CircleCi, araştırdığı yakın tarihli bir güvenlik olayının kötü amaçlı yazılımla çalışan büyük hırsızlık verileri olduğunu doğruladı.
Şirket haberi bir gazetede açıkladı. Blog yazısı (yeni sekmede açılır) son zamanlarda ne olduğunu, hasarı en aza indirmek için ne yaptığını ve gelecekte kullanıcılarını nasıl güvende tutmayı planladığını açıklayan.
Blogda, yüksek ayrıcalıklara sahip bir çalışanın dizüstü bilgisayarına, saldırganlara krallığın anahtarlarını veren jeton çalan kötü amaçlı yazılım bulaştığı söylendi.
Haftalarca veri çalmak
Görünüşe göre kötü amaçlı yazılım, cihazda bir virüsten koruma programı yüklü olmasına rağmen uç noktada çalışmayı başardı. Saldırganlar, çalışanın bazı uygulamalarda oturum açmasını sağlayan oturum belirteçlerini ele geçirmek için aracı kullandı.
Bir kullanıcı bir uygulamada oturum açtığında, bunu bir parola ve çok faktörlü kimlik doğrulama (MFA) aracıyla yapmış olsa bile, bazı uygulamalar, kullanıcıların uygulamada uzun süre oturum açmış halde kalmasına izin veren oturum belirteçlerini bırakır. Başka bir deyişle, saldırganlar oturum belirteçlerini çalarak şirketin kurduğu herhangi bir MFA’yı etkili bir şekilde atladılar.
Bundan sonra, hassas verileri tehlikeye atmak için sadece doğru üretim sistemlerine erişim meselesiydi.
“Hedeflenen çalışan, çalışanın normal görevlerinin bir parçası olarak üretim erişim belirteçleri oluşturma ayrıcalıklarına sahip olduğundan, yetkisiz üçüncü taraf, müşteri ortamı değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir veri tabanı ve depo alt kümesindeki verilere erişebildi ve bunları sızdırabildi.” blog notları.
Tehdit aktörleri, 16 Aralık 2022’den 4 Ocak 2023’e kadar yaklaşık üç hafta boyunca CircleCI’nin altyapısında oyalandı.
Saldırganlar şifreleme anahtarlarını da ele geçirdiği için çalınan verilerin şifrelenmiş olması bile pek yardımcı olmadı.
Blog, “Üçüncü taraf sistemlere ve mağazalara yetkisiz erişimi önlemek için henüz harekete geçmemiş olan müşterileri teşvik ediyoruz.”
CircleCi, müşterilerinden sistemlerinde depolanan tüm sırları döndürmelerini istemişti. “Bunlar, proje ortamı değişkenlerinde veya bağlamlarda saklanabilir”.
Üzerinden: TechCrunch (yeni sekmede açılır)