Kodu test etmek için kullanılan Codecov platformunun potansiyel müşterileri şunları içerebilir:
Platform CEO'su Jerrod Engelberg,İtirazda, saldırganın şirketin Bash Uploader komut dosyasına yetkisiz erişim sağladığını ve onu değiştirerek istemcinin sürekli entegrasyon ortamlarında depolanan kimlik bilgilerine, belirteçlere veya anahtarlara ve ayrıca tüm hizmetlere ve veri depolarına potansiyel olarak erişim elde etmesini sağladığını açıkladı. . Ortaya çıkan veriler daha sonra Codecov dışındaki bir üçüncü taraf sunucuya gönderildi.
Şirketin Bash Yükleyicisi ayrıca üç ilgili yükleyicide de kullanılıyor: Github için Codecov eylemleri yükleyicisi, Codecov CircleCl Orb ve Codecov Bitrise Step. Hepsi de acı çekti.
"Bilgisayar korsanı, süreçteki bir hata nedeniyle erişim elde ettiEngelberg, Bash Uploader betiğimizi değiştirmek için gerekli kimlik bilgilerini çıkarmasına olanak tanıyan bir Docker Codecov görüntüsü yaratarak, "dedi. "Sorunun farkına vardıktan hemen sonra, Codecov savunmasız komut dosyasını güvenli hale getirip düzeltti ve kullanıcılar üzerindeki olası etkileri araştırmaya başladı."
Olayı araştırdıktan sonra şirket, saldırganın bu yılın 31 Ocak tarihinden bu yana Bash Yükleyici komut dosyasında düzenli olarak değişiklikler yaptığını belirledi. Codecov, 1 Nisan'da bir müşteri Bash Yükleyicide bir tutarsızlık keşfedip bildirdiğinde saldırıdan haberdar oldu.
"EtkilenenlerinKullanıcılar, Codecov'un Bash Yükleyicilerinden birini kullanan CI süreçlerinde ortam değişkenlerinde bulunan tüm kimlik bilgilerini, belirteçlerini veya anahtarlarını derhal yeniden kullanacaklar, ”diye bitirdi Engelberg.
Ayrıca bakınız:
- Dünyanın ilk doğru haritasını oluşturdu. Herkesin nesi var?
- Bilim adamları uzaydan gelen garip sinyalleri çözdü
- Uranüs, güneş sistemindeki en garip gezegen statüsünü aldı. Neden?