La société de gestion des identités et des accès JumpCloud affirme avoir réinitialisé les clés API des clients après que des pirates informatiques d’États-nations ont violé ses systèmes.
JumpCloud, une plate-forme d’annuaire qui permet aux entreprises d’authentifier, d’autoriser et de gérer les utilisateurs et les appareils, a déclaré la semaine dernière aux clients qu’elle avait réinitialisé leurs clés API « par prudence » en raison d’un incident de sécurité en cours, mais non spécifié.
Dans un post-mortem de l’incident publié, JumpCloud a déclaré avoir déterminé qu’un acteur de l’État-nation avait obtenu un accès non autorisé à ses systèmes et ciblé un ensemble « petit et spécifique » de clients.
JumpCloud n’a pas nommé le groupe soutenu par l’État, mais a déclaré que l’acteur de la menace est « sophistiqué… avec des capacités avancées ».
Dans ses conclusions, le CISO de JumpCloud, Bob Chan, a déclaré que la première activité anormale détectée s’était produite le 27 juin, qu’il remontait à une campagne de harponnage perpétrée par l’acteur de la menace le 22 juin. La société a déclaré à l’époque qu’elle n’avait vu aucune preuve du client. impact. Deux semaines plus tard, le 5 juillet, JumpCloud a déclaré avoir découvert une activité inhabituelle dans son cadre de commandes pour un petit groupe de clients, révélant que certains clients étaient affectés. C’est à ce moment-là que l’entreprise a réinitialisé toutes les clés API d’administration et a commencé à notifier les clients concernés.
« L’analyse a également confirmé les soupçons selon lesquels l’attaque était extrêmement ciblée et limitée à des clients spécifiques », a déclaré Chan. Le nombre exact de clients concernés et les types d’organisations ciblées restent inconnus. La société n’a pas précisé comment elle avait déterminé que des pirates informatiques d’États-nations étaient à l’origine de l’intrusion et n’a pas répondu à une demande de commentaire.
JumpCloud indique sur son site Web qu’il fournit son logiciel à plus de 180 000 organisations et compte plus de 5 000 clients payants. Ces clients incluent Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance et Foursquare.
Chan a ajouté que le vecteur d’attaque utilisé par les pirates anonymes soutenus par l’État a été atténué. Il a ajouté que la société avait informé les forces de l’ordre de l’attaque et publié une liste d’indicateurs de compromission (IOC) pour aider d’autres organisations à identifier des attaques similaires.
« Nous continuerons d’améliorer nos propres mesures de sécurité pour protéger nos clients contre les menaces futures et travaillerons en étroite collaboration avec nos partenaires gouvernementaux et industriels pour partager les informations liées à cette menace », a déclaré Chan.