Breaking News

Ekstensi Chrome dari perusahaan cyber dibajak untuk mencuri kata sandi pengguna

Ekstensi Chrome dari perusahaan cyber dibajak untuk mencuri kata sandi pengguna

Startup pencegahan kehilangan data, Cyberhaven, mengatakan bahwa peretas merilis pembaruan berbahaya pada ekstensi Chrome-nya yang mampu mencuri kata sandi pelanggan dan token sesi, menurut email yang dikirim ke pelanggan yang terkena dampak, yang mungkin menjadi korban dugaan serangan terhadap rantai pasokan ini.

Cyberhaven mengkonfirmasi serangan siber tersebut kepada TechCrunch pada hari Jumat, tetapi menolak mengomentari rincian insiden tersebut.

Email perusahaan dikirim ke pelanggan, diperoleh dan dipublikasikan oleh peneliti keamanan Matt Johansen, mengatakan peretas menyusupi akun perusahaan untuk mempublikasikan pembaruan berbahaya pada ekstensi Chrome-nya pada dini hari tanggal 25 Desember. Email tersebut mengatakan bahwa bagi pelanggan yang menjalankan ekstensi browser yang disusupi, “informasi sensitif, termasuk sesi dan cookie yang diautentikasi, dapat diperoleh dan dieksfiltrasi ke domain penyerang.”

Juru bicara Cyberhaven Cameron Coles menolak mengomentari email tersebut, namun tidak membantah keasliannya.

Dalam pernyataan singkat yang dikirim melalui email, Cyberhaven mengatakan tim keamanannya mendeteksi penyusupan pada sore hari tanggal 25 Desember dan ekstensi berbahaya (versi 24.10.4) kemudian dihapus dari Toko Web Chrome. Versi ekstensi baru yang sah (24.10.5) dirilis segera setelahnya.

Cyberhaven menawarkan produk yang dikatakan melindungi dari pelanggaran data dan serangan siber lainnya, termasuk ekstensi browser, yang memungkinkan perusahaan memantau potensi aktivitas berbahaya di situs web. Toko Web Chrome ditampilkan ekstensi Cyberhaven Ini memiliki sekitar 400.000 pengguna klien korporat pada saat penulisan.

Ketika ditanya oleh TechCrunch, Cyberhaven menolak untuk mengatakan berapa banyak pelanggan yang terkena dampak yang telah diberitahu tentang pelanggaran tersebut. Perusahaan yang berbasis di California ini memiliki raksasa teknologi Motorola, Reddit dan Snowflake, serta firma hukum dan raksasa asuransi kesehatan, di antara kliennya.

Menurut email yang dikirimkan Cyberhaven kepada pelanggannya, pengguna yang terpengaruh harus “mencabut” dan “memutar semua kata sandi” dan kredensial berbasis teks lainnya, seperti token API. Cyberhaven mengatakan pelanggan juga harus memeriksa log mereka sendiri untuk mengetahui adanya aktivitas jahat. (Token sesi dan cookie untuk akun masuk yang dicuri dari browser pengguna dapat digunakan untuk masuk ke akun tersebut tanpa memerlukan kata sandi atau kode dua faktor, yang secara efektif memungkinkan peretas untuk melewati langkah-langkah keamanan tersebut. keamanan).

Email tersebut tidak menentukan apakah pelanggan juga harus mengubah kredensial untuk akun lain yang disimpan di browser Chrome, dan juru bicara Cyberhaven menolak menjelaskannya ketika ditanya oleh TechCrunch.

Menurut email tersebut, akun perusahaan yang disusupi adalah “akun administrator tunggal untuk Google Chrome Store”. Cyberhaven tidak mengatakan bagaimana akun perusahaan tersebut disusupi atau kebijakan keamanan perusahaan apa yang memungkinkan akun tersebut disusupi. Perusahaan tersebut mengatakan dalam pernyataan singkatnya bahwa mereka telah “memulai tinjauan komprehensif terhadap praktik keamanan kami dan akan menerapkan perlindungan tambahan berdasarkan temuan kami.”

Cyberhaven mengatakan pihaknya telah menyewa sebuah perusahaan tanggap insiden, yang menurut email yang dikirim ke pelanggan adalah Mandiant, dan bahwa perusahaan tersebut “secara aktif bekerja sama dengan otoritas federal.”

Jaime Blasco, salah satu pendiri dan CTO Nudge Security, berkata dalam postingan di X bahwa beberapa ekstensi Chrome lainnya telah disusupi sebagai bagian dari kampanye yang sama, termasuk beberapa ekstensi dengan puluhan ribu pengguna.

Blasco mengatakan kepada TechCrunch bahwa dia masih menyelidiki serangan tersebut dan yakin saat ini ada lebih banyak ekstensi yang disusupi awal tahun ini, termasuk beberapa yang terkait dengan kecerdasan buatan, produktivitas, dan VPN.

“Tampaknya hal ini tidak ditujukan terhadap Cyberhaven, melainkan oportunis terhadap pengembang ekstensi,” kata Blasco. “Saya rasa mereka mencari ekstensi apa pun yang mereka bisa berdasarkan kredensial pengembang yang mereka miliki.”

Dalam pernyataannya kepada TechCrunch, Cyberhaven mengatakan bahwa “laporan publik menunjukkan bahwa serangan ini adalah bagian dari kampanye yang lebih luas yang menargetkan pengembang ekstensi Chrome di berbagai perusahaan.” Saat ini belum jelas siapa yang bertanggung jawab atas kampanye ini dan perusahaan lain yang terkena dampak, serta perluasannya belum dikonfirmasi.

Sumber