Logitech – wyciek potwierdzony i luka zero‑day w zewnętrznym oprogramowaniu

14 listopada firma Logitech potwierdziła, że doszło do wycieku danych. Według komunikatu prasowego incydent nie miał wpływu na produkty, działalność biznesową ani procesy produkcyjne. Wyciek miał objąć “ograniczone informacje o pracownikach i konsumentach oraz dane dotyczące klientów i dostawców”. Firma deklaruje, że nie znalazły się w nim numery dowodów/paszportów ani kart kredytowych. 

TLDR:

• 14 listopada Logitech potwierdził wyciek danych, który objął ograniczone informacje o pracownikach, konsumentach oraz klientach i dostawcach
• Firma podkreśla, że wrażliwe dane klientów (dokumenty, karty kredytowe) nie wyciekły.
• Atakujący wykorzystali podatność zero-day w zewnętrznym oprogramowaniu. Logitech wdrożył patch po jego wydaniu przez dostawcę.
• Do ataku przyznała się grupa Clop, publikując informację na swojej stronie. Prawdopodobnym źródłem miała być platforma Oracle E-Business Suite.
• Logitech rozpoczął powiadamianie odpowiednich organów i złożył formularz 8-K w SEC, dokumentując istotne zdarzenie dla inwestorów.
• Incydent pokazuje znaczenie szybkiego wdrażania łatek bezpieczeństwa – bieżące patchowanie pozostaje praktycznie jedynym sposobem ograniczenia ryzyka podobnych ataków.

W komunikacie prasowym podano, że nieuprawniona osoba wykorzystała podatność zero-day w wykorzystywanym przez firmę oprogramowaniu i skopiowała niektóre dane z wewnętrznego systemu informatycznego. Logitech wdrożył łatkę po jej wydaniu przez dostawcę oprogramowania.

Firma uważa, że incydent nie będzie miał negatywnego wpływu na jej sytuację finansową ani wyniki działalności. Jest ubezpieczona w zakresie cyberbezpieczeństwa, co ma pokryć koszty związane z reagowaniem na incydent, ewentualnymi postępowaniami sądowymi i karami, przynajmniej w zakresie limitów polisy.

Do ataku przyznała się grupa Clop umieszczając Logitech na swojej stronie.

Chociaż nie podano nazwy dostawcy oprogramowania, jak podaje BleepingComputer prawdopodobnie jest Oracle, której klientów dotknęły ataki spowodowane podatnościami zero-day, wykonywane przez Clop. Wyciek z Logitech miał objąć 1,8 TB danych, choć nie jest to potwierdzona informacja.

Mandiant i Google analizowały kampanię, w ramach której wiele firm otrzymało e-maile od grupy Clop z informacją, że z ich systemów Oracle E-Business Suite skradziono poufne dane.

Wkrótce potem Oracle potwierdziło istnienie podatności w E-Business Suite, oznaczonej jako CVE-2025-61884 i wydało pilną aktualizację. Przypuszcza się, że w taki sposób doszło do wycieku z Logitech.

Firma informuje, że rozpoczęła powiadamianie organów rządowych. Logitech jest zarejestrowany w Szwajcarii – nie obowiązuje go RODO, tylko DSG (Datenschutzgesetz). Powiadomiony zostanie zapewne o EDÖB (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten), będący niejako odpowiednikiem polskiego UODO i przyjmujący zgłoszenia o incydentach. 

Logitech złożył także formularz 8-K w amerykańskiej Komisji Papierów Wartościowych, potwierdzając, że w wyniku naruszenia bezpieczeństwa wykradziono dane. Jest to dokument, w którym spółki zgłaszają istotne zdarzenia mogące mieć wpływ na inwestorów.

Choć Logitech deklaruje, że nie wyciekły poufne dane klientów, nie można jednoznacznie określić, co dokładnie zostało skopiowane przez atakujących. Sam incydent, a także wcześniejsze działania grupy Clop pokazują, jak wykorzystywane są podatności zero-day.

Jest to kolejny przykład na to, jak ważne jest szybkie wdrażanie łatek bezpieczeństwa. Choć w przypadku Logitech nie zapobiegłoby to atakowi, bieżące aktualizacje pozostają praktycznie jedynym sposobem ograniczenia ryzyka w takich scenariuszach.

Źródła:

• ir.logitech.com
• bleepingcomputer.com
• forbes.com

~Tymoteusz Jóźwiak