Ürünleri geliştiriciler ve yazılım mühendisleri arasında popüler olan bir yazılım şirketi olan CircleCi, geçen ay bir veri ihlaliyle bazı müşterilerin verilerinin çalındığını doğruladı.
Şirket ayrıntılı bir blog yazısında söyledi Cuma günü, davetsiz misafirin ilk erişim noktasının kötü amaçlı yazılımla ele geçirilmiş bir çalışanın dizüstü bilgisayarı olduğunu belirledi ve bu da, erişimleri iki faktörlü kimlik doğrulama ile korunuyor olsa bile, çalışanın belirli uygulamalarda oturumunu açık tutmak için kullanılan oturum belirteçlerinin çalınmasına izin verdi.
Şirket, uzlaşmanın suçunu üstlendi ve bunu bir “sistem hatası” olarak nitelendirdi ve virüsten koruma yazılımının, çalışanın dizüstü bilgisayarındaki belirteç çalan kötü amaçlı yazılımı tespit edemediğini ekledi.
Oturum belirteçleri, bir kullanıcının her seferinde iki faktörlü kimlik doğrulamayı kullanarak parolasını yeniden girmeye veya yeniden yetkilendirmeye gerek kalmadan oturumunu açık tutmasına olanak tanır. Ancak çalınan bir oturum belirteci, bir davetsiz misafirin hesap sahibiyle aynı erişimi parolasına veya iki faktörlü koduna ihtiyaç duymadan elde etmesine olanak tanır. Bu nedenle, hesap sahibine ait bir oturum belirteci ile belirteci çalan bir bilgisayar korsanı arasında ayrım yapmak zor olabilir.
CircleCi, oturum belirtecinin çalınmasının siber suçluların çalışanın kimliğine bürünmesine ve şirketin müşteri verilerini depolayan bazı üretim sistemlerine erişmesine izin verdiğini söyledi.
“Hedeflenen çalışan, çalışanın normal görevlerinin bir parçası olarak üretim erişim belirteçleri oluşturma ayrıcalıklarına sahip olduğundan, yetkisiz üçüncü taraf, müşteri ortamı değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir veri tabanı ve depo alt kümesindeki verilere erişebildi ve bunları sızdırabildi.” şirketin baş teknoloji sorumlusu Rob Zuber dedi. Zuber, davetsiz misafirlerin 16 Aralık’tan 4 Ocak’a kadar erişime sahip olduğunu söyledi.
Zuber, müşteri verileri şifrelenirken siber suçluların müşteri verilerinin şifresini çözebilen şifreleme anahtarlarını da elde ettiğini söyledi. Zuber, “Üçüncü taraf sistemlere ve mağazalara yetkisiz erişimi önlemek için henüz harekete geçmemiş olan müşterileri teşvik ediyoruz” dedi.
Zuber, birkaç müşterinin CircleCi’yi sistemlerine yetkisiz erişim konusunda bilgilendirdiğini söyledi.
Otopsi, şirketin, bilgisayar korsanlarının müşterilerinin kaynak kodunu ve diğer uygulama ve hizmetlere erişim için kullanılan diğer hassas sırları çalmış olmasından korkarak müşterileri platformunda depolanan “tüm sırları” döndürmeleri konusunda uyarmasından günler sonra gelir.
Zuber, üretim sistemlerine erişimi elinde bulunduran CircleCi çalışanlarının, muhtemelen donanım güvenlik anahtarlarını kullanarak tekrarlanan bir olayı önlemesi gereken “ek kimlik doğrulama adımları ve kontrolleri eklediklerini” söyledi.
İlk erişim noktası – bir çalışanın dizüstü bilgisayarında belirteç çalma – iki olayın bağlantılı olup olmadığı bilinmese de, bir çalışanın cihazını hedef alan bir davetsiz misafirin de dahil olduğu şifre yöneticisi devi LastPass’ın nasıl hacklendiğine bazı benzerlikler taşıyor. LastPass, Aralık ayında müşterilerinin şifreli parola kasalarının daha önceki bir ihlalde çalındığını doğrulamıştı. LastPass, davetsiz misafirlerin başlangıçta bir çalışanın cihazını ve hesap erişimini tehlikeye attığını ve LastPass’ın dahili geliştirici ortamına girmelerine izin verdiğini söyledi.