SonicWall: cloudback-ups met firewallconfiguratie klanten gestolen via API call

In dit artikel:

SonicWall meldt dat bij een inbraak alle cloudback-ups van klanten zijn gestolen; die backups bevatten firewallconfiguraties en versleutelde inloggegevens die aanvallers kunnen gebruiken voor gerichte vervolgacties. Het incident werd aanvankelijk in september gerapporteerd als een zaak waarbij via bruteforce minder dan vijf procent van de klanten was geraakt, maar in een latere update stelde het bedrijf dat daadwerkelijk van alle klanten die de cloudback-updienst gebruiken bestanden waren weggenomen. Vorige omschrijvingen over bruteforce-aanvallen zijn uit de berichtgeving gehaald en het voorval werd sindsdien als een "cloud backup security incident" aangeduid.

Een recent korte update, gebaseerd op onderzoek door beveiligingsbedrijf Mandiant, concludeert dat een staatsactor achter de aanval zit; SonicWall geeft echter geen details over de onderbouwing van die conclusie noch over een mogelijke herkomst. Wel zegt het bedrijf dat de datadiefstal via een API-call heeft plaatsgevonden, maar verdere technische informatie ontbreekt. De onduidelijkheid en het brede bereik van de compromitteerde backups vergroten de risico’s voor getroffen organisaties.