ลูกค้าที่มีศักยภาพของแพลตฟอร์ม Codecov ซึ่งใช้สำหรับทดสอบโค้ดอาจรวมถึง:
СЕО платформы Джеррод Энгельберг в своем คำอุทธรณ์ดังกล่าวอธิบายว่าผู้โจมตีได้รับการเข้าถึงสคริปต์ Bash Uploader ของ บริษัท โดยไม่ได้รับอนุญาตและแก้ไขซึ่งทำให้เขาสามารถเข้าถึงข้อมูลประจำตัวโทเค็นหรือคีย์ใด ๆ ที่เก็บไว้ในสภาพแวดล้อมการผสานรวมอย่างต่อเนื่องของลูกค้าตลอดจนบริการและที่เก็บข้อมูลใด ๆ . จากนั้นข้อมูลที่ได้จะถูกส่งไปยังเซิร์ฟเวอร์ของบุคคลที่สามภายนอก Codecov
Bash Uploader ของ บริษัท ยังใช้ในผู้อัปโหลดที่เกี่ยวข้องสามตัว ได้แก่ Codecov-actions uploader สำหรับ Github, Codecov CircleCl Orb และ Codecov Bitrise Step พวกเขาทุกคนได้รับความเดือดร้อนเช่นกัน
“ แฮ็กเกอร์เข้าถึงได้เนื่องจากข้อผิดพลาดในกระบวนการการสร้างอิมเมจ Docker Codecov ที่อนุญาตให้เขาดึงข้อมูลรับรองที่จำเป็นในการแก้ไขสคริปต์ Bash Uploader ของเรา” Engelberg กล่าว "ทันทีที่ทราบเกี่ยวกับปัญหานี้ Codecov ได้รักษาความปลอดภัยและแก้ไขสคริปต์ที่มีช่องโหว่และเริ่มตรวจสอบผลกระทบที่อาจเกิดขึ้นกับผู้ใช้"
หลังสอบสวนที่เกิดเหตุ บริษัทได้พิจารณาแล้วว่าผู้โจมตีได้ทำการเปลี่ยนแปลงสคริปต์ Bash Uploader เป็นระยะตั้งแต่วันที่ 31 มกราคมของปีนี้ Codecov ทราบถึงการแฮ็กในวันที่ 1 เมษายนเมื่อลูกค้าค้นพบและรายงานความไม่สอดคล้องกันใน Bash Uploader
“ เราขอแนะนำอย่างยิ่งให้ผู้ที่ได้รับผลกระทบผู้ใช้จะนำข้อมูลประจำตัวโทเค็นหรือคีย์ทั้งหมดที่อยู่ในตัวแปรสภาพแวดล้อมในกระบวนการ CI ที่ใช้ Bash Uploaders ของ Codecov มาใช้ซ้ำทันที” Engelberg กล่าวสรุป
ดูเพิ่มเติมที่:
- สร้างแผนที่ที่แม่นยำแห่งแรกของโลก คนอื่นผิดอะไร
- นักวิทยาศาสตร์ได้ถอดรหัสสัญญาณแปลก ๆ จากอวกาศ
- ดาวยูเรนัสได้รับสถานะของดาวเคราะห์ที่แปลกประหลาดที่สุดในระบบสุริยะ ทำไม?