A Logitech sofre confirmed um incidente de cibersegurança após alegações do grupo de ransomware Cl0p de que roubou um grande volume de dados da empresa. O fabricante relatou que um ator não autorizado acessou um de seus sistemas internos que armazenava informações relacionadas a funcionários, consumidores, clientes e fornecedores. A empresa afirmou que não acredita que categorias sensíveis de informações pessoais, incluindo dados financeiros ou números nacionais de identificação, estivessem presentes no ambiente afetado. A Logitech afirmou que a violação foi contida e que iniciou uma investigação apoiada por especialistas externos em cibersegurança.
Cl0p listou a Logitech em seu site de extorsão e afirmou ter obtido cerca de 1,8 terabytes de dados. O grupo já havia mirado vulnerabilidades de software em plataformas de terceiros para acessar sistemas corporativos. Os investigadores acreditam que uma falha recentemente divulgada no software da Oracle pode estar relacionada a esse incidente. Essa vulnerabilidade tem sido explorada ativamente e associada a várias campanhas ligadas ao Cl0p. A Logitech não confirmou qual software estava envolvido, mas observou que uma vulnerabilidade zero-day de terceiros possibilitou a invasão.
Segundo a empresa, o incidente não interrompeu as operações de manufatura nem os processos da cadeia de suprimentos. A Logitech afirmou que seus sistemas empresariais continuam funcionais e que a violação não teve efeito material nas previsões financeiras. A empresa também afirmou que mantém uma apólice de seguro de cibersegurança que cobre resposta a incidentes, análise forense, suporte jurídico e certos custos regulatórios sujeitos aos limites da apólice. A Logitech continua avaliando o escopo dos dados afetados e está preparando notificações para as partes interessadas afetadas, conforme exigido por lei.
Pesquisadores de segurança apontam que ataques envolvendo softwares de fornecedores e componentes da cadeia de suprimentos aumentaram em frequência. Grupos de ameaça frequentemente procuram falhas não corrigidas ou recém-descobertas em ferramentas empresariais que oferecem amplo acesso uma vez comprometidas. Táticas semelhantes foram usadas em incidentes que afetaram plataformas de transferência de arquivos em anos anteriores. Esses ataques destacam a dificuldade que as organizações enfrentam para monitorar a postura de segurança dos fornecedores de software e manter atualizações oportunas em ambientes complexos.
A Logitech informou que está fortalecendo os controles internos em resposta à violação. A empresa está revisando a segmentação do sistema, os processos de autenticação e as restrições de acesso para aplicações de terceiros. Também está avaliando procedimentos de gerenciamento de patches para reduzir a exposição a vulnerabilidades de fornecedores que podem não ser imediatamente visíveis. A Logitech afirmou que continuará trabalhando com autoridades e parceiros de cibersegurança à medida que a investigação avança. A empresa incentivou usuários, clientes e fornecedores a permanecerem atentos a atividades incomuns da conta e a seguirem práticas padrão de segurança enquanto conclui sua análise.