[atualizado às 13:07 de 16/10 com nota da Cisco Brasil]
A Cisco confirmou para o portal Bleeping Computer, nos Unidos, que esta investigando a notícia de que um ator de ameaças alega estar vendendo dados obtidos da companhia. O anúncio apareceu num fórum bem conhecido e frequentado por cibercriminosos sob o título “Cisco Data Breach”. O post diz “Olá Comunidade BreachForums. Hoje, estou vendendo a violação da Cisco que aconteceu recentemente (06/10/2024). Violado por @IntelBroker @UsuárioArmasEnergéticas & @EnergyWeaponUser & @zjj“.
O post segue dizendo que os dados comprometidos são “projetos no Github, Projetos no Gitlab, Projetos no SonarQube, Código fonte, credenciais hard coded, Certificados, SRCs de clientes, Documentos confidenciais da Cisco, Tickets do Jira, tokens de APIs, Private buckets da AWS, SRCs da Cisco Technology, Builds da Docker, buckets de storage da Azure, chaves Privadas & Públicas, Certificados SSL, Produtos Cisco Premium & Mais!” O CISO Advisor entrou em contato com a Cisco informando o ocorrido. A manifestação da operação da empresa no Brasil foi feita por meio da seguinte nota:
A Cisco está investigando relatos de que um ator não autorizado afirma ter obtido acesso a certos dados da companhia e de nossos clientes. A Cisco leva essa alegação a sério e envolvemos as autoridades policiais como parte dessa investigação. Até o momento, nossa investigação não encontrou nenhuma evidência de que nossos sistemas tenham sido afetados. Notificaremos os clientes quando confirmarmos que o ator obteve suas informações confidenciais. Os clientes com dúvidas podem entrar em contato pelo e-mail [email protected]
Leia também
NDFC em perigo, segundo alerta da Cisco
BreachForums sai do ar e seu adm desaparece da web
O cibercriminoso publicou uma lista com 1.158 nomes de empresas, alegando que seriam clientes da Cisco. Publicou também dez imagens relacionadas a manuais, sendo duas delas com o logotipo de um grande banco; a décima imagem é uma página de planilha que parece conter dados necessários ao relacionamento com clientes, como nomes de contato e telefones.
No final do post, foram publicados dados que parem ter sido obtidos num arquivo SQL: são sete linhas de uma tabela chamada “user” onde os 18 campos são “id
, username
, auth_key
, password_hash
, password_reset_token
, email
, status
, created_at
, updated_at
, role
, state_code
, approver_id
, last_login_time
, login_attempts
, is_password_changed
, password_changed_on
, credential_expired
, last_success_login
, is_admin
“.
A última frase do cibercriminoso diz: “Se você estiver interessado em comprar estes dados, envie mensage para mim no fórum ou via aplicativos sociais que tenho connectados ao meu perfil. Somente XMR [Monero]. Aberto a ofertas. Aceito intermediário [Middle Man]”.