CircleCI подтверждает, что данные клиентов были украдены в результате взлома с использованием вредоносного ПО
MrJura CircleCI подтверждает, что данные клиентов были украдены в результате взлома с использованием вредоносного ПО
Ноутбук сотрудника CircleCI с высокими привилегиями был скомпрометирован
CircleCi подтвердила, что недавний инцидент безопасности, который она расследовала, был связан с крупной кражей данных с использованием вредоносного ПО.
Компания сообщила об этом в сообщении блога (открывается в новой вкладке), в котором описывалось, что произошло недавно, что она сделала, чтобы минимизировать ущерб, и как она планирует обеспечивать безопасность своих пользователей в будущем.
В блоге было сказано, что сотрудник с высокими привилегиями заразил свой ноутбук вредоносным ПО для кражи токенов, которое дало злоумышленникам ключи от королевства.
Кража данных в течение нескольких недель
Вредоносная программа, по-видимому, смогла запуститься на конечной точке, несмотря на то, что на устройстве была установлена антивирусная программа. Злоумышленники использовали этот инструмент для захвата токенов сеанса, которые удерживали сотрудника в системе в некоторых приложениях.
Когда пользователь входит в приложение, даже если он делает это с помощью пароля и инструмента многофакторной аутентификации (MFA), некоторые приложения сбрасывают маркеры сеанса, которые позволяют пользователям оставаться в приложении в течение длительных периодов времени. Другими словами, украв токены сеанса, злоумышленники фактически обошли все MFA, созданные компанией.
После этого речь шла только о доступе к нужным производственным системам, чтобы скомпрометировать конфиденциальные данные.
«Поскольку целевой сотрудник имел привилегии генерировать токены производственного доступа в рамках своих обычных обязанностей, неавторизованная третья сторона могла получить доступ и извлечь данные из подмножества баз данных и хранилищ, включая переменные среды клиента, токены и ключи». отмечает блог.
Злоумышленники задерживались в инфраструктуре CircleCI примерно три недели — с 16 декабря 2022 года по 4 января 2023 года.
Не помогло даже то, что украденные данные были зашифрованы, так как злоумышленники получили и ключи шифрования.
«Мы призываем клиентов, которые еще не предприняли никаких действий, сделать это, чтобы предотвратить несанкционированный доступ к сторонним системам и магазинам», — заключил блог.
CircleCi попросила своих клиентов менять все секреты, хранящиеся в ее системах. «Они могут храниться в переменных среды проекта или в контекстах».
Cloud Continuous Integration на примере CircleCI
Спикер Артур Пилюк, Senior Automation QA в Lohika, Преподаватель Компьютерной школы Hillel. Программа: - основные ...
