Журналист Брайан Кребс сообщил со ссылкой на 17-летнего исследователя, что через портал поддержки для клиентов Juniper доступна информация об устройствах и контрактах. Вероятно, что утечка данных происходила с сентября 2023 года.
В начале февраля 2024 года 17-летний стажер Логан Джордж случайно обнаружил утечку, когда искал информацию о поддержке одного из продуктов Juniper. Он выяснил, что при входе в систему под учётной записью обычного клиента открывается подробная информация практически о любом устройстве Juniper, приобретённом другими компаниями.
Так, поиск «Amazon.com» на портале Juniper открывает десятки тысяч записей с данными о модели и серийном номере устройства, примерном месте его установки, статусе и информации о соответствующем контракте на поддержку. По словам исследователя, это важная информация, так как становится понятно, у каких продуктов Juniper чаще всего отсутствуют важные патчи. Если контракта на поддержку нет, то он не получает обновлений. Используя систему отслеживания серийных номеров продуктов, можно понять, куда они были отправлены. По словам Джорджа, многие компании редко обновляют свои коммутаторы, и полученная информация позволяет выявить возможные векторы для атак.
В Juniper заявили Кребсу, что утечка данных стала возможной из-за недавней модернизации портала поддержки. «Мы оперативно приняли меры для решения этой проблемы, и на данный момент у нас нет оснований полагать, что какие-либо поддающиеся идентификации или личные данные клиентов были раскрыты. Мы активно работаем над определением первопричины этой проблемы и благодарим исследователя за то, что он обратил на неё наше внимание», — отметила компания.
Вероятно, утечка возникла в сентябре 2023 года, когда Juniper объявила о реконструкции своего портала для поддержки клиентов. Джордж считает, что бэк-энд сайта поддерживается Salesforce, а в Juniper могли забыть установить надлежащие права для пользователей на ресурсах Salesforce.
В январе Hewlett Packard Enterprise (HPE) объявила о покупке Juniper Networks. По условиям сделки HPE заплатит $40 за каждую акцию Juniper, и общая сумма покупки составит примерно $14 млрд.
