Angriperen påsto at de hadde fått tilgang til kildekode og proprietære komponenter brukt av det kjente analysefirmaet. En tidlig analyse tyder imidlertid på at filene kan stamme fra gamle sikkerhetskopier og ikke fra et nytt innbrudd. Denne forskjellen har endret risikovurderingen og reist nye spørsmål om hvor troverdig påstanden egentlig er.
Hva trusselaktøren hevdet
Trusselaktøren publiserte et innlegg hvor de hevdet å ha brutt seg inn hos SAS Institute og hentet interne kodearkiver. De påsto å ha tilgang til komponenter fra selskapets Business Rules Manager og andre programvareverktøy. Uttalelsen antydet omfattende intern tilgang og hevdet at ytterligere materiale fortsatt var i deres besittelse.
Gruppen forsøkte å fremstille hendelsen som et alvorlig innbrudd som eksponerte sensitivt utviklingsmateriale. Innlegget inneholdt imidlertid ingen bevis på fersk systemtilgang, noe som skapte mistanke allerede før forskerne analyserte filene.
Hva forskerne fant i filene
Forskere undersøkte filsamlingen som angriperen la frem som bevis. Tidsstemplene viste datoer fra tidlig 2000-tall til begynnelsen av 2010-tallet. Disse datoene tyder på at materialet kan stamme fra arkivlagring og ikke fra aktive systemer.
Utviklingsteam bruker sjelden så gamle versjoner av aktive verktøy. Denne tidsmessige avstanden svekket sannsynligheten for at angriperen hadde fått tilgang til moderne systemer. Filenes alder antyder at de kan ha blitt hentet fra eldre sikkerhetskopier, gamle kodearkiver eller utdaterte utviklingsmapper.
Vurdering av den reelle risikoen
Påstanden om et innbrudd hos SAS Institute er fortsatt relevant fordi alle lekkasjer av kildekode innebærer risiko. Eldre kode kan avsløre arkitektur, logikk eller implementeringer som angripere kan studere. Selv legacy-komponenter kan hjelpe trusselaktører med å forstå hvordan tidligere systemer fungerte.
Hvis materialet ikke stammer fra aktive miljøer, reduseres imidlertid den umiddelbare risikoen. Moderne systemer kjører oppdatert kode og nyere rammeverk. Filenes alder begrenser angrepsflaten, selv om den ikke eliminerer risikoen helt.
Selskapets posisjon og pågående gjennomgang
SAS Institute har gjennomgått de offentlige påstandene, men ikke bekreftet noe innbrudd. Selskapet fortsetter å granske logger og undersøke om det har forekommet unormal aktivitet. Organisasjonen vurderer også om filene kan komme fra et internt arkiv eller en ekstern kilde.
Etterforskere anbefaler å kontrollere eldre lagringssystemer, backupservere og utviklingsmiljøer som kan inneholde legacy-materiale. De oppfordrer også til bedre tilgangskontroller for gamle kodearkiver som fortsatt kan inneholde sensitivt innhold.
Hvorfor denne påstanden betyr noe
Store programvareleverandører oppbevarer store mengder proprietær kode og utviklingsressurser. Påstander om innbrudd hos slike selskaper kan skape bekymring i bransjer som er avhengige av deres verktøy. Selv påstander som senere viser seg overdrevne, understreker behovet for sterke sikkerhetsrutiner for sikkerhetskopier, bedre overvåking av kodearkiver og sikre metoder for arkivering.
Konklusjon
Påstanden om et innbrudd hos SAS Institute fremstår mindre troverdig etter forskernes vurdering av de lekkede filene. Funnene tyder på at materialet sannsynligvis stammer fra gamle sikkerhetskopier og ikke fra et nytt kompromiss. Selv om eldre kode fortsatt kan gi nyttig innsikt for angripere, reduserer det sannsynlige opphavet den umiddelbare risikoen. Saken fremhever viktigheten av grundig etterforskning av alle innbruddspåstander og av å beskytte både aktiv og arkivert kode.
0 svar til “Økende tvil rundt påstått datainnbrudd hos SAS Institute”