Codecov platformas, kas tiek izmantota koda testēšanai, potenciālie klienti varētu būt:
Platformas izpilddirektors Jerrods Engelbergs savāApelācijā tika paskaidrots, ka uzbrucējs ieguva nesankcionētu piekļuvi uzņēmuma Bash Uploader skriptam un to pārveidoja, kas ļāva viņam potenciāli piekļūt visiem akreditācijas datiem, žetoniem vai atslēgām, kas glabājas klienta nepārtrauktās integrācijas vidē, kā arī visiem pakalpojumiem un datu krātuvēm . Pēc tam iegūtie dati tika nosūtīti uz trešās puses serveri ārpus Codecov.
Uzņēmuma Bash Uploader tiek izmantots arī trīs saistītos augšupielādētājos: Codecov darbību augšupielādētājs Github, Codecov CircleCl Orb un Codecov Bitrise Step. Arī viņi visi cieta.
“Hakeris ieguva piekļuvi procesa kļūdas dēļizveidojot Docker Codecov attēlu, kas ļāva viņam iegūt akreditācijas datus, kas nepieciešami, lai mainītu mūsu Bash Uploader skriptu, ”sacīja Engelbergs. "Tūlīt pēc tam, kad kļuva zināms par šo problēmu, Codecov nodrošināja un novērsa neaizsargāto skriptu un sāka izmeklēt jebkādu iespējamo ietekmi uz lietotājiem."
Pēc incidenta izmeklēšanas uzņēmumsir noteikusi, ka uzbrucējs kopš šī gada 31. janvāra periodiski ir veicis izmaiņas Bash Uploader skriptā. Codecov uzzināja par uzlaušanu 1. aprīlī, kad klients atklāja un ziņoja par neatbilstību Bash augšupielādētājā.
"Mēs stingri iesakām skartajiemlietotāji nekavējoties atkārtoti izmantos visus savus akreditācijas datus, žetonus vai atslēgas, kas atrodas vides mainīgajos savos KI procesos, kuri izmantoja kādu no Codecov Bash Uploaders, ”secināja Engelbergs.
Skatiet arī:
- Izveidoja pirmo precīzo pasaules karti. Kas vainas visiem pārējiem?
- Zinātnieki ir atšifrējuši dīvainus signālus no kosmosa
- Urāns ir saņēmis visdīvainākās Saules sistēmas planētas statusu. Kāpēc?