Защо ФБР закъснява с разследването на пробойната в сигурността на Codecov?

2
192

Федералните служители разследват нарушение на сигурността на одиторската компания за софтуер Codecov, която очевидно е останала неоткрита в продължение на месеци, предадоха от  Ройтерс. Платформата на Codecov се използва за тестване на софтуерен код за уязвимости, а сред  29 000-те клиенти на компанията влизат имена като Atlassian, Proctor & Gamble, GoDaddy и Washington Post.

В изявление на уебсайта на компанията изпълнителният директор на Codecov Джерод Енгелберг призна нарушението и федералното разследване, като заяви, че някой е получил достъп до техния скрипт Bash Uploader и го е модифицирал без разрешението на компанията.

„Нашето разследване установи, че в началото на 31 януари 2021 г. е имало периодични, неоторизирани промени в нашия скрипт на Bash Uploader от трета страна, което ѝ е позволило потенциално да експортира информация, съхранявана в системите на нашите потребители за непрекъсната интеграция (CI)“, пише Engelberg . „Тази информация е била изпратена до сървър на трета страна извън инфраструктурата на Codecov.“

Според публикацията на Енгелберг модифицираната версия на инструмента може да повлияе:

  • Всички идентификационни данни, токени или ключове, които клиентите са използвали през своя CI runner, които биха били достъпни при изпълнение на скрипта на Bash Uploader.
  • Всички услуги, хранилища за данни и кодове на приложения, които могат да бъдат достъпни с тези идентификационни данни, маркери или ключове.
  • Git отдалечена информация (URL на хранилището на източника) на хранилища, използващи Bash Uploaders за качване на покритие в Codecov в CI.
  • Въпреки че компрометирането е настъпило през януари, то е открито едва на 1 април, когато клиент забелязва, че нещо не е наред с инструмента. „Веднага след като разбра за проблема, Codecov осигури и отстрани потенциално засегнатия скрипт и започна да разследва степента, до която потребителите могат да бъдат засегнати“, пише Енгелберг.
1 1 глас
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари