「1011」という別名で活動する脅威アクターが、ダークウェブのフォーラム上で、NordVPNに属するとされる社内Salesforceおよび開発データを漏えいさせた責任を主張した。
攻撃者の声明によると、この侵害は、SalesforceおよびJira関連情報の両方を含む設定不備のあるNordVPNの開発サーバーに対し、攻撃者がブルートフォース攻撃を行った後に発生したという。
パナマ拠点のVPNプロバイダーであるNordVPNは、設定ミスに起因して露出した開発環境が関与する一連のインシデントにおける最新の標的となった。
脅威アクターのフォーラム投稿には、侵害の証拠として複数のサンプルSQLダンプとスクリーンショットが含まれていた。
投稿された情報は、露出した環境に複数のデータベースのソースコード、設定の詳細、認証記録が含まれていた可能性も示していた。
攻撃者はさらに、侵害された環境から10件を超えるデータベースのソースコードファイルが持ち出されたほか、SalesforceのAPIキー、Jiraトークン、ならびに社内システムの通信や自動化に用いられるその他の機微情報も流出したと主張した。
ダークウェブの活動を監視するサイバーセキュリティ研究者は、当該リスティングの存在を確認したものの、漏えいデータの正当性は未確認のままである。現時点では、NordVPNの本番インフラや顧客情報が影響を受けたことを示す証拠はない。
しかし、社内の開発データ、特にSalesforceおよびJiraの認証情報が露出すると、それらが再利用されたり稼働中のシステムと接続されていたりする場合、より深い偵察や不正な統合アクセスを可能にする恐れがある。
Salesforce固有のAPIキーやスキーマの漏えいは、ワークフロー設計、自動化スクリプト、ユーザーアクセスフローを露呈し得るため、企業環境において特に懸念される侵害となる。
初期分析では、設定不備のある開発サーバーが侵害の侵入口だったことが示されている。当該サーバーはブルートフォース手法で悪用可能なリモートアクセスを有効にしていたとされ、最終的に保存されていた設定ファイルやデータベースバックアップが侵害されたという。
開発システムにおける設定ミスは、これらの環境が監視が手薄になりがちな一方で、本番リソースに紐づく価値の高い認証情報、トークン、統合データを依然として含むことが多いため、重要な攻撃ベクトルであり続けている。
脅威アクターの動機は依然として不明だが、漏えいサンプルの性質は、即時の収益化というより技術的アクセスを証明しようとする意図を示している。
セキュリティ専門家は、盗まれたデータが直接販売されない場合でも、APIキーやJiraトークンのような統合用認証情報が露出すれば、他の脅威アクターによる追加攻撃や内部構成の把握を可能にし得ると強調している。
現時点で、NordVPNはこの疑惑のデータ漏えいに関する公式声明を発表しておらず、主張の真正性と影響範囲に関する調査が継続している。
翻訳元: https://cyberpress.org/nordvpn-salesforce-database-leak/