Der australische Softwaregigant Atlassian und Envoy, ein Startup-Unternehmen, das Workplace-Management-Services anbietet, stritten sich am Donnerstag wegen einer Datenschutzverletzung, bei der die Daten von Tausenden von Atlassian-Mitarbeitern offengelegt wurden.
Wie zuerst berichtet von Cyberscoop, eine Hacking-Gruppe namens SiegedSec, hat diese Woche Daten auf Telegram durchsickern lassen, die angeblich von Atlassian gestohlen wurden. Diese Daten umfassen die Namen, E-Mail-Adressen, Arbeitsabteilungen und Telefonnummern von etwa 13.200 Atlassian-Mitarbeitern sowie Grundrisse der Atlassian-Büros in San Francisco und Sydney, Australien.
„SiegedSec ist hier, um bekannt zu geben, dass wir das Softwareunternehmen Atlassian gehackt haben“, sagte SiegedSec in einer Telegram-Nachricht, die von Tech gesehen wurde. „Dieses Unternehmen im Wert von 44 Milliarden US-Dollar wurde von den pelzigen Hackern uwu gepfändet.“ SiegedSec machte letztes Jahr danach Schlagzeilen durchgesickert acht Gigabyte Daten von den Regierungen der Bundesstaaten Kentucky und Arkansas, aus Protest gegen die Bemühungen der Bundesstaaten, Abtreibungsverbote zu erlassen, nachdem der Oberste Gerichtshof entschieden hatte, Roe v. Wade aufzuheben.
Atlassian gab Envoy, mit dem das Unternehmen mit Hauptsitz in Sydney seine Büroräume organisiert, schnell die Schuld für den Verstoß. „Am 15. Februar 2023 erfuhren wir, dass Daten von Envoy, einer Drittanbieter-App, die Atlassian zur Koordinierung von Ressourcen im Büro verwendet, kompromittiert und veröffentlicht wurden“, sagte Atlassian-Sprecherin Megan Sutton in einer Erklärung, die Tech mitgeteilt wurde. „Produkt- und Kundendaten von Atlassian sind nicht über die Envoy-App zugänglich und daher nicht gefährdet.“
Envoy wies die Behauptungen von Atlassian jedoch genauso schnell zurück. Die Sprecherin von Envoy, April Marks, sagte gegenüber Tech, dass dem Startup „keine Gefährdung unserer Systeme bekannt ist“, und fügte hinzu, dass erste Untersuchungen gezeigt hätten, dass „ein Hacker Zugang zu den gültigen Anmeldeinformationen eines Atlassian-Mitarbeiters erlangte, um sich zu drehen und auf das Atlassian-Mitarbeiterverzeichnis und die Büroetage zuzugreifen Pläne, die in der App von Envoy gespeichert sind.“ Envoy weigerte sich, Beweise für seine Behauptungen vorzulegen oder spezifische Fragen zu beantworten.
Kurz nach der Ablehnung des Startups änderte Atlassian seine Haltung, um sich enger an Envoy auszurichten. Sutton von Atlassian sagte gegenüber Tech, dass die interne Untersuchung des Unternehmens seitdem ergeben habe, dass Angreifer tatsächlich Atlassian-Daten aus der Envoy-App kompromittiert hätten, „unter Verwendung der Anmeldeinformationen eines Atlassian-Mitarbeiters, die vom Mitarbeiter fälschlicherweise in einem öffentlichen Repository gepostet worden waren“.
„Als solche hatte die Hacking-Gruppe Zugriff auf Daten, die über das Mitarbeiterkonto sichtbar waren, darunter die veröffentlichten Bürogrundrisse und öffentlichen Envoy-Profile anderer Atlassian-Mitarbeiter und -Auftragnehmer“, fügte Sutton hinzu. „Das Konto des kompromittierten Mitarbeiters wurde umgehend deaktiviert, wodurch jede weitere Bedrohung für die Envoy-Daten von Atlassian beseitigt wurde. Produkt- und Kundendaten von Atlassian sind nicht über die Envoy-App zugänglich und daher nicht gefährdet.“
Während es scheint, dass Envoy nicht für die Atlassian-Datenpanne verantwortlich war, ist das Arbeitsplatzverwaltungs-Startup – das eine Reihe namhafter Kunden zählt, darunter Hulu, Pinterest, Slack und Stripe – Sicherheitsvorfällen nicht fremd. Im Jahr 2019 deckten Sicherheitsforscher von IBM zwei Schwachstellen im Besucherverwaltungssystem von Envoy auf, die Kundendaten offengelegt haben könnten.