Checkpoint Software Technology confirmó una violación de datos después de un reclamo del actor de amenazas Coreinyección el 30 de marzo de 2025, pero afirma que el incidente es un “evento antiguo, conocido y muy específico” que ya se había abordado desde diciembre de 2024.
El gigante de la ciberseguridad emitió una declaración oficial a través de su portal de apoyo el 31 de marzo, desestimando la importancia de las violaciones, mientras que los investigadores de seguridad cuestionaron el alcance verdadero.
Detalles de violación y respuesta de la empresa
Según una alerta de seguridad de Check Point, la violación se atribuyó a “credenciales comprometidas para cuentas de portal con acceso limitado,” que afectó a los inquilinos de “tres organizaciones” en portales que no incluyen los sistemas, la producción o la arquitectura de seguridad del cliente “.
Según la compañía, los datos publicados consistieron en múltiples nombres de cuentas con nombres de productos, tres cuentas de clientes con nombres de contacto y correos electrónicos de empleados específicos de control de control.
“No teníamos riesgos de seguridad para los puntos de control de clientes o empleados”, dijo la compañía en respuesta al cofundador y CTO de Hudson Rock Alon Gal.
Check Point destacó que la descripción y las violaciones detalladas en la publicación del foro web Dark Web de Coreinjection se denominan “Reciclaje de información antigua y no relacionada”.
A lo largo, quien publicó la aprobación por primera vez para el punto de control, destacó algunas contradicciones en la descripción de la compañía.
“Las capturas de pantalla que revisan muestran 121,120 cuentas (18,864 pagos), que están mucho más allá de las” tres organizaciones “y sugiere acceso a nivel de administración (editar cuentas, restablecer 2fa).
Además, plantea inquietudes y no especifica ningún informe público o presentación de la SEC de diciembre de 2024 con respecto a esta violación, a pesar de los requisitos del Comité de Seguridad e Intercambio con respecto a tales divulgaciones.
Esta violación se produce en medio de crecientes preocupaciones de seguridad para los productos de control. En mayo de 2024, la compañía advirtió sobre la autenticación insegura de solo contraseña para actores de amenaza que no estaban dirigidos a los dispositivos VPN de acceso remoto de Check Point.
Además, una seria vulnerabilidad descubierta en mayo de 2024 (CVE-2024-24919) permitió a los atacantes leer información confidencial sobre la puerta de enlace de seguridad del punto de control, incluido el hash de la contraseña para cuentas locales.
La vulnerabilidad recibió un puntaje CVSS V3 de alta gravedad de 8.6 y se agregó rápidamente al catálogo de vulnerabilidad explotada conocida de la Agencia de Seguridad e Infraestructura de los Estados Unidos (CISA).
Si bien los puntos de control incluyen violaciones, “no hay riesgo para los clientes de los puntos de control”, los expertos en seguridad continúan cuestionando cómo los atacantes obtuvieron acceso por primera vez, el verdadero alcance de los datos que comprometieron y por qué parece no haber sido publicado desde diciembre de 2024 cuando ocurre la violación.
Como GAL resume, “La forma en que la intrusión sigue siendo desconocida. Mencionan credenciales comprometidas, pero no mencione los métodos de preocupación para las empresas de seguridad cibernética (phishing, reutilización, etc.)”.
Investigue enlaces maliciosos del mundo real y ataques de phishing con búsqueda de inteligencia de amenazas: pruébelo gratis
