CircleCi، یک شرکت نرم افزاری که محصولات آن در بین توسعه دهندگان و مهندسان نرم افزار محبوب است، تایید کرده است که اطلاعات برخی از مشتریان در یک نقض داده در ماه گذشته به سرقت رفته است.
این شرکت در یک پست وبلاگ مفصل در روز جمعه اعلام کرد که نقطه دسترسی اولیه مهاجم را به عنوان لپتاپ کارمند شناسایی کرده است که با بدافزاری در معرض خطر قرار گرفته است که اجازه سرقت نشانههای جلسه مورد استفاده برای ورود کارمند به برنامههای خاص را علیرغم دسترسی آنها میدهد. با احراز هویت دو مرحله ای محافظت شد.
این شرکت این سازش را مقصر دانسته و آن را “از کار افتادن سیستم” نامیده و اضافه می کند که نرم افزار آنتی ویروس آن در شناسایی بدافزار سرقت توکن روی لپ تاپ کارمند شکست خورده است.
نشانههای جلسه به کاربر این امکان را میدهند که بدون نیاز به وارد کردن مجدد رمز عبور یا تأیید مجدد با استفاده از احراز هویت دو مرحلهای در هر بار وارد سیستم شود. اما یک نشانه جلسه به سرقت رفته به مهاجم اجازه می دهد تا بدون نیاز به رمز عبور یا کد دو عاملی، به همان دسترسی صاحب حساب دسترسی پیدا کند. به همین دلیل، تمایز بین توکن جلسه صاحب حساب یا هکری که توکن را دزدیده ممکن است دشوار باشد.
CircleCi گفت سرقت توکن جلسه به مجرمان سایبری این امکان را میدهد که جعل هویت کارمند را بسازند و به برخی از سیستمهای تولیدی شرکت که دادههای مشتریان را ذخیره میکنند دسترسی پیدا کنند.
از آنجایی که کارمند مورد نظر از امتیازاتی برای تولید توکن های دسترسی تولیدی به عنوان بخشی از وظایف معمول کارمند برخوردار بود، شخص ثالث غیرمجاز قادر به دسترسی و استخراج داده ها از زیر مجموعه ای از پایگاه های داده و فروشگاه ها، از جمله متغیرهای محیط مشتری، توکن ها و کلیدها بود. راب زوبر، مدیر ارشد فناوری این شرکت گفت. زوبر گفت که مجرمان از 16 دسامبر تا 4 ژانویه دسترسی داشتند.
زوبر گفت که اگرچه داده های مشتری رمزگذاری شده بودند، اما مجرمان سایبری کلیدهای رمزگذاری را نیز به دست آوردند که قادر به رمزگشایی داده های مشتری بود. زوبر افزود: “ما مشتریانی را که هنوز اقدامی انجام نداده اند تشویق می کنیم تا از دسترسی غیرمجاز به سیستم ها و فروشگاه های شخص ثالث جلوگیری کنند.”
Zuber گفت که چندین مشتری قبلاً CircleCi را از دسترسی غیرمجاز به سیستم های خود مطلع کرده اند.
کالبد شکافی چند روز پس از آن انجام شد که این شرکت به مشتریان هشدار داد که «همه اسرار» ذخیره شده در پلتفرم خود را بچرخانند، زیرا از ترس اینکه هکرها کد منبع مشتریان و سایر اسرار حساس مورد استفاده برای دسترسی به برنامهها و خدمات دیگر را دزدیده باشند.
زوبر گفت کارمندان CircleCi که دسترسی به سیستمهای تولیدی را حفظ میکنند «مرحلهها و کنترلهای احراز هویت اضافی را اضافه کردهاند» که احتمالاً از طریق استفاده از کلیدهای امنیتی سختافزاری، از تکرار یک حادثه جلوگیری میکند.
نقطه دسترسی اولیه – سرقت یک توکن از لپتاپ کارمند – شباهت زیادی به نحوه هک شدن غول مدیریت رمز عبور LastPass دارد که همچنین شامل هدف قرار دادن یک مهاجم دستگاه یک کارمند بود، اگرچه مشخص نیست که آیا این دو حادثه به هم مرتبط هستند یا خیر. LastPass در ماه دسامبر تأیید کرد که فروشگاه های رمزگذاری رمزگذاری شده مشتریانش در یک رخنه قبلی به سرقت رفته است. LastPass گفت که مهاجمان در ابتدا دسترسی یک کارمند و دستگاه را به خطر انداختند و به آنها اجازه دادند به محیط توسعهدهنده داخلی LastPass نفوذ کنند.