О нападении стало известно после публикации на популярном форуме, где злоумышленники обмениваются украденной информацией. В сообщении утверждалось, что хакерам удалось получить доступ к административным учётным записям, позволяющим работать с инфраструктурой Anuvu в AWS и базами данных Postgres. Для подтверждения своих слов автор сообщения приложил выборку данных, пишет Securitylab.
В числе украденного — массив учётных данных с полными именами, адресами электронной почты, хэшами паролей и физическими адресами. По оценке исследователей, значительная часть записей относится к 2024 году. В числе компрометированных оказались и имена топ-менеджеров Anuvu, а многие адреса привязаны к офисам компаний-клиентов.
Один из скриншотов демонстрирует перечень морских партнёров Anuvu с указанием названий компаний, идентификаторов Salesforce и типов обслуживаемых рынков. Другая часть утечки содержит строки контрактов со Starlink, включая сведения о клиентах, идентификаторы заказов и сервисных линий. Эти данные указывают на то, что Anuvu закупала услуги у Starlink, а в результате утечки стало известно, какие клиенты пользовались сервисами Starlink через инфраструктуру Anuvu.
По словам исследователей, украденные учётные данные представляют наибольшую опасность. Несмотря на то, что многие пароли относятся к 2024 году, часть пользователей могла не менять их до сих пор или вносить минимальные изменения. Такой массив может использоваться для проведения целевых фишинговых атак как против самой Anuvu, так и против её клиентов. Опасность представляет и сценарий credential stuffing: злоумышленники могут использовать комбинации логинов и паролей из старых утечек для подбора входа на других платформах, зная, что многие пользователи склонны использовать одинаковые пароли в разных сервисах.
Среди имён встречаются как клиентские, так и сотруднические учётные записи. Некоторые из указанных физических адресов совпадают с реальными офисами, а имена пользователей выглядят подлинными.