Rumah perangkat lunak keamanan Australia Click Studios telah memberi tahu pelanggan untuk tidak memposting email yang dikirim oleh perusahaan tentang pelanggaran datanya, yang memungkinkan peretas jahat untuk mendorong pembaruan jahat ke manajer kata sandi perusahaan andalannya, Passwordstate, untuk mencuri kata sandi pelanggan.
Pekan lalu, perusahaan mengatakan kepada pelanggan untuk “mulai menyetel ulang semua kata sandi” yang disimpan di pengelola kata sandi andalannya setelah peretas mendorong pembaruan berbahaya kepada pelanggan selama 28 jam antara 20-22 April. Pembaruan jahat dirancang untuk menghubungi server penyerang untuk mengambil malware yang dirancang untuk mencuri dan mengirim konten pengelola kata sandi kembali ke penyerang.
Dalam email ke pelanggan, Click Studios tidak mengatakan bagaimana penyerang mengkompromikan fitur pembaruan pengelola kata sandi, tetapi menyertakan tautan ke perbaikan keamanan.
Tetapi berita tentang pelanggaran tersebut baru diketahui publik setelah firma keamanan siber Denmark CSIS Group menerbitkan posting blog dengan rincian serangan beberapa jam setelah Click Studios mengirim email kepada pelanggannya.
Click Studios mengklaim Passwordstate digunakan oleh “lebih dari 29.000 pelanggan”, termasuk di Fortune 500, pemerintah, perbankan, pertahanan dan kedirgantaraan, dan sebagian besar industri besar.
Dalam pembaruan di situs webnya, Click Studios mengatakan dalam peringatan hari Rabu bahwa pelanggan “diminta untuk tidak memposting korespondensi Click Studios di Media Sosial.” Email tersebut menambahkan: “Aktor jahat diharapkan secara aktif memantau Media Sosial, mencari informasi yang dapat mereka gunakan untuk keuntungan mereka, untuk serangan terkait.”
“Aktor jahat diharapkan aktif memantau media sosial untuk informasi tentang kompromi dan eksploitasi. Penting bagi pelanggan untuk tidak memposting informasi di Media Sosial yang dapat digunakan oleh pelaku jahat. Ini terjadi dengan email phishing yang dikirim yang mereplikasi konten email Click Studios, ”kata perusahaan itu.
Selain beberapa nasihat yang diterbitkan oleh perusahaan sejak pelanggaran itu ditemukan, perusahaan telah menolak berkomentar atau menanggapi pertanyaan.
Juga tidak jelas apakah perusahaan telah mengungkapkan pelanggaran tersebut kepada otoritas AS dan UE di mana perusahaan memiliki pelanggan, tetapi di mana aturan pemberitahuan pelanggaran data mewajibkan perusahaan untuk mengungkapkan insiden. Perusahaan dapat didenda hingga 4% dari pendapatan global tahunan mereka karena melanggar aturan GDPR Eropa.
Kepala eksekutif Click Studios Mark Sandford belum menanggapi permintaan berulang (dari TechCrunch) untuk memberikan komentar. Sebagai gantinya, TechCrunch menerima tanggapan otomatis kalengan yang sama dari email dukungan perusahaan yang mengatakan bahwa staf perusahaan “hanya berfokus untuk membantu pelanggan secara teknis”.
TechCrunch mengirim email lagi ke Sandford pada hari Kamis untuk mengomentari saran terbaru, tetapi tidak mendapat tanggapan.
