Yapay zeka destekli kodlama platformu Sourcegraph, web sitesinin bu hafta 14 Temmuz’da yanlışlıkla çevrimiçi sızdırılan bir site yöneticisi erişim jetonu kullanılarak ihlal edildiğini ortaya çıkardı.
Bir saldırgan, sızdırılan jetonu 28 Ağustos’ta yeni bir site yöneticisi hesabı oluşturmak ve iki gün sonra şirketin web sitesi Sourcegraph.com’un yönetici kontrol paneline giriş yapmak için kullandı.
Güvenlik ihlali, Sourcegraph’ın güvenlik ekibinin “yalıtılmış ve inorganik” olarak tanımlanan API kullanımında önemli bir artış gözlemlemesinden aynı gün sonra keşfedildi.
Tehdit aktörü, web sitesinin yönetici kontrol paneline erişim sağladıktan sonra Sourcegraph’ın sistemini araştırmak için hileli hesabının ayrıcalıklarını birden çok kez değiştirdi.
Sourcegraph’ın Güvenlik Başkanı Diego Comas, “Güvenlik ekibimiz, 14 Temmuz’da site yöneticisi erişim belirtecinin bir çekme isteği sırasında yanlışlıkla sızdırıldığı ve sistemimizin yönetim konsoluna erişim sağlamak için bir kullanıcıyı taklit etmek üzere kullanıldığı bir kod işleme tespit etti.” Çarşamba günü açıklandı.
“Kötü niyetli kullanıcı veya ona bağlı biri, kullanıcıların doğrudan Sourcegraph’ın API’lerini aramasına ve temeldeki LLM’den yararlanmasına olanak tanıyan bir proxy uygulaması oluşturdu. Kullanıcılara ücretsiz Sourcegraph.com hesapları oluşturmaları, erişim belirteçleri oluşturmaları ve ardından kötü niyetli kullanıcıdan bunu talep etmeleri talimatı verildi. Sourcegraph’a göre oran limitlerini büyük ölçüde artırın.
Özel kod ve kimlik bilgileri açığa çıkmadı
Olay sırasında saldırgan, Sourcegraph müşterilerinin lisans anahtarları, adları ve e-posta adresleri de dahil olmak üzere bilgilerine erişim sağladı (ücretsiz katman kullanıcılarının yalnızca e-posta adresleri açığa çıktı).
Comas’a göre saldırıda özel kod, e-postalar, şifreler, kullanıcı adları veya diğer kişisel olarak tanımlanabilir bilgiler (PII) gibi müşteri bilgilerine yönelik hassas veriler açığa çıkmadı.
Comas, potansiyel olarak etkilenen kullanıcılara gönderdiği e-postalarda, “Kişisel bilgilerinizin herhangi birinin değiştirildiğine veya kopyalandığına dair bir belirti yok, ancak kötü niyetli kullanıcı, yönetici kontrol panelinde gezinirken bu verileri görmüş olabilir.” dedi.
“Müşterilerin özel verileri veya kodları bu olay sırasında görüntülenmedi. Müşterinin özel verileri ve kodları izole edilmiş ortamlarda bulunuyor ve bu nedenle bu olaydan etkilenmedi.”
Sourcegraph, güvenlik ihlalini keşfettikten sonra kötü niyetli site yöneticisi hesabını devre dışı bıraktı, tüm ücretsiz topluluk kullanıcıları için geçerli olan API hızı sınırlarını geçici olarak düşürdü ve saldırıda potansiyel olarak açığa çıkabilecek lisans anahtarlarını değiştirdi.
1,8 milyon yazılım mühendisini aşan küresel kullanıcı tabanıyla Sourcegraph’ın müşteri kadrosunda Uber, F5, Dropbox, Lyft, Yelp ve daha fazlası gibi yüksek profilli şirketler yer alıyor.