JumpCloud, ein Cloud-basierter IT-Management-Dienst, der Cars.com, GoFundMe und Foursquare zu seinen 5.000 zahlenden Kunden zählt, wurde von Hackern angegriffen. Diese sollen für einen Nationalstaat arbeiten, wie das Unternehmen mitteilte.
Das Unternehmen entdeckte den Vorfall am 27. Juni, eine Woche nachdem die Angreifer über einen Spear-Phishing-Angriff in seine Systeme eingedrungen waren. Obwohl JumpCloud zu diesem Zeitpunkt keine Beweise dafür fand, dass seine Kunden betroffen waren, beschloss das Unternehmen, die Anmeldedaten zu ändern und die kompromittierte Infrastruktur wiederherzustellen. Am 5. Juli entdeckte JumpCloud bei der Untersuchung des Angriffs und der Analyse von Protokollen auf Anzeichen schädlicher Aktivitäten in Zusammenarbeit mit IR-Partnern und Strafverfolgungsbehörden “ungewöhnliche Aktivitäten im Befehls-Framework für eine kleine Gruppe von Kunden”.
Am selben Tag habe das Unternehmen alle Admin-API-Schlüssel zwangsrotiert, um die Organisationen der Kunden zu schützen und sie benachrichtigt, um neue Keys zu generieren. “Die fortgesetzte Analyse deckte den Angriffsvektor auf: Dateninjektion in unser Command-Framework. Die Analyse bestätigte auch den Verdacht, dass der Angriff extrem gezielt und auf bestimmte Kunden beschränkt war”, sagte JumpCloud-CISO Bob Phan. Wer betroffen ist, verriet das Unternehmen nicht.
JumpCloud gibt auf seiner Website an, dass es eine globale Nutzerbasis von mehr als 200.000 Organisationen mit mehr als 5.000 zahlenden Kunden hat. Dazu gehören Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance und Foursquare. JumpCloud hat bisher weder das Herkunftsland noch andere Details über die verantwortliche Bedrohungsgruppe genannt.