Thought Leadership
Das Threat-Intelligence-Unternehmen Cyble hat im Darknet zahlreiche Zugangsdaten von führenden IT-Sicherheitsanbietern entdeckt. Die Credentials stammen von mindestens 14 Security-Providern und wurden seit Jahresbeginn durch Infostealer abgegriffen.
Betroffen sind laut dem Blog-Beitrag von Cyble unter anderem CrowdStrike mit über 300, McAfee mit mehr als 600 und Palo Alto Networks mit fast 400 kompromittierten Zugängen. Weitere betroffene Anbieter sind auch Exabeam, Fortinet, LogRhythm, Qualys, Rapid7, RSA Security, SentinelOne, Sophos, Tenable, Trend Micro und Zscaler. Die Daten umfassen sowohl interne Accounts als auch Kundenzugänge für Web- und Cloud-Dienste.
Nach Einschätzung der Cyble-Forscher gelangten die Credentials über kritische Systeme wie Passwort-Manager, Authentifizierungsdienste oder gängige Cloud-Services wie Okta, GitHub und AWS ans Licht. Im Darknet werden die Datensätze bereits für 10 US-Dollar zum Kauf angeboten.
Die Analyse ergab, dass viele der exponierten Zugänge zu Web-Konsolen, SSO-Logins und anderen internet-exponierten Schnittstellen gehören. Ob die Credentials noch gültig sind, wurde nicht überprüft. Die Forscher hoffen, dass die meisten Accounts durch zusätzliche Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung geschützt sind.
Der Fall zeigt nach Ansicht von Cyble, dass selbst führende Security-Anbieter nicht vor Credential-Diebstahl gefeit sind. Dark-Web-Monitoring sei daher als Frühwarnsystem unverzichtbar, um aus solchen Leaks resultierende größere Cyberangriffe zu verhindern.
