DevOps alanında büyük bir isim olan CircleCI, bu ayın başlarında yaşadığı bir veri ihlali hakkında bir olay raporu yayınladı.
Yazılım geliştirme hizmeti şirketi CircleCI, Aralık ayında meydana gelen bir ihlalle ilgili olay raporunu yayınladı.
CircleCI, bir mühendisin dizüstü bilgisayarına, bir mühendisin oturum tanımlama bilgisini çalmak için kullanılan, henüz adlandırılmamış bir bilgi çalma Truva Atı’nın başarıyla bulaştığını ortaya çıkardı. Şirket, kötü amaçlı yazılımın dizüstü bilgisayara nasıl bulaştığı hakkında bilgi vermedi.
Rapordan:
“Bu makine 16 Aralık 2022’de ele geçirildi. Kötü amaçlı yazılım, virüsten koruma yazılımımız tarafından tespit edilmedi. Araştırmamız, kötü amaçlı yazılımın oturum çerezi hırsızlığı gerçekleştirebildiğini ve uzak bir konumda hedeflenen çalışanın kimliğine bürünmesine ve ardından erişimi artırmasına olanak tanıdığını gösteriyor. üretim sistemlerimizin bir alt kümesine.”
Bu durumda oturum tanımlama bilgisi, raporda “2FA destekli SSO oturumu” tanımlama bilgisi olarak açıklanan bir kimlik doğrulama belirteciydi. Bu, bir web sitesinde başarılı bir şekilde oturum açtıktan sonra bir web tarayıcısı tarafından saklanan bir tür kimlik doğrulama tanımlama bilgisidir. Tarayıcı kısıtlanmış içerikle etkileşime girdiğinde, oturum açtığınızı kanıtlamak için çerezi kullanır, böylece şifrenizi tekrar tekrar girmeniz gerekmez.
Bir kullanıcının kimlik doğrulama tanımlama bilgisini çalmak, bir saldırgana, kullanıcının parolasını çalıp oturum açması durumunda elde edeceği erişimin tamamen aynısını verir. Bu durumda, hesap yalnızca bir parolayla korunmadı, aynı zamanda bir tür parolayla da korundu. iki faktörlü kimlik doğrulama (2FA). Saldırgan, bir kimlik doğrulama tanımlama bilgisini çalarak, hesabı koruyan 2FA (ve diğer kimlik doğrulama biçimleri) etrafında bir son çalıştırma gerçekleştirebildi.
Neyse ki, kimlik doğrulama tanımlama bilgilerini çalmak kolay değildir ve bu durumda saldırgan bunu yalnızca bir mühendisin dizüstü bilgisayarına kötü amaçlı yazılım yükleyerek, muhtemelen oradan kurbanın şifrelerini ve 2FA belirteçlerini eninde sonunda çalmış olabilecekleri şekilde yapabilmiştir.
Bir müşteri, 29 Aralık 2022’de şirketi “şüpheli GitHub OAuth etkinliği” konusunda uyardı ve bu müşterinin OAuth jetonunun güvenliğinin ihlal edildiği sonucuna vardı. Sonuç olarak CircleCI, müşteriyle ilişkili tüm belirteçleri proaktif olarak onlar adına döndürmeye başladığını söylüyor. Bunlar, Proje API’si, Kişisel API ve GitHub OAuth belirteçlerini içerir.
CircleCI, bu yıl 4 Ocak’ta güvenlik ihlaline ilişkin resmi bir duyuru yaptı ve tüm müşterilerini CircleCI’de depolanan sırlarını -şifreleri veya özel anahtarları- “tümünü” döndürmeye ve 21 Aralık 2022 arasında meydana gelen yetkisiz erişim için günlükleri incelemeye çağırdı. , ve 4 Ocak 2023.
Kurban çalışan, rutin olarak erişim belirteçleri oluşturan bir mühendis olduğundan, saldırgan “erişim[ed] ve sızmak[d] müşteri ortamı değişkenleri, belirteçler ve anahtarlar dahil olmak üzere veritabanları ve depoların bir alt kümesinden gelen veriler. Şirketin ayrıca, keşif faaliyetinin ilk olarak 19 Aralık’ta gerçekleştiğine ve birkaç gün sonra 22 Aralık’ta bir hırsızlık faaliyetinin tespit edildiğine inanmak için nedenleri var.
Raporda ayrıca, “Sızdırılan tüm veriler beklemedeyken şifrelenmiş olsa da, üçüncü taraf çalışan bir süreçten şifreleme anahtarlarını çıkardı ve potansiyel olarak şifrelenmiş verilere erişmelerini sağladı” diyor.
O zamandan beri CircleCI, antivirüs ve mobil cihaz yönetimi (MDM) sistemine davranış algılamayı ekleyerek altyapısını geliştirdiğini söylüyor. Ayrıca üretim ortamlarına erişimi kısıtladı ve 2FA uygulamasının güvenliğini artırdı.
CircleCI ile yaşanan bu son siber güvenlik olayı bir ilk değil. 2019’da şirket, analitik satıcısına yönelik bir tedarik zinciri saldırısının ardından ihlal edildi. Satıcıyla olan hesabının güvenliği ihlal edildi ve saldırganların GitHub ve Bitbucket ile ilişkili kullanıcı adları ve e-posta adreslerini içeren bazı kullanıcı verilerine erişmesine izin verildi.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.