/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F3e08ad2ed9fcae0506dace84aced0bf4.jpg)
Розширення Chrome від стартапу зламали з метою крадіжки паролів користувачів
Стартап із запобігання втраті даних Cyberhaven каже, що хакери опублікували зловмисне оновлення свого розширення Chrome, яке було здатне викрадати паролі клієнтів і маркери сеансу, згідно з електронним листом, надісланим постраждалим клієнтам, які могли стати жертвами цієї ймовірної атаки на ланцюг поставок.
Cyberhaven підтвердив факт кібератаки TechCrunch у п’ятницю, але відмовився коментувати подробиці інциденту.
В електронному листі від компанії, надісланому клієнтам, отриманому та опублікованому дослідником безпеки Меттом Йохансеном, говориться, що хакери скомпрометували обліковий запис компанії, щоб опублікувати зловмисне оновлення розширення Chrome рано вранці 25 грудня. У електронному листі зазначено, що для клієнтів, які використовують скомпрометоване розширення браузера, «конфіденційна інформація, включаючи автентифіковані сеанси та файли cookie, може бути викрадена в домен зловмисника».
Речник Cyberhaven Камерон Коулз відмовився коментувати електронний лист, але не став заперечувати його автентичність.
У короткій заяві електронною поштою Cyberhaven повідомила, що її команда безпеки виявила компрометацію вдень 25 грудня, а потім зловмисне розширення (версія 24.10.4) було видалено з веб-магазину Chrome. Незабаром після цього була випущена нова законна версія розширення (24.10.5).
Cyberhaven пропонує продукти, які, за її словами, захищають від викрадання даних та інших кібератак, включаючи розширення браузера, які дозволяють компанії відстежувати потенційно зловмисну активність на веб-сайтах. Веб-магазин Chrome показує, що на момент написання статті розширення Cyberhaven має близько 400 000 корпоративних користувачів.
На запитання TechCrunch Cyberhaven відмовився повідомити, скільки постраждалих клієнтів вони повідомили про порушення. Клієнтами каліфорнійської компанії є технологічні гіганти Motorola, Reddit і Snowflake, а також юридичні фірми та гіганти медичного страхування.
Згідно з електронним листом, який Cyberhaven надіслав своїм клієнтам, постраждалі користувачі повинні «скасувати» та «змінити всі паролі» та інші текстові облікові дані, такі як маркери API. У Cyberhaven заявили, що клієнти також повинні переглядати власні журнали на наявність шкідливих дій. (Маркети сеансу та файли cookie для облікових записів, у які ввійшли, які викрадені з браузера користувача, можна використовувати для входу в цей обліковий запис, не потребуючи пароля чи двофакторного коду, фактично дозволяючи хакерам обійти ці заходи безпеки.)
В електронному листі не вказано, чи повинні клієнти також змінювати будь-які облікові дані для інших облікових записів, що зберігаються в браузері Chrome, і представник Cyberhaven відмовився уточнити, коли його запитали TechCrunch.
Згідно з електронним листом, зламаний обліковий запис компанії був «єдиним обліковим записом адміністратора Google Chrome Store». Cyberhaven не повідомляє, як обліковий запис компанії було зламано, або які корпоративні політики безпеки були на місці, що дозволило компрометацію облікового запису. У своїй короткій заяві компанія заявила, що вона «ініціювала всебічний перегляд наших практик безпеки та запровадить додаткові гарантії на основі наших висновків».
Cyberhaven повідомила, що найняла компанію з реагування на інциденти, яка в електронному листі клієнтам називається Mandiant, і «активно співпрацює з федеральними правоохоронними органами».
Хайме Бласко, співзасновник і технічний директор Nudge Security, заявив у публікаціях на X , що кілька інших розширень Chrome були зламані як частина тієї ж кампанії, включно з кількома розширеннями з десятками тисяч користувачів.
Бласко сказав TechCrunch, що він все ще розслідує атаки та вважає, що на початку цього року було зламано більше розширень, зокрема деякі, пов’язані зі штучним інтелектом, продуктивністю та VPN.
«Схоже, він не був націлений проти Cyberhaven, а скоріше був націлений на розробників розширень», — сказав Бласко. «Я думаю, що вони шукали розширення, які могли використовувати на основі облікових даних розробників, які вони мали».
У своїй заяві для TechCrunch Cyberhaven сказав, що «публічні звіти свідчать про те, що ця атака була частиною ширшої кампанії, спрямованої на розробників розширень Chrome у багатьох компаніях». На даний момент незрозуміло, хто несе відповідальність за цю кампанію, і інші постраждалі компанії та їхні розширення ще не підтверджені.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F209%2Fc9a42510bd1439129ae37baaee073c6a.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fa9ad7b58196cf4a6451bdaa23f909480.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F9323362c271cb178e03f38d7a0dc040c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fa79279236206423766b4a46ceacba165.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2F5aa5380a00f6140ac8d84fad01e949e1.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F1b4628e2b388acaab50c175bae29ed7b.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F28%2F7665e04df80707ec20ac02cffbca331f)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F209%2F1abe1dfd7f50e955c006a96d857ff76c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F74%2F73fd5956dd162fe106b8eb86f1271d6d)