JumpCloud 是一家为 20 万组织提供服务的 IT 公司,声称遭到某个民族国家的黑客攻击
展开
展开
JumpCloud 是一项基于云的 IT 管理服务,其 5,000 名付费客户中列出了 Cars.com、GoFundMe 和 Foursquare,该公司表示,该服务遭受了为某个国家工作的黑客的安全漏洞。上周。
该公司上周三透露,此次攻击以鱼叉式网络钓鱼活动的形式于 6 月 22 日开始。 JumpCloud 表示,作为此次事件的一部分,“由国家资助的复杂威胁行为者”获得了对 JumpCloud 内部网络未指定部分的访问权限。尽管调查人员当时没有发现客户受到影响的证据,但该公司表示已轮换账户凭据、重建系统并采取了其他防御措施。
7 月 5 日,调查人员发现此次违规行为涉及“一小群客户的异常订单活动”。作为回应,该公司的安全团队强制轮换了所有管理 API 密钥并通知了受影响的客户。
随着调查人员继续分析,他们发现该漏洞还涉及“作为命令一部分的数据注入”,披露的信息将其描述为“攻击向量”。该披露并未解释数据注入与 6 月 22 日鱼叉式网络钓鱼攻击获得的访问权限之间的联系。 Ars 向 JumpCloud PR 询问详细信息,员工回复时发送了相同的披露消息,但省略了这些详细信息。
调查人员还发现,此次攻击针对性很强,且仅限于特定客户,但该公司并未透露具体客户名称。
JumpCloud 在其网站上表示,其全球用户群超过 200,000 个组织,其中付费客户超过 5,000 名。其中包括 Cars.com、GoFundMe、Grab、ClassPass、Uplight、Beyond Finance 和 Foursquare。 JumpCloud 已从 Sapphire Ventures、General Atlantic、Sands Capital、Atlassian 和 CrowdStrike 等投资者那里筹集了超过 4 亿美元资金。
在上周的披露中,JumpCloud 首席信息安全官 Bob Phan 写道:
世界标准时间 6 月 27 日 15:13,我们发现内部编排系统存在异常活动,我们将其追溯到威胁行为者于 6 月 22 日实施的复杂的鱼叉式网络钓鱼活动。此活动包括未经授权访问我们设施的特定区域。目前我们没有看到任何对客户产生影响的证据。为了安全起见,我们轮换了凭证、重建了基础设施,并采取了许多其他措施来进一步保护我们的网络和周边。此外,我们还启动了准备好的事件响应计划,并与我们的事件响应 (IR) 合作伙伴合作,分析所有系统和日志中的潜在活动。也是在这个时候,作为我们的 IR 计划的一部分,我们联系了执法部门并让他们参与我们的调查。
JumpCloud 安全运营部与我们的 IR 合作伙伴和执法部门一起继续进行取证调查。世界标准时间 7 月 5 日 03:35,我们发现一小群客户存在异常订单活动。当时,我们掌握了对客户影响的证据,并开始与受影响的客户密切合作,协助他们采取额外的安全措施。我们还决定从 7 月 5 日 23:11 UTC 开始强制轮换所有管理 API 密钥。我们立即通知客户这一行动。
正在进行的分析揭示了攻击向量:将数据注入我们的命令基础设施。分析还证实了此次攻击具有高度针对性且仅限于特定客户的怀疑。我们所学到的知识使我们能够创建并分享我们在此活动中观察到的 IOC(妥协指标)列表。
他们是老练而顽强的对手,拥有先进的能力。我们最强大的防线是信息共享和协作。因此,我们必须分享此事件的详细信息,并帮助我们的合作伙伴保护自己的环境免受此威胁。我们将继续改进我们自己的安全措施,以保护我们的客户免受未来威胁,并将与我们的政府和行业合作伙伴密切合作,共享与此威胁相关的信息。
该公司还
展开
JumpCloud 是一项基于云的 IT 管理服务,其 5,000 名付费客户中列出了 Cars.com、GoFundMe 和 Foursquare,该公司表示,该服务遭受了为某个国家工作的黑客的安全漏洞。上周。
该公司上周三透露,此次攻击以鱼叉式网络钓鱼活动的形式于 6 月 22 日开始。 JumpCloud 表示,作为此次事件的一部分,“由国家资助的复杂威胁行为者”获得了对 JumpCloud 内部网络未指定部分的访问权限。尽管调查人员当时没有发现客户受到影响的证据,但该公司表示已轮换账户凭据、重建系统并采取了其他防御措施。
7 月 5 日,调查人员发现此次违规行为涉及“一小群客户的异常订单活动”。作为回应,该公司的安全团队强制轮换了所有管理 API 密钥并通知了受影响的客户。
随着调查人员继续分析,他们发现该漏洞还涉及“作为命令一部分的数据注入”,披露的信息将其描述为“攻击向量”。该披露并未解释数据注入与 6 月 22 日鱼叉式网络钓鱼攻击获得的访问权限之间的联系。 Ars 向 JumpCloud PR 询问详细信息,员工回复时发送了相同的披露消息,但省略了这些详细信息。
调查人员还发现,此次攻击针对性很强,且仅限于特定客户,但该公司并未透露具体客户名称。
JumpCloud 在其网站上表示,其全球用户群超过 200,000 个组织,其中付费客户超过 5,000 名。其中包括 Cars.com、GoFundMe、Grab、ClassPass、Uplight、Beyond Finance 和 Foursquare。 JumpCloud 已从 Sapphire Ventures、General Atlantic、Sands Capital、Atlassian 和 CrowdStrike 等投资者那里筹集了超过 4 亿美元资金。
在上周的披露中,JumpCloud 首席信息安全官 Bob Phan 写道:
世界标准时间 6 月 27 日 15:13,我们发现内部编排系统存在异常活动,我们将其追溯到威胁行为者于 6 月 22 日实施的复杂的鱼叉式网络钓鱼活动。此活动包括未经授权访问我们设施的特定区域。目前我们没有看到任何对客户产生影响的证据。为了安全起见,我们轮换了凭证、重建了基础设施,并采取了许多其他措施来进一步保护我们的网络和周边。此外,我们还启动了准备好的事件响应计划,并与我们的事件响应 (IR) 合作伙伴合作,分析所有系统和日志中的潜在活动。也是在这个时候,作为我们的 IR 计划的一部分,我们联系了执法部门并让他们参与我们的调查。
JumpCloud 安全运营部与我们的 IR 合作伙伴和执法部门一起继续进行取证调查。世界标准时间 7 月 5 日 03:35,我们发现一小群客户存在异常订单活动。当时,我们掌握了对客户影响的证据,并开始与受影响的客户密切合作,协助他们采取额外的安全措施。我们还决定从 7 月 5 日 23:11 UTC 开始强制轮换所有管理 API 密钥。我们立即通知客户这一行动。
正在进行的分析揭示了攻击向量:将数据注入我们的命令基础设施。分析还证实了此次攻击具有高度针对性且仅限于特定客户的怀疑。我们所学到的知识使我们能够创建并分享我们在此活动中观察到的 IOC(妥协指标)列表。
他们是老练而顽强的对手,拥有先进的能力。我们最强大的防线是信息共享和协作。因此,我们必须分享此事件的详细信息,并帮助我们的合作伙伴保护自己的环境免受此威胁。我们将继续改进我们自己的安全措施,以保护我们的客户免受未来威胁,并将与我们的政府和行业合作伙伴密切合作,共享与此威胁相关的信息。
该公司还
What's Your Reaction?
