Хакер несколько месяцев получал данные клиентов платформы для кодинга Codecov

Злоумышленник смог получить несанкционированный доступ к сценарию Bash Uploader. Нарушение безопасности не замечали несколько месяцев. За это время могли пострадать 29 000 клиентов. Об этом пишет Reuters.

Среди потенциальных клиентов платформы Codecov, которую используют для тестирования кода, могли оказаться крупные компании: Atlassian, Proctor & Gamble, GoDaddy и Washington Post.

СЕО платформы Джеррод Энгельберг в своем обращении объяснил, что злоумышленник получил несанкционированный доступ к сценарию Bash Uploader компании и изменил его, что позволило ему потенциально получить доступ к любым учетным данным, токенам или ключам, хранящимся в средах непрерывной интеграции клиентов, а также к любым службам и хранилищам данных. Полученные данные затем отправлялись на сторонний сервер вне Codecov.

Bash Uploader компании также используется в трех связанных загрузчиках: загрузчике Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Все они тоже пострадали.

«Хакер получил доступ из-за ошибки в процессе создания образа Docker Codecov, которая позволила ему извлечь учетные данные, необходимые для изменения нашего сценария Bash Uploader», — рассказал Энгельберг. — «Сразу же после того, как стало известно о проблеме, Codecov обезопасил и исправил уязвимый сценарий и начал расследование любого потенциального воздействия на пользователей».

После расследования инцидента компания определила, что злоумышленник периодически вносил изменения в сценарий Bash Uploader, начиная с 31 января этого года. Codecov узнал о взломе 1 апреля, когда клиент обнаружил несоответствие в Bash Uploader и сообщил о нем.

«Мы настоятельно рекомендуем затронутым пользователям немедленно повторно использовать все свои учетные данные, токены или ключи, расположенные в переменных среды в их процессах CI, которые использовали один из Bash Uploaders от Codecov», — подытожил Энгельберг.


Читайте также

Создана первая точная карта мира. Что не так со всеми остальными?

Ученые расшифровали странные сигналы из космоса

Уран получил статус самой странной планеты в Солнечной системе. Почему?

Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Тайны древней звезды по соседству изучили, «подслушав ее песню»
Космос
Baidu делает ИИ для перевода звуков животных в человеческую речь
Наука
Оказалось, ИИ врет чаще при одном условии: как этого избежать
Новости
Суперкомпьютер Маска сжирает электричество как 300 000 домов: люди протестуют
Новости
Посмотрите, как робот стремительно отбивает подачи в настольном теннисе
Новости
Физики исполнили мечту алхимиков: свинец в коллайдере превратили в золото
Наука
Создано музыкальное приложение для реабилитации после инсульта
Наука
«Эффект аккордеона» превращает жесткий графен в эластичный материал
Наука
ИИ восстановил имя автора свитка, который пережил последний день Помпеи
Наука
Частный лунный модуль вышел на орбиту спутника после двух месяцев полета
Космос
Предок тираннозавра «иммигрировал» в Америку из Азии, считают ученые
Наука
Обновленный Gemini 2.5 Pro от Google возглавил рейтинг ИИ для разработчиков
Новости
Ученые решили проблему, которая мешала запуску термоядерных реакторов почти 70 лет
Наука
Китайское «супероружие» для подводных диверсий оказалось не таким, как считалось
Новости
Отключение мобильного интернета в Москве: какие последствия для бизнеса
Новости
Киберполиция назвала новые схемы мошенников: как они воруют аккаунты на «Госуслугах»
Новости
Хокинг предсказал гибель Земли: оказалось, НАСА сочло угрозу реальной
Наука
Создатель Ethereum признал свои ошибки и решил изменить криптовалюту
Новости
«Ред ОС 8» заработала на Arm-платформах — теперь и на «Байкале»
Новости
Компания Цукерберга использовала уязвимость подростков для рекламы
Новости