美国测试代码平台被曝出存在安全漏洞!公司:尚未确定黑客身份

安全 应用安全
根据多家外媒报道,日前,一个用于测试代码的客户平台Codecov被曝出存在严重的安全漏洞,该公司也已经承认了漏洞的存在,并表示,漏洞在此前已经存在了几个月,但始终没有被发现。

大数据文摘出品

来源:gizmodo

根据多家外媒报道,日前,一个用于测试代码的客户平台Codecov被曝出存在严重的安全漏洞,该公司也已经承认了漏洞的存在,并表示,漏洞在此前已经存在了几个月,但始终没有被发现。

美国联邦调查人员正在进行相关调查。

据了解,Codecov在世界各地拥有超过29000个客户,可以想见影响范围之广。

根据路透社报道统计,此次违规事件已经影响了众多客户,其中包括Atlassian,Proctor&Gamble,GoDaddy和《华盛顿邮报》。不过公司CEO Jerrod Engelberg发表的安全更新中,尚没有明确提及受影响用户的数量。

目前,Codecov表示,除了网站上的声明外,其他一切都不予置评。

声明链接:https://about.codecov.io/security-update/

在该安全更新中,Engelberg写到,黑客获得了对公司Bash Uploader脚本的未经授权的访问,并对其进行了修改,从而使其可以潜在访问存储在客户连续集成环境中的任何凭据、令牌或密钥以及任何服务,然后将访问的数据发送到Codecov外部的第三方服务器。

Codecov的Bash Uploader也用在三个相关的上传器(uploader)中:Github的Codecov-actions,Codecov CircleCl Orb和Codecov Bitrise Step,这些都受到影响。

根据Codecov最新表示,他们已经解决了这个漏洞,系统和服务已经是安全可使用的了,不过目前还无法确定是谁实施了入侵。

“由于Codecov的Docker映像创建过程中出现的错误,黑客获得了访问权限,该错误使黑客能够提取修改我们的Bash Uploader脚本所需的凭据,”Engelberg说,“在意识到这一问题后,Codecov立即保护并修复了受影响的脚本,并开始调查对用户的任何潜在影响”。

该公司补充说,他们已经聘请了第三方法证公司来帮助其分析对用户的影响。同时,也已经将此事件报告给了执法部门,并正在与他们进行合作。

对该事件进行调查后,该公司确定黑客于今年1月31日开始对其Bash Uploader脚本进行了定期更改。4月1日,当一名客户检测到并报告了Bash Uploader的差异时,Codecov于此时获悉了该违规行为。

Codecov表示,它已于4月15日通过电子邮件将受影响的用户发送到Github、Gitlab和Bitbucket归档的电子邮件,并在受影响的用户登录Codecov后启用了通知横幅。该公司表示,使用自托管版本的Codecov的客户不太可能受到影响。

“我们强烈建议受影响的用户在使用Codecov的Bash Uploaders之一的CI流程中立即重新滚动其位于环境变量中的所有凭据、令牌或密钥。” Engelberg说。

路透社指出,该事件正在与美国政府归咎于俄罗斯对外情报局的大规模SolarWinds黑客事件进行比较,原因是它可能对各个组织产生影响,并且由于未发现攻击的时间长。重要的是,Codecov的范围尚不清楚。

Codecov表示,已经采取了许多措施来解决安全问题,包括轮换所有相关的内部凭据、设置监视和审核工具,以确保威胁行为者无法再次修改Bash Uploader,以及与第三者的托管提供商合作。

相关报道:https://gizmodo.com/u-s-federal-investigators-are-reportedly-looking-into-1846707144

【本文是51CTO专栏机构大数据文摘的原创译文,微信公众号“大数据文摘( id: BigDataDigest)”】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2009-02-19 17:36:13

Windows MobMy Phone

2009-02-19 17:00:52

My PhoneWindows Mob安全漏洞

2022-08-21 15:52:12

安全苹果漏洞

2024-11-11 16:21:38

2021-12-30 15:18:18

安全漏洞攻击身份验证

2015-08-26 10:14:29

2023-07-29 11:15:47

2009-02-03 09:01:40

2015-05-08 12:11:14

2014-06-16 16:13:08

2009-02-13 09:34:35

2013-11-27 09:25:20

2023-09-21 22:34:56

2024-07-11 16:05:12

2023-06-05 11:56:57

2013-07-24 14:54:02

2013-01-14 11:49:48

2019-02-21 10:11:49

2020-10-23 11:13:39

漏洞网络安全网络攻击

2022-12-05 15:07:29

点赞
收藏

51CTO技术栈公众号