Potencijalni klijenti platforme Codecov, koja se koristi za testiranje koda, mogu uključivati:
Izvršni direktor platforme Jerrod Engelberg u svomU žalbi se objašnjava da je napadač stekao neovlašteni pristup skripti tvrtke Bash Uploader i izmijenio je, što mu je omogućilo potencijalni pristup svim vjerodajnicama, tokenima ili ključevima pohranjenim u klijentovim kontinuiranim integracijskim okruženjima, kao i svim uslugama i spremištima podataka . Dobiveni podaci potom su poslani na poslužitelj treće strane izvan Codecova.
Tvrtkov Bash Uploader također se koristi u tri povezana prenosnika: Codecov-actions uploader za Github, Codecov CircleCl Orb i Codecov Bitrise Step. I oni su svi patili.
“Haker je pristup dobio zbog pogreške u procesustvarajući Docker Codecov sliku koja mu je omogućila da izvuče vjerodajnice potrebne za izmjenu naše skripte Bash Uploader ”, rekao je Engelberg. "Odmah nakon što se saznalo za problem, Codecov je osigurao i popravio ranjivu skriptu i počeo istraživati svaki potencijalni utjecaj na korisnike."
Nakon istrage incidenta, tvrtkautvrdio je da je napadač povremeno mijenjao skriptu Bash Uploader od 31. siječnja ove godine. Codecov je za hakiranje saznao 1. travnja kada je klijent otkrio i prijavio nedosljednost u programu Bash Uploader.
“Toplo preporučujemo onima koji su pogođenikorisnici će odmah ponovno upotrijebiti sve svoje vjerodajnice, tokene ili ključeve smještene u varijablama okruženja u svojim CI procesima koji su koristili jedan od Codecovovih Bash Učitavača ”, zaključio je Engelberg.
Pogledajte i:
- Stvorio prvu preciznu kartu svijeta. Što nije u redu sa svima ostalima?
- Znanstvenici su dešifrirali čudne signale iz svemira
- Uran je dobio status najčudnijeg planeta u Sunčevom sustavu. Zašto?