Veri kaybını önleme girişimi Cyberhaven, şüpheli tedarik zinciri saldırısının kurbanı olabilecek etkilenen müşterilere gönderilen bir e-postaya göre, bilgisayar korsanlarının Chrome uzantısında müşteri şifrelerini ve oturum belirteçlerini çalabilecek kötü amaçlı bir güncelleme yayınladığını söyledi.
Cyberhaven Cuma günü TechCrunch’a yapılan siber saldırıyı doğruladı ancak olayla ilgili ayrıntılar hakkında yorum yapmaktan kaçındı.
Firmanın müşterilere gönderdiği bir e-posta, elde edildi ve yayınlandı Güvenlik araştırmacısı Matt Johansen tarafından yazılan bir raporda, bilgisayar korsanlarının 25 Aralık sabahı erken saatlerde Chrome uzantısına yönelik kötü amaçlı bir güncelleme yayınlamak için bir şirket hesabının güvenliğini ihlal ettiği belirtildi. E-postada, güvenliği ihlal edilen tarayıcı uzantısını çalıştıran müşteriler için “hassas bilgilerin, Kimliği doğrulanmış oturumlar ve çerezler de dahil olmak üzere saldırganın etki alanına sızdırılacak.”
Cyberhaven sözcüsü Cameron Coles, e-posta hakkında yorum yapmayı reddetti ancak e-postanın gerçekliğine itiraz etmedi.
Cyberhaven, e-postayla gönderilen kısa bir açıklamada, güvenlik ekibinin bu ihlali 25 Aralık öğleden sonra tespit ettiğini ve ardından kötü amaçlı uzantının (sürüm 24.10.4) Chrome Web Mağazası’ndan kaldırıldığını söyledi. Kısa bir süre sonra uzantının yeni bir meşru sürümü (24.10.5) yayınlandı.
Cyberhaven, şirketin web sitelerindeki potansiyel kötü amaçlı etkinlikleri izlemesine olanak tanıyan tarayıcı uzantıları da dahil olmak üzere, veri hırsızlığına ve diğer siber saldırılara karşı koruduğunu söylediği ürünler sunuyor. Chrome Web Mağazası’nda gösterilenler Cyberhaven uzantısı Bu yazının yazıldığı sırada yaklaşık 400.000 kurumsal müşteri kullanıcısı bulunmaktadır.
TechCrunch tarafından sorulduğunda Cyberhaven, ihlalden etkilenen kaç müşteriyi bilgilendirdiğini söylemeyi reddetti. Kaliforniya merkezli şirket, müşteri olarak teknoloji devleri Motorola, Reddit ve Snowflake’in yanı sıra hukuk firmaları ve sağlık sigortası devlerini de listeliyor.
Cyberhaven’ın müşterilerine gönderdiği e-postaya göre, etkilenen kullanıcıların “tüm şifreleri” ve API belirteçleri gibi diğer metin tabanlı kimlik bilgilerini “iptal etmesi” ve “döndürmesi” gerekiyor. Cyberhaven, müşterilerin kötü niyetli faaliyetlere karşı kendi günlüklerini de incelemeleri gerektiğini söyledi. (Kullanıcının tarayıcısından çalınan, oturum açmış hesaplara ait oturum belirteçleri ve çerezler, parolaya veya iki faktörlü koda ihtiyaç duymadan o hesapta oturum açmak için kullanılabilir, böylece bilgisayar korsanlarının bu güvenlik önlemlerini etkili bir şekilde atlamasına olanak sağlanır.)
E-posta, müşterilerin Chrome tarayıcısında depolanan diğer hesaplara ait kimlik bilgilerini de değiştirmesi gerekip gerekmediğini belirtmiyor ve Cyberhaven sözcüsü, TechCrunch tarafından sorulduğunda bunu belirtmeyi reddetti.
E-postaya göre ele geçirilen şirket hesabı, “Google Chrome Mağazası’nın tek yönetici hesabı”ydı. Cyberhaven, şirket hesabının nasıl ele geçirildiğini veya hesabın ele geçirilmesine izin veren kurumsal güvenlik politikalarının neler olduğunu söylemedi. Şirket, kısa açıklamasında “güvenlik uygulamalarımızın kapsamlı bir incelemesini başlattığını ve bulgularımıza dayanarak ek güvenlik önlemleri uygulayacağını” söyledi.
Cyberhaven, müşterilere gönderilen e-postada Mandiant adının verildiği bir olay müdahale firmasıyla anlaştığını ve “federal kolluk kuvvetleriyle aktif olarak işbirliği yaptığını” söyledi.
Nudge Security’nin kurucu ortağı ve CTO’su Jaime Blasco şunları söyledi: X’teki gönderilerde On binlerce kullanıcıya sahip birkaç uzantı da dahil olmak üzere, görünüşe göre aynı kampanyanın parçası olarak diğer bazı Chrome uzantılarının güvenliğinin ihlal edildiği.
Blasco, TechCrunch’a saldırıları hâlâ araştırdığını ve bu noktada bu yılın başlarında yapay zeka, üretkenlik ve VPN’lerle ilgili olanlar da dahil olmak üzere daha fazla uzantının ele geçirildiğine inandığını söyledi.
Blasco, “Görünüşe göre Cyberhaven’ı hedef almıyor, daha ziyade fırsatçı bir şekilde uzantı geliştiricilerini hedef alıyor” dedi. “Geliştiricilerin sahip oldukları kimlik bilgilerine dayanarak yapabilecekleri uzantıların peşine düştüklerini düşünüyorum.”
TechCrunch’a yaptığı açıklamada Cyberhaven, “kamuya açık raporlar, bu saldırının, çok çeşitli şirketlerdeki Chrome uzantısı geliştiricilerini hedef alan daha geniş bir kampanyanın parçası olduğunu öne sürüyor” dedi. Bu noktada bu kampanyadan kimin sorumlu olduğu belli değil ve etkilenen diğer şirketler ve onların uzantıları henüz onaylanmadı.
