Mezi potenciální klienty platformy Codecov, která se používá pro testování kódu, mohou patřit:
Generální ředitel platformy Jerrod Engelberg ve svémOdvolání vysvětlovalo, že útočník získal neoprávněný přístup ke skriptu společnosti Bash Uploader společnosti a upravil jej, což mu umožnilo potenciálně získat přístup ke všem přihlašovacím údajům, tokenům nebo klíčům uloženým v prostředích nepřetržité integrace klienta, jakož i ke všem službám a datovým obchodům . Výsledná data byla poté odeslána na server třetí strany mimo Codecov.
Společnost Bash Uploader se také používá ve třech souvisejících uploaderech: Codecov-actions uploader pro Github, Codecov CircleCl Orb a Codecov Bitrise Step. Všichni také trpěli.
"Hacker získal přístup kvůli chybě v procesu."vytvoření obrazu Dockera Codecova, který mu umožnil extrahovat pověření potřebná k úpravě našeho skriptu Bash Uploader, “řekl Engelberg. „Okamžitě poté, co se o problému dozvědělo, Codecov zabezpečil a opravil zranitelný skript a začal vyšetřovat jakýkoli potenciální dopad na uživatele.“
Po prošetření incidentu společnostzjistil, že útočník pravidelně provádí změny ve skriptu Bash Uploader od 31. ledna tohoto roku. Codecov se o hackeru dozvěděl 1. dubna, když klient objevil a nahlásil nekonzistenci v nástroji Bash Uploader.
"Důrazně doporučujeme postiženým."uživatelé okamžitě znovu použijí všechna svá pověření, tokeny nebo klíče umístěné v proměnných prostředí v jejich procesech CI, které používali některý z Bash Uploaders společnosti Codecov, “uzavřel Engelberg.
Viz také:
- Vytvořil první přesnou mapu světa. Co se děje s ostatními?
- Vědci dekódovali podivné signály z vesmíru
- Uran získal status nejpodivnější planety ve sluneční soustavě. Proč?