Daten von tausenden Mitarbeitern bei Atlassian wurden von Cyberkriminellen kopiert und online veröffentlicht. Die entsprechenden Zugangsdaten waren in einem öffentlichen Verzeichnis vorhanden.
Da ein Angestellter des Kollaborations-Software-Anbieters Atlassian die Zugangsdaten aus Versehen in einem öffentlichen Repository gepostet hatte, konnten Cyberkriminelle tausende Daten von Mitarbeitern stehlen und im Netz online stellen.
Tausende Daten betroffen
Vergangene Woche hatte ein Mitglied der Cybergruppe SiegedSec im Darknet sowie auf Telegram den Datendiebstahl mitgeteilt und eine 3,8 Mbyte große ZIP-Datei verbreitet. In der ZIP-Datei befinden sich außer Mac-Metadateien auch eine .json-Datei mit sensiblen Daten von tausenden Angestellten. Die Datensätze beinhalten Namen, E-Mail-Adressen, Telefonnummern, Abteilung, Position, Vorgesetzte sowie weitere vertrauliche Informationen. Des Weiteren sind Skizzen und Grundrisse der Bürogebäude von Atlassian in Sydney und San Francisco geleakt worden. In der ZIP-Datei gibt es Hinweise auf Envoy, eine Drittanbieter-App, die Atlassian für die Koordination von Büro-Ressourcen verwendet. Produkt- und Kundendaten seien zu keiner Zeit gefährdet gewesen, bestätigte der Sprecher von Atlassian gegenüber Cyberscoop.
Zugangsdaten in öffentlichem Verzeichnis gespeichert
Atlassian informierte die Medien, dass interne Untersuchungen zu dem Ergebnis kamen, dass sensible Daten durch die Envoy-App gestohlen wurden. Bei dem Cyberangriff seien die Zugangsdaten eines Mitarbeiters genutzt worden, die fälschlicherweise in einem öffentlichen Verzeichnis gepostet wurden. Dadurch haben Cyberkriminelle Zugriff auf sensible Daten erlangen können, die exklusiv durch den Mitarbeiteraccount einsehbar waren. Unter den Daten waren veröffentlichte Bürogrundrisse sowie öffentliche Envoy-Profile von anderen Angestellten und Auftragnehmern des Kollaborations-Software-Anbieters. Der kompromittierte Envoy-Account sei unverzüglich gesperrt worden, um weitere Risiken für die Daten des Unternehmens auszuschließen.
Kein Einbruch in Unternehmenssysteme von Envoy
Ein Unternehmenssprecher teilte außerdem mit, dass es zu keinem Einbruch in die Unternehmenssysteme von Envoy kam. In den Zugriffsprotokollen lässt sich nachweisen, dass die Cyberkriminellen verifizierte Benutzeranmeldeinformationen eines Atlassian-Mitarbeiteraccounts für den Log-In angewendet haben. Dadurch konnten die Daten der Envoy-App vorerst unbemerkt heruntergeladen werden. Nach Angaben des Unternehmens wurden die Systeme von Envoy nicht kompromittiert und es erfolgte kein Zugriff auf sensible Daten anderer Kunden.
Prävention zur Vermeidung von Cyberangriffen
Datenleaks, die durchaus hätten vermieden werden können, wurden bereits durch den Chaos Computer Club (CCC) vor circa einem Jahr beanstandet. Damals haben IT-Fachleute sensible Daten, wie beispielsweise Zugangsdaten in öffentlich erreichbaren Git-Respositories, ungesicherten ElasticSearch-Instanzen, via PHP-Entwicklungswerkzeug Symfony Profiler und in nicht gesicherten Datenbanken entdeckt.