Potenciálni klienti platformy Codecov, ktorá sa používa na testovanie kódu, by mohli zahŕňať:
Generálny riaditeľ platformy Jerrod Engelberg vo svojomOdvolanie vysvetľovalo, že útočník získal neoprávnený prístup k skriptu Bash Uploader spoločnosti a upravil ho, čo mu umožnilo potenciálne získať prístup k akýmkoľvek povereniam, tokenom alebo kľúčom uloženým v prostrediach nepretržitej integrácie klienta, ako aj k akýmkoľvek službám a úložiskám údajov. . Výsledné údaje boli potom odoslané na server tretej strany mimo Codecov.
Spoločnosť Bash Uploader sa používa aj v troch súvisiacich nástrojoch na nahrávanie: nástroj na nahrávanie akcií Codecov pre Github, Codecov CircleCl Orb a Codecov Bitrise Step. Všetci tiež trpeli.
"Hacker získal prístup kvôli chybe v procese."vytvorenie obrázku Dockera Codecov, ktorý mu umožnil extrahovať poverenia potrebné na úpravu nášho skriptu Bash Uploader, “povedal Engelberg. "Ihneď potom, čo sa o probléme dozvedelo, Codecov zabezpečil a opravil zraniteľný skript a začal skúmať prípadný vplyv na používateľov."
Po prešetrení incidentu spoločnosťzistil, že útočník pravidelne vykonáva zmeny v skripte Bash Uploader od 31. januára tohto roku. Codecov sa o hacke dozvedel 1. apríla, keď klient zistil a oznámil nesúlad v nástroji Bash Uploader.
"Dôrazne odporúčame postihnutým."používatelia okamžite znova použijú všetky svoje poverenia, tokeny alebo kľúče umiestnené v premenných prostredia vo svojich procesoch CI, ktoré používali jeden z Codecovových nástrojov na vkladanie basov, “uzavrel Engelberg.
Pozri tiež:
- Vytvoril prvú presnú mapu sveta. Čo je zlé na všetkých ostatných?
- Vedci dekódovali zvláštne signály z vesmíru
- Urán získal status najpodivnejšej planéty v slnečnej sústave. Prečo?