De criminelen die vijf maandenlang toegang tot het netwerk van softwarebedrijf Citrix hadden wisten via zwakke wachtwoorden binnen te komen. Dat heeft het bedrijf na afronding van het onderzoek bevestigd. Bij de aanval werden bedrijfsdocumenten en bestanden van een gedeelde netwerkschijf buitgemaakt.

Op deze schijf werden actuele en oudere bedrijfsdocumenten opgeslagen. Daarnaast kregen de aanvallers toegang tot een schijf die wordt gebruikt voor een webtool die Citrix voor de consultancywerkzaamheden inzet. De aanvallers hebben mogelijk ook toegang tot individuele virtuele schijven en zakelijke e-mailaccounts van een "zeer beperkt" aantal gecompromitteerde gebruikers gekregen en wisten een beperkt aantal interne applicaties te starten.

De veiligheid van Citrix-producten en de "customer cloud service" zou geen risico hebben gelopen. Eerder liet Citrix weten dat er bestanden waren buitgemaakt die informatie over huidige en voormalige medewerkers bevatten, alsmede partners, kinderen en andere begunstigden. Klanten van wie gegevens zijn bekeken zijn of zullen binnenkort worden gewaarschuwd.

Naar aanleiding van het incident besloot Citrix alle wachtwoorden te resetten, het wachtwoordbeheer te verbeteren en de wachtwoordprotocollen te versterken. Tevens werd de logging op de firewall verbeterd en de monitoring uitgebreid. Ook heeft Citrix de interne toegang tot onnodige webgebaseerde diensten verwijderd en niet-essentiële paden voor het uitwisselen van data uitgeschakeld.