Αποκλειστικός: Η πλατφόρμα παράδοσης φαγητού Grubhub επιβεβαίωσε μια πρόσφατη παραβίαση δεδομένων μετά την πρόσβαση χάκερ στα συστήματά της, με πηγές να λένε στην BleepingComputer ότι η εταιρεία αντιμετωπίζει πλέον απαιτήσεις εκβιασμού.
«Γνωρίζουμε ότι υπάρχουν μη εξουσιοδοτημένα άτομα που κατέβασαν πρόσφατα δεδομένα από ορισμένα συστήματα Grubhub», είπε ο Grubhub στο BleepingComputer.
“Ερευνήσαμε γρήγορα, σταματήσαμε τη δραστηριότητα και λαμβάνουμε μέτρα για να αυξήσουμε περαιτέρω τη στάση ασφαλείας μας. Ευαίσθητες πληροφορίες, όπως οικονομικές πληροφορίες ή ιστορικό παραγγελιών, δεν επηρεάστηκαν.”
Η Grubhub δεν θα απαντούσε σε περαιτέρω ερωτήσεις σχετικά με την παραβίαση, συμπεριλαμβανομένου του πότε συνέβη, εάν εμπλέκονταν δεδομένα πελατών ή εάν εκβιάζονταν.
Ωστόσο, η εταιρεία επιβεβαίωσε ότι συνεργάζεται με μια εταιρεία κυβερνοασφάλειας τρίτου μέρους και έχει ενημερώσει τις αρχές επιβολής του νόμου.
Τον περασμένο μήνα, το Grubhub συνδέθηκε επίσης με ένα κύμα ηλεκτρονικών μηνυμάτων απάτης που εστάλησαν από αυτό b.grubhub.com υποτομέας που προώθησε μια απάτη κρυπτονομισμάτων που υπόσχεται δεκαπλάσια απόδοση στις πληρωμές Bitcoin.
Η Grubhub είπε τότε ότι περιείχε το ζήτημα και έλαβε μέτρα για να αποτρέψει περαιτέρω μη εξουσιοδοτημένα μηνύματα, αλλά δεν θα απαντούσε σε περαιτέρω ερωτήσεις σχετικά με το περιστατικό.
Δεν είναι σαφές εάν τα δύο περιστατικά συνδέονται.
Εκβιασμός από χάκερ
Αν και η Grubhub δεν θα κοινοποιήσει περισσότερες λεπτομέρειες, πολλές πηγές είπαν στο BleepingComputer ότι η ομάδα κυβερνοεγκλήματος ShinyHunters εκβιάζει την εταιρεία.
Το BleepingComputer προσπάθησε να επαληθεύσει αυτούς τους ισχυρισμούς με τους παράγοντες της απειλής, αλλά αρνήθηκαν να σχολιάσουν.
Σύμφωνα με πηγές, οι παράγοντες απειλών απαιτούν μια πληρωμή Bitcoin για να αποτρέψουν την απελευθέρωση παλαιότερων δεδομένων Salesforce από παραβίαση του Φεβρουαρίου 2025 και νεότερων δεδομένων Zendesk που κλάπηκαν στην πρόσφατη παραβίαση.
Το Grubhub χρησιμοποιεί το Zendesk για να τροφοδοτήσει το διαδικτυακό του σύστημα συνομιλίας υποστήριξης, το οποίο παρέχει υποστήριξη για παραγγελίες, ζητήματα λογαριασμού και χρεώσεις.
Αν και δεν είναι σαφές πότε συνέβη η παραβίαση, η BleepingComputer ενημερώθηκε ότι έγινε μέσω μυστικών/διαπιστευτηρίων που κλάπηκαν στην πρόσφατη Επιθέσεις κλοπής δεδομένων Salesloft Drift.
Τον Αύγουστο, οι παράγοντες απειλών χρησιμοποίησαν κλεμμένα διακριτικά OAuth για την ενσωμάτωση Salesforce της Salesloft για να πραγματοποιήσουν μια εκστρατεία κλοπής δεδομένων μεταξύ 8 Αυγούστου και 18 Αυγούστου 2025.
Σύμφωνα με μια αναφορά της ομάδας Threat Intelligence της Google (Mandiant), τα κλεμμένα δεδομένα χρησιμοποιήθηκαν στη συνέχεια για τη συλλογή διαπιστευτηρίων και μυστικών για τη διεξαγωγή επιθέσεων παρακολούθησης σε άλλες πλατφόρμες.
“Το GTIG παρατήρησε το UNC6395 που στοχεύει ευαίσθητα διαπιστευτήρια, όπως κλειδιά πρόσβασης (AKIA) των Υπηρεσιών Ιστού της Amazon (AWS), κωδικούς πρόσβασης και διακριτικά πρόσβασης που σχετίζονται με το Snowflake.” αναφέρει η Google.
Οι ShinyHunters ισχυρίστηκαν τότε ότι ήταν πίσω από την παραβίαση, δηλώνοντας ότι έκλεψαν περίπου 1,5 δισεκατομμύρια αρχεία δεδομένων από το “Λογαριασμός“,”Επαφή“,”Περίπτωση“,”Ευκαιρία“, και “Μεταχειριζόμενος” Πίνακες αντικειμένων Salesforce για 760 εταιρείες.
Καθώς οι φορείς απειλών συνεχίζουν να καταχρώνται προηγουμένως κλεμμένα δεδομένα Salesforce για να πραγματοποιήσουν επακόλουθες επιθέσεις, οι οργανισμοί που επηρεάζονται από τις παραβιάσεις του Salesloft Drift πρέπει να εναλλάσσουν όλα τα επηρεαζόμενα διακριτικά πρόσβασης και μυστικά το συντομότερο δυνατό, εάν δεν το έχουν ήδη κάνει.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
