Хакер несколько месяцев получал данные клиентов платформы для кодинга Codecov

Злоумышленник смог получить несанкционированный доступ к сценарию Bash Uploader. Нарушение безопасности не замечали несколько месяцев. За это время могли пострадать 29 000 клиентов. Об этом пишет Reuters.

Среди потенциальных клиентов платформы Codecov, которую используют для тестирования кода, могли оказаться крупные компании: Atlassian, Proctor & Gamble, GoDaddy и Washington Post.

СЕО платформы Джеррод Энгельберг в своем обращении объяснил, что злоумышленник получил несанкционированный доступ к сценарию Bash Uploader компании и изменил его, что позволило ему потенциально получить доступ к любым учетным данным, токенам или ключам, хранящимся в средах непрерывной интеграции клиентов, а также к любым службам и хранилищам данных. Полученные данные затем отправлялись на сторонний сервер вне Codecov.

Bash Uploader компании также используется в трех связанных загрузчиках: загрузчике Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Все они тоже пострадали.

«Хакер получил доступ из-за ошибки в процессе создания образа Docker Codecov, которая позволила ему извлечь учетные данные, необходимые для изменения нашего сценария Bash Uploader», — рассказал Энгельберг. — «Сразу же после того, как стало известно о проблеме, Codecov обезопасил и исправил уязвимый сценарий и начал расследование любого потенциального воздействия на пользователей».

После расследования инцидента компания определила, что злоумышленник периодически вносил изменения в сценарий Bash Uploader, начиная с 31 января этого года. Codecov узнал о взломе 1 апреля, когда клиент обнаружил несоответствие в Bash Uploader и сообщил о нем.

«Мы настоятельно рекомендуем затронутым пользователям немедленно повторно использовать все свои учетные данные, токены или ключи, расположенные в переменных среды в их процессах CI, которые использовали один из Bash Uploaders от Codecov», — подытожил Энгельберг.


Читайте также

Создана первая точная карта мира. Что не так со всеми остальными?

Ученые расшифровали странные сигналы из космоса

Уран получил статус самой странной планеты в Солнечной системе. Почему?

Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Китайский аккумулятор для электромобиля выдержал наезд 36-тонного танка
Новости
Воспитанники детских домов изучат основы работы с нейросетями
Новости
Четвероногий робот из Цюриха научился играть в бадминтон с людьми
Новости
В MIT раскрыли механизм набора веса из-за жирной пищи и как обратить его вспять
Наука
60 000 лет рядом: ученые выяснили, кто стал первым паразитом человека
Наука
Ректора Университета Иннополис избрали членом-корреспондентом РАН
Иннополис
В Корее робопса научили паркуру и бегу по стенам: посмотрите, что он может
Новости
Древний череп «человека-муравья» нашли в Аргентине
Наука
На селфи марсохода попал неожиданный объект: его заметили не сразу
Космос
Посмотрите на двух морских коньков, которых застукали за «поцелуем» в океане
Наука
Почти 10 000 роутеров Asus тайно заразили: как проверить свой и защититься
Новости
Ракета будет доставлять товары с AliExpress за час по всему миру: ее испытали в Китае
Новости
В России пригрозили «душить» иностранные сервисы: кто в опасности
Новости
Boston Dynamics усовершенствовала систему восприятия гуманоидного робота Atlas
Новости
Наклейка на лоб анализирует мозговые волны и предсказывает переутомление
Наука
Посмотрите на робота-трансформера, который меняет форму прямо в полете
Новости
Китай отправил миссию за образцами горных пород с квазиспутника Земли
Космос
ИИ научился предсказывать успеваемость студентов по данным профиля в VK
Новости
Странная звезда Млечного Пути пульсирует каждые 44 минуты и это не объяснить
Космос
Этот OLED-экран сам издает звук: каждый пиксель работает как динамик
Новости