Inicialment, va descartar els rumors, però ara Zscaler diu que tenia un sistema exposat, i que no s’ha accedit a res important.

En resposta als rumors d’un actor d’amenaces que piratejava i venia l’accés als seus sistemes, Zscaler va dir que havia creat un “entorn de prova” fora de línia per dur-ne a terme l’anàlisi i que havien descobert que estava exposat.

«La nostra investigació va descobrir un entorn de prova aïllat en un sol servidor (sense cap dada del client) que estava exposat a Internet», va confirmar Zscaler en una actualització del 8 de maig a Zscaler’s Trust site. «Zscaler pot confirmar que no hi ha cap impacte ni compromís amb els seus clients, producció i entorns corporatius.»

En una publicació anterior, l’empresa va dir que havia iniciat una investigació immediatament després de conèixer una publicació a X (anteriorment Twitter) d’un actor d’amenaces que afirmava que havia obtingut informació no autoritzada.

«Ens prenem totes les amenaces i reclamacions potencials molt seriosament i continuarem la nostra investigació rigorosa», va afegir Zscaler.

Zscaler inicialment va rebutjar els rumors d’un atac

Unes hores abans, l’empresa havia desestimat els rumors dient que, fins aleshores, les investigacions internes no havien mostrat cap prova que els seus clients o entorns de producció haguessin patit una violació de seguretat.

Un empleat de Zscaler també havia dit a la plataforma de xarxes socials Mastodon que les afirmacions de violació de seguretat dels sistemes Zscaler eren «completament inexactes i infundades».

«Sovint veiem que circulen intents d’atac i rumors, però és crucial confiar només en les comunicacions oficials del mateix Zscaler per obtenir actualitzacions i informació verídica», va dir l’empleat.

Els rumors van començar després que el famós actor d’amenaces serbi anomenat IntelBroker s’oferís a vendre l’accés a una empresa de ciberseguretat amb uns ingressos de 1.800 milions de dòlars.

IntelBroker va atacar probablement Zscaler

El pirata informàtic d’alt perfil IntelBroker, en una publicació al web fosc el 8 de maig, va afirmar que la violació de seguretat oferia l’accés a «Registres confidencials i molt crítics plens de credencials, accés SMTP, accés d’autenticació del punter PAuth, claus d’accés SSL i certificats SSL».

Immediatament després que IntelBroker publiqués la seva participació en la violació de seguretat, la notícia es va relacionar amb Zscaler, perquè l’empresa apareix a ZoomInfo amb uns ingressos de 1.800 milions de dòlars.

A més, un usuari de Mastodon, @DarkWebInformer també havia confirmat que «s’havia violat la seguretat de Zscaler», enllaçant l’atac amb la reclamació d’IntelBroker. La plataforma de notícies de ciberseguretat BleepingCoumputer també va dir que havia vist una captura de pantalla de l’actor de l’amenaça que afirmava que Zscaler estava al llistat de missatges dels Breach Forums.

Els Breach Forums són una versió ressuscitada del lloc de ciberdelinqüència Raid Forums que utilitzen IntelBroker i el grup d’amenaces al qual l’actor està afiliat (CyberNiggers). IntelBroker és un membre destacat del grup, especialitzat en intermediació d’accés inicial, identificació i explotació de les debilitats dels sistemes i venda d’accés compromès al web fosc. Recentment, el pirata informàtic ha violat la seguretat de Space-Eyes, una empresa d’intel·ligència geoespacial, que treballa exclusivament per a les agències governamentals dels EUA. Anteriorment, a l’actor de l’amenaça se l’havia relacionat amb les violacions de seguretat de Colonial Pipeline, Acuity, contractista federal dels EUA i General Electric.