Logitech ha avuto confirmed un incidente di cybersecurity a seguito delle affermazioni del gruppo ransomware Cl0p di aver rubato un grande volume di dati aziendali. Il produttore ha riferito che un attore non autorizzato ha avuto accesso a uno dei suoi sistemi interni che memorizzava informazioni relative a dipendenti, consumatori, clienti e fornitori. L’azienda ha dichiarato di non ritenere che categorie sensibili di informazioni personali, inclusi dati finanziari o numeri di identificazione nazionali, fossero presenti nell’ambiente interessato. Logitech ha dichiarato che la violazione è stata contenuta e di aver avviato un’indagine supportata da specialisti esterni della cybersecurity.
Cl0p ha inserito Logitech sul suo sito di estorsione e ha affermato di aver ottenuto circa 1,8 terabyte di dati. Il gruppo ha precedentemente preso di mira vulnerabilità software in piattaforme di terze parti per accedere ai sistemi aziendali. Gli investigatori ritengono che una falla recentemente divulgata nel software Oracle possa essere collegata a questo incidente. Questa vulnerabilità è stata sfruttata attivamente ed è stata associata a diverse campagne collegate a Cl0p. Logitech non ha confermato quale software fosse coinvolto, ma ha osservato che una vulnerabilità zero-day di terze parti ha reso possibile l’intrusione.
Secondo l’azienda, l’incidente non ha interrotto le operazioni produttive né i processi della catena di approvvigionamento. Logitech ha dichiarato che i suoi sistemi aziendali rimangono funzionanti e che la violazione non ha avuto un effetto significativo sulle previsioni finanziarie. L’azienda ha inoltre dichiarato di mantenere una polizza assicurativa per la cybersecurity che copre la risposta agli incidenti, l’analisi forense, il supporto legale e alcuni costi normativi soggetti ai limiti della polizza. Logitech continua a valutare l’ambito dei dati interessati e sta preparando notifiche per gli stakeholder coinvolti come richiesto dalla legge.
I ricercatori di sicurezza sottolineano che gli attacchi che coinvolgono software dei fornitori e componenti della supply chain sono aumentati in frequenza. I gruppi di minaccia spesso cercano difetti non aggiornati o appena scoperti negli strumenti aziendali che forniscono un ampio accesso una volta compromessi. Tattiche simili erano state impiegate negli incidenti che hanno coinvolto piattaforme di trasferimento file negli anni precedenti. Questi attacchi evidenziano la difficoltà che le organizzazioni incontrano nel monitorare la postura di sicurezza dei fornitori di software e nel mantenere aggiornamenti tempestivi in ambienti complessi.
Logitech ha riferito che sta rafforzando i controlli interni in risposta alla violazione. L’azienda sta esaminando la segmentazione del sistema, i processi di autenticazione e le restrizioni di accesso per applicazioni di terze parti. Sta inoltre valutando procedure di gestione delle patch per ridurre l’esposizione a vulnerabilità dei fornitori che potrebbero non essere immediatamente visibili. Logitech ha dichiarato che continuerà a collaborare con le autorità e i partner della cybersecurity man mano che l’indagine procede. L’azienda ha incoraggiato utenti, clienti e fornitori a rimanere vigili per attività insolite degli account e a seguire le pratiche di sicurezza standard durante il completamento della revisione.