CircleCi 是一家软件公司,其产品深受开发人员和软件工程师的欢迎,该公司确认一些客户的数据在上个月的数据泄露事件中被盗。
该公司周五在一篇详细的博客文章中表示,它确定入侵者的初始访问点是被恶意软件破坏的员工笔记本电脑,允许窃取用于保持员工登录某些应用程序的会话令牌,即使他们的访问权限受到双因素身份验证的保护。
该公司为这次妥协承担责任,称其为“系统故障”,并补充说其防病毒软件未能检测到员工笔记本电脑上的令牌窃取恶意软件。
会话令牌允许用户保持登录状态,而不必每次都使用双因素身份验证重新输入密码或重新授权。但是被盗的会话令牌允许入侵者获得与帐户持有人相同的访问权限,而无需他们的密码或双因素代码。因此,可能很难区分帐户所有者的会话令牌或窃取令牌的黑客。
CircleCi 表示,会话令牌被盗后,网络犯罪分子可以冒充该员工并访问该公司存储客户数据的部分生产系统。
“由于目标员工有权生成生产访问令牌作为员工日常职责的一部分,因此未经授权的第三方能够从数据库和商店的子集访问和泄露数据,包括客户环境变量、令牌和密钥,”该公司首席技术官 Rob Zuber 说。 Zuber 说入侵者在 12 月 16 日到 1 月 4 日之间可以访问。
Zuber 表示,在客户数据被加密的同时,网络犯罪分子还获得了能够解密客户数据的加密密钥。 “我们鼓励尚未采取行动的客户采取行动,以防止未经授权访问第三方系统和商店,”Zuber 补充道。
一些客户已经通知 CircleCi 未经授权访问他们的系统,Zuber 说。
几天前,该公司警告客户轮换存储在其平台上的“任何和所有秘密” ,担心黑客窃取了客户的源代码和用于访问其他应用程序和服务的其他敏感秘密。
Zuber 说,保留对生产系统的访问权限的 CircleCi 员工“已经添加了额外的升级身份验证步骤和控制”,这应该可以防止重复事件,可能是通过使用硬件安全密钥。
最初的访问点——员工笔记本电脑上的令牌窃取——与密码管理器巨头 LastPass 遭到黑客攻击的方式有些相似,后者也涉及一名针对员工设备的入侵者,尽管尚不清楚这两个事件是否有关联。拥有约 3300 万客户的密码管理器 LastPass 在去年 12 月证实,其客户的密码库在之前的一次入侵中被盗,此前该漏洞破坏了员工的设备和帐户访问权限,使入侵者能够进入 LastPass 的内部开发人员环境。
CircleCI 称黑客窃取了加密密钥和客户的源代码,作者Zack Whittaker最初发表于TechCrunch
原文: https://techcrunch.com/2023/01/14/circleci-hackers-stole-customer-source-code/