Een datalek bij telecomprovider Telefonica is veroorzaakt doordat medewerkers met malware besmet raakten, zo stelt securitybedrijf Hudson Rock. Onlangs claimde iemand op een forum over gegevens van 24.000 Telefonica-medewerkers te beschikken, alsmede informatie van zo'n 470.000 interne tickets, vijfduizend interne documenten en gegevens van een onbekend aantal klanten.

Hudson Rock stelt dat er nieuwe informatie is verschenen waaruit blijkt dat het datalek veroorzaakt is door een combinatie van infostealer-malware en social engineering. Het securitybedrijf sprak naar eigen zeggen met de aanvaller die claimde dat meer dan vijftien Telefonica-medewerkers met infostealer-malware zijn geïnfecteerd. Dit soort malware steelt allerlei inloggegevens van besmette systemen.

De aanvaller zou als eerste via een Atlassian Jira-systeem zijn binnengekomen. Jira is een systeem voor het tracken van bugs en andere problemen, alsmede projectmanagement. Nadat de aanvaller toegang had gekregen werd social engineering gebruikt om verdere toegang te krijgen, aldus Hudson Rock. Zo werden twee medewerkers met adminrechten misleid om te laten weten wat de juiste SSH-server was, waar vervolgens een bruteforce-aanval op werd uitgevoerd.

Volgens Hudson Rock zijn vorig jaar 531 Telefonica-medewerkers met infostealer-malware besmet geraakt. Telefonica heeft bevestigd dat er een inbraak op het interne ticketsysteem heeft plaatsgevonden, maar heeft nog geen verdere informatie over de oorzaak of omvang van de aanval gegeven. Telefonica heeft verschillende dochterondernemingen, waaronder Virgin Media O2, O2 Germany, Vivo en Telxius.