Il faut se méfier des attaques par rebond. Le géant australien des logiciels Atlassian qui a déjà fort à faire pour colmater les brèches de sécurité dans ses propres produits - dont dernièrement Jira Service Management Server et Data Center - a été confronté à un hack par le biais d'un de ses partenaires. Utilisant pour ses services de gestion interne de documents la solution de la start-up Envoy, cette dernière a en effet été ciblée par le cybergang SiegedSec qui par rebond à voler des données d'Atlassian. Selon Techrunch, les données ont été consultées à partir de l'application Envoy à l'aide des informations d'identification d'un employé d'Atlassian qui avaient été publiées par erreur dans un de ses référentiels publics.

Le hack est particulièrement conséquent puisqu'il affecte près de 13 200 employés d'Atlassian. Selon un leak publié sur Telegam, on retrouve dont des noms, des adresses e-mails, des services de rattachement ainsi que des numéros de téléphone. Ce n'est pas la première fois que SiegedSec sévit, ce groupe de cybercriminels s'étant aussi fait remarqué pour avoir diffusé 8 Go de data des sites gouvernementaux des Etats du Kentucky et de l'Arkansas.

Les données produits et clients d'Atlassian pas exposées

« Le 15 février 2023, nous avons appris que les données d'Envoy, une application tierce qu'Atlassian utilise pour coordonner les ressources internes, avaient été compromises et publiées », a déclaré un représentant de l'éditeur à CyberScoop dans un e-mail ce jeudi. « Les données produits et clients d'Atlassian ne sont pas accessibles via l'application Envoy et ne sont donc pas à risque. La sécurité est notre priorité, et nous avons travaillé rapidement pour améliorer la sécurité physique dans nos bureaux à travers le monde. Nous enquêtons activement sur cet incident et continuerons de fournir des mises à jour aux employés à mesure que nous en apprendrons davantage ».

Un porte-parole du partenaire a de son côté expliqué avoir « trouvé des preuves dans les journaux de demandes qui confirment que les pirates ont obtenu des informations d'identification d'utilisateur valides à partir du compte d'un employé d'Atlassian et ont utilisé cet accès pour télécharger les données concernées à partir de l'application Envoy. Nous pouvons confirmer que nos systèmes n'ont pas été compromis ou violés et qu'aucune autre donnée client a été consultée.