Среди потенциальных клиентов платформы Codecov, которую используют для тестирования кода, могли оказаться
Platformos vadovas Jerrodas Engelbergas savoApeliaciniame skunde paaiškinta, kad užpuolikas įgijo neteisėtą prieigą prie įmonės „Bash Uploader“ scenarijaus ir jį pakeitė, o tai leido jam potencialiai pasiekti prieigą prie visų prisijungimo duomenų, prieigos raktų ar raktų, saugomų nuolatinės kliento integracijos aplinkose, taip pat prie visų paslaugų ir duomenų parduotuvių. . Gauti duomenys buvo išsiųsti į trečiosios šalies serverį už Kodekovo ribų.
Bendrovės „Bash Uploader“ taip pat naudojamas trims susijusiems įkėlėjams: „Codecov-action“ įkėlėjui, skirtam „Github“, „Codecov CircleCl Orb“ ir „Codecov Bitrise Step“. Jie visi taip pat kentėjo.
„Įsilaužėlis gavo prieigą dėl klaidos procesesukūręs „Docker Codecov“ vaizdą, kuris leido jam išgauti kredencialus, reikalingus norint modifikuoti mūsų „Bash Uploader“ scenarijų “, - sakė Engelbergas. "Iš karto po to, kai tapo žinoma apie šią problemą, Codecovas apsaugojo ir pataisė pažeidžiamą scenarijų ir pradėjo tirti galimą poveikį vartotojams".
Ištyrusi įvykį įmonėnustatė, kad užpuolikas nuo šių metų sausio 31 dienos periodiškai pakeitė „Bash Uploader“ scenarijų. Codecovas apie įsilaužimą sužinojo balandžio 1 d., Kai klientas aptiko ir pranešė apie „Bash Uploader“ neatitikimą.
„Mes primygtinai rekomenduojame nukentėjusiemsvartotojai nedelsdami pakartotinai naudos visus savo kredencialus, žetonus ar raktus, esančius aplinkos kintamuosiuose, savo KI procesuose, kurie naudojo vieną iš Codecovo „Bash Uploaders“, - padarė išvadą Engelbergas.
Taip pat žiūrėkite:
- Sukūrė pirmąjį tikslų pasaulio žemėlapį. Kas negerai visiems kitiems?
- Mokslininkai iššifravo keistus signalus iš kosmoso
- Uranas gavo keisčiausios Saulės sistemos planetos statusą. Kodėl?