- El ataque de Nochebuena afecta a la extensión Cyberhaven Chrome
- Algunos datos podrían filtrarse, los sistemas Cyberhaven son seguros
- Se pide a los usuarios que cambien sus contraseñas
Cyberhaven ha confirmado que su extensión de Google Chrome fue objeto de un ciberataque en Nochebuena que expuso datos confidenciales de los clientes, como contraseñas y tokens de sesión.
b un declaraciónLa Data Loss Prevention Corporation señaló que el ataque mostraba signos de ser parte de una “campaña más amplia” dirigida también a otras empresas.
El ataque comenzó como muchos otros: un empleado cayó en un correo electrónico de phishing y compartió sus credenciales, lo que le dio al actor de amenazas acceso a los sistemas de Cyberhaven.
Cyberhaven comparte detalles del ataque de Nochebuena
Más concretamente, el atacante obtuvo las credenciales del empleado de Google Chrome Web Store, lo que le permitió publicar en el mercado una versión maliciosa de su extensión de Chrome. Sólo la versión 24.10.4 afectó a los navegadores basados en Chrome que se actualizaban automáticamente; El código estuvo activo entre las 01:32 UTC del 25 de diciembre y las 2:50 UTC del 26 de diciembre.
El director ejecutivo, Howard Ting, dijo que el equipo de seguridad de la empresa detectó el compromiso a las 23:54 UTC del día de Navidad; se eliminó en una hora y señaló: “Estoy orgulloso de la rapidez con la que respondió nuestro equipo, y casi todos en la empresa interrumpieron sus planes de vacaciones para servir a nuestros clientes y actuar con transparencia, que es el núcleo de los valores de nuestra empresa”.
Ningún otro sistema Cyberhaven, como los procesos CI/CD y las claves de firma de código, se vio afectado, pero las cookies de usuario y las sesiones autenticadas para ciertos sitios específicos pudieron reemplazarse.
Ahora se recomienda a los usuarios que mantengan principios básicos de higiene de Internet, como asegurarse de que sus complementos estén actualizados (en este caso, la versión 24.10.5 o superior), verificar los registros en busca de actividad sospechosa y revocar o rotar todos los que no sean FIDOv2. contraseñas.
La empresa ya ha implementado medidas de seguridad adicionales para evitar ataques similares en el futuro y está cooperando activamente con las autoridades policiales.