Zusammenfassung
- Bei Sisense, einer BI- und Analyseplattform, der viele Unternehmen vertrauen, kam es zu einer Datenschutzverletzung, über die die Kunden am 10. April 2024 informiert wurden.
- Es wurden nur wenige Details veröffentlicht, aber nach dem, was wir aufgrund der vorgeschlagenen Abhilfemaßnahmen für Kunden wissen, könnte dieser Vorfall weitreichende Auswirkungen auf eine Vielzahl von Branchen haben.
- Censys beobachtet Sisense-Instanzen in den USA, Großbritannien, Kanada und anderen Ländern und hat sich unter anderem auf Organisationen in den Bereichen Vertrieb und Marketing, Finanzen und Versicherungen sowie Gesundheitswesen und Sozialhilfe ausgewirkt.
Einführung
Am Mittwoch, den 10. April 2024, veröffentlichte Brian Krebs einen Screenshot einer an Sisense-Kunden gesendeten Nachricht, in der er darauf hinwies, dass bestimmte Sisense-Firmeninformationen über einen Server mit eingeschränktem Zugriff" für Unbefugte zugänglich gemacht worden sein könnten. Außerdem wurden die Empfänger in der Nachricht aufgefordert, alle in ihren Sisense-Anwendungen verwendeten Anmeldeinformationen umgehend zu ändern.
Sisense, eine Business-Intelligence- und Analyseplattform, rühmt sich einer Reihe prominenter Kunden, darunter Nasdaq, PagerDuty und Air Canada, wie auf ihrer Website zu lesen ist.
Am darauffolgenden Tag veröffentlichte die CISA einen kurzen Ratschlag, in dem sie Sisense-Kunden aufforderte, alle Anmeldedaten zurückzusetzen, die für den Zugriff auf Sisense-Dienste offengelegt oder verwendet wurden.
Ursprünglich waren nur minimale Details über das Ausmaß der Sicherheitsverletzung verfügbar, und obwohl zusätzliche Informationen aufgetaucht sind, wollten wir mehr über die möglichen Auswirkungen dieses Vorfalls erfahren, indem wir die Sisense-Instanzen unter Censys untersuchten.
Die Ansicht Censys
Aus der Dokumentation von Sisense geht hervor, dass das Unternehmen mehrere Bereitstellungsoptionen für seine Analysetools anbietet, darunter selbst gehostete Installationen und verwaltetes Cloud-Hosting. Während selbst gehostete Instanzen schwierig zu identifizieren sein könnten, da sie sich möglicherweise hinter einer Firewall oder in einem RFC1918-IP-Raum befinden, vermuteten wir, dass die in der Cloud gehosteten Instanzen einfacher zu finden sein könnten.
Wir begannen mit der Verwendung der Daten von Censys , um eine Subdomain-Aufzählung durchzuführen, die uns eine Liste von *.sisense.com-Sites lieferte, die kürzlich von Censys -Scannern gesehen wurden. Bei der Durchsicht der Ergebnisse entdeckten wir die Namen bekannter Organisationen und beschlossen, weitere Nachforschungen anzustellen.
Anhand unserer Liste von Subdomains erstellten wir einen Screenshot für jede einzelne, um die Analyse zu erleichtern und besser zu verstehen, zu welcher Organisation eine Sisense-Site gehören könnte, da viele von ihnen kundenspezifische Markenlogos enthalten.
Beispiel für die Ausgabe von Bildschirmfotos
Von den etwa 500 Endpunkten, von denen wir Screenshots erhalten haben, scheinen mindestens 25 zu Sisense selbst zu gehören (z. B. Community-, Dev- und Docs-Sites). Viele Sites zeigten das Standard-Login von Sisense an (siehe oben), was es in einigen Fällen schwieriger machte, trotz der Subdomain einen Eigentümer zu ermitteln.
Oft gab es mehrere Unternehmen mit ähnlichen Namen wie die betreffende Subdomäne. In Ermangelung eines Firmenlogos auf der Sisense-Anmeldeseite oder einer Weiterleitung zu einem SSO-Portal mit Markenzeichen konnten wir oft nicht mit Sicherheit feststellen, welches Unternehmen für eine bestimmte Sisense-Instanz verantwortlich war.
Letztendlich konnten wir die Eigentümer von 120 Sisense-Instanzen ermitteln, die wir im Folgenden näher betrachten. Wir weisen darauf hin, dass die folgenden Daten nicht repräsentativ für die Sisense-Kundenpopulation sind, sondern vielmehr einen Blick auf einige der Branchen werfen, die möglicherweise von dem Vorfall betroffen sein könnten.
Industrie und Geographie
Vertrieb und Marketing, Finanzen und Versicherungen sowie Gesundheits- und Sozialwesen waren die größten Kategorien von Unternehmen, die wir in unseren Daten identifiziert haben. Wir stellen auch die Präsenz von Branchen wie Internet und IT, Technologie, Logistik sowie Energie und Versorgungsunternehmen fest.
Die meisten der von uns entdeckten Fälle und identifizierten Eigentümer gehören zu Organisationen mit Sitz in den USA, obwohl wir auch einige Fälle von Organisationen mit Sitz im Vereinigten Königreich, Kanada, den Niederlanden und anderen Ländern entdeckten.
Viele der Organisationen in den USA scheinen international präsent zu sein, d. h. sie haben zwar ihren Hauptsitz in den USA, sind aber auch in Übersee tätig.
Schlussfolgerung
Die hier dargestellten Branchen- und geografischen Aufschlüsselungen stellen zwar nur eine Teilmenge der Sisense-Kunden dar, aber unsere Ergebnisse erinnern ein wenig an unsere Studie zu MOVEit, dem verwalteten Dateiübertragungs-Tool , das von Clop in einer Kampagne genutzt wurde, die im Sommer 2023 begann.
Back-Office-Software, insbesondere Software, die Daten über die Kunden eines Unternehmens verwaltet oder anderweitig speichert, ist nach wie vor ein beliebtes Ziel für Bedrohungsakteure.