Cyberkriminelle haben Daten von tausenden Mitarbeitern des Kollaborations-Software-Anbieters Atlassian in Netz veröffentlicht. Ein Mitarbeiter hatte Zugangsdaten fälschlicherweise in einem öffentlichen Verzeichnis gepostet. Bereits vergangene Woche hat ein Mitglied der Cybergang, die sich SiegedSec nennt, in Untergrundforen und auf Telegram von dem Datenklau berichtet und eine 3,8 MByte große ZIP-Datei verfügbar gemacht. Darin finden sich neben Mac-Metadateien eine .json-Datei mit Daten von tausenden Mitarbeitern – sie umfassen unter anderem deren Name, E-Mail-Adressen, Telefonnummern, Position, Abteilung, Vorgesetzte und weitere Informationen. Zudem sind Grundrisse und Skizzen der Atlassian-Büros in San Francisco und Sydney enthalten. Der Datenklau sei ein verspäteter Valentins-Tag-Hack, frotzelt das Cybergang-Mitglied YourAnonWolf in den Social-Network-Beiträgen. In der Datei mit den Mitarbeiter-Daten finden sich Hinweise auf Envoy. Dabei handelt es sich um eine Drittanbieter-App, mit der Atlassian die Büro-Ressourcen koordiniere, wie Atlassian-Sprecher gegenüber Cyberscoop erläuterten. Produkt- und Kunden-Daten seien nicht gefährdet gewesen. Wie Atlassian gegenüber Medien erklärte, hätten die internen Untersuchungen ergeben, dass die Daten mit der Envoy-App abgezogen wurden. Dabei seien Zugangsdaten eines Mitarbeiters missbraucht worden, die „fälschlicherweise von dem Mitarbeiter in einem öffentlichen Repository gepostet wurden“. So habe die Hackergruppe Zugriff auf Daten erhalten, die über das Mitarbeiterkonto einsehbar waren, darunter die veröffentlichten Bürogrundrisse und öffentlichen Envoy-Profile anderer Atlassian-Mitarbeiter und Auftragnehmer. Das betroffene Envoy-Konto sei umgehend deaktiviert worden, um jedwedes weiteres Risiko für Atlassian-Daten bei Envoy zu eliminieren. In Unternehmenssysteme sei auch bei Envoy nicht eingebrochen worden, wie ein Unternehmenssprecher mitteilte. „Wir haben in den Zugriffsprotokollen Belege gefunden, die bestätigen, dass Hacker gültige Benutzeranmeldeinformationen von einem Atlassian-Mitarbeiterkonto zum Zugriff verwendet haben, um die betroffenen Daten von der Envoy-App herunterzuladen. Wir können bestätigen, dass die Systeme von Envoy nicht kompromittiert wurden und dass kein Zugriff auf die Daten anderer Kunden erfolgte“, ergänzte der Envoy-Sprecher demzufolge. Datenlecks aus vermeidbaren Fehlern hat auch der Chaos Computer Club (CCC) vor rund einem Jahr bemängelt. Auch dort haben die IT-Experten schützenswerte Daten wie Zugangsdaten in offen zugänglichen Git-Repositories, ungesicherten ElasticSearch-Instanzen, via PHP-Entwicklungswerkzeug Symfony Profiler und in ungesicherten Datenbanken gefunden.

Quelle: Heise