai buvo pažeisti kaip tos pačios kampanijos dalis, įskaitant kelis plėtinius su dešimtimis tūkstančių vartotojų.
Blasco sakė „TechCrunch“, kad jis vis dar tiria atakas, ir šiuo metu mano, kad anksčiau šiais metais buvo pažeista daugiau plėtinių, įskaitant kai kuriuos su AI, produktyvumu ir VPN.
„Atrodo, kad jis nebuvo skirtas Cyberhaven, o oportunistiškai nukreiptas į plėtinių kūrėjus“, – sakė Blasco. „Manau, kad jie ieškojo plėtinių, kuriuos galėjo turėti remdamiesi turimais kūrėjų kredencialais.
Savo pareiškime „TechCrunch“ Cyberhaven teigė, kad „viešieji pranešimai rodo, kad ši ataka buvo platesnės kampanijos, skirtos „Chrome“ plėtinių kūrėjams įvairiose įmonėse, dalis. Šiuo metu neaišku, kas atsakingas už šią kampaniją, o kitos paveiktos įmonės ir jų plėtiniai dar turi būti patvirtinti.
