Das Identitäts- und Zugriffsmanagementunternehmen JumpCloud gibt an, die API-Schlüssel seiner Kunden zurückgesetzt zu haben, nachdem staatliche Hacker in seine Systeme eingedrungen waren.
JumpCloud, eine Verzeichnisplattform, die es Unternehmen ermöglicht, Benutzer und Geräte zu authentifizieren, zu autorisieren und zu verwalten, teilte Kunden letzte Woche mit, dass das Unternehmen seine API-Schlüssel „aus großer Vorsicht“ aufgrund eines anhaltenden, aber nicht näher bezeichneten Sicherheitsvorfalls zurückgesetzt habe.
In einem Obduktion des Vorfalls veröffentlichtJumpCloud sagte, es habe festgestellt, dass sich ein nationalstaatlicher Akteur unbefugten Zugriff auf seine Systeme verschafft und eine „kleine und spezifische“ Gruppe von Kunden ins Visier genommen habe.
Jumpcloud hat die staatlich unterstützte Gruppe nicht benannt, sagte aber, der Bedrohungsakteur sei „anspruchsvoll … mit erweiterten Fähigkeiten“.
In seinen Ergebnissen sagte JumpCloud-CISO Bob Chan, dass die erste anomale Aktivität am 27. Juni entdeckt worden sei, die er auf eine Spearphishing-Kampagne des Bedrohungsakteurs am 22. Juni zurückführte. Das Unternehmen sagte damals, es habe keine Hinweise auf einen Kunden gesehen Auswirkung. Zwei Wochen später, am 5. Juli, gab JumpCloud bekannt, bei einer kleinen Gruppe von Kunden ungewöhnliche Aktivitäten in seinem Befehls-Framework entdeckt zu haben, was darauf hindeutet, dass einige Kunden betroffen waren. Zu diesem Zeitpunkt setzte das Unternehmen alle Admin-API-Schlüssel zurück und begann, betroffene Kunden zu benachrichtigen.
„Die Analyse bestätigte auch den Verdacht, dass der Angriff äußerst gezielt und auf bestimmte Kunden beschränkt war“, sagte Chan. Die genaue Anzahl der betroffenen Kunden und die Art der angegriffenen Organisationen sind weiterhin unbekannt. Das Unternehmen hat nicht gesagt, wie es herausgefunden hat, dass nationalstaatliche Hacker hinter dem Eindringen stecken, und hat auch nicht auf eine Bitte um Stellungnahme geantwortet.
JumpCloud gibt auf seiner Website an, dass das Unternehmen seine Software mehr als 180.000 Organisationen zur Verfügung stellt und mehr als 5.000 zahlende Kunden zählt. Zu diesen Kunden gehören Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance und Foursquare.
Chan fügte hinzu, dass der Angriffsvektor der namentlich nicht genannten staatlich unterstützten Hacker abgeschwächt wurde. Er fügte hinzu, dass das Unternehmen die Strafverfolgungsbehörden über den Angriff informiert und eine Liste veröffentlicht habe Kompromissindikatoren (IOCs) um anderen Organisationen dabei zu helfen, ähnliche Angriffe zu erkennen.
„Wir werden unsere eigenen Sicherheitsmaßnahmen weiter verbessern, um unsere Kunden vor zukünftigen Bedrohungen zu schützen, und werden eng mit unseren Regierungs- und Industriepartnern zusammenarbeiten, um Informationen im Zusammenhang mit dieser Bedrohung auszutauschen“, sagte Chan.