Compania care ne apără de hackeri a fost atacată cu succes de… hackeri

de: Răzvan Băltărețu
01 08. 2015

Printre companiile recunoscute în securitate digitală, Bitdefender stă foarte bine. N-a fost însă cazul recent, când unul sau mai mulți hackeri au reușit să fure datele unor clienți, date care nu erau criptate.

În ultimii ani, Bitdefender ne-a informat cu privire la atacurile de tipul ransomware prin care datele îți sunt blocate până plătești. În ciuda lecțiilor oferite altora, compania s-a văzut în situația în care a trebuit să plătească sau să îi lase pe hackeri să publice online date despre clienți ai săi. Hackerii au cerut 15.000 de dolari.

DetoxRansome este hackerul – sau grupul de hackeri – care a furat date de la Bitdefender dintr-un server al companiei. Potrivit acesteia, nu e vorba de un atac organizat, ci de țintirea unei singure aplicații, o componentă a serviciului său de cloud. Mai mult, o vulnerabilitate i-a permis lui DetoxRansome să obțină informații despre clienți, cum ar fi conturile lor și parole.

„Problema a fost imediat rezolvată și au fost luate măsuri adiționale de securitate pentru a preveni astfel de scăpări. Tot din precauție, clienților le-a fost cerut să-și schimbe parolele. Totuși, asta nu afectează clienții noștri obișnuiți sau enterprise„, susține Bitdefender într-o declarație citată de Forbes. DetoxRansome a publicat datele online, Bitdefender neplătind răscumpărarea, și acestea erau din peste 250 de conturi pentru care erau furnizate nume de utilizator și parole.

Într-un mail transmis publicației citate, DetoxRansome a spus că a obținut acces la două dintre serverele de cloud Bitdefender și că datele nu erau criptate. „Foloseau Amazon Elastic Web, cunoscut pentru problemele pe care le are SSL (n.r. – un standard de criptare web)”, se arată în mail. Totuși, nu există dovezi că serviciile Amazon suferă de așa probleme.

Bitdefender ne-a transmis o poziție oficială cu privire la acest caz.

„Am identificat un potențial incident de securitate pe un singur server aparținând companiei. Am demarat o investigație internă și am constatat că o singură aplicație a fost vizată – o componentă a cloud-ului public -, care a expus un număr foarte limitat de utilizatori și parole. Investigația internă a arătat că serverul respectiv nu a fost compromis, dar o vulnerabilitate a permis aflarea conturilor unui număr foarte mic de utilizatori.

Incidentul a fost remediat în cel mai scurt timp, compania luând măsuri suplimentare de securitate pentru a preveni reapariția unora noi. O notificare legată de resetarea parolelor a fost trimisă potențialilor clienți expuși, reprezentând sub 1% din portofoliul IMM al companiei. Incidentul nu a vizat consumatorii casnici, nici segmentul enterprise.

Investigația a confirmat că niciun alt server sau serviciu nu au avut de suferit”.