CircleCI, компания-разработчик программного обеспечения, чьи продукты популярны среди разработчиков и инженеров-программистов, подтвердила, что данные некоторых её клиентов были украдены в результате утечки в прошлом месяце.
Компания заявила, что определила точку доступа злоумышленников в систему. Это был ноутбук одного из сотрудников, который был скомпрометирован вредоносным ПО. Так злоумышленники смогли получить токены сеанса, используемые для удержания сотрудника в системе.
Компания взяла на себя вину за компрометацию, назвав её “системным сбоем”. Также CircleCI добавила, что её антивирусное программное обеспечение не смогло обнаружить вредоносное ПО для кражи токенов на ноутбуке сотрудника.
Токены сеанса позволяют пользователю оставаться в системе без необходимости каждый раз вводить пароль или повторно авторизоваться с использованием двухфакторной аутентификации. Украденный токен сеанса позволяет злоумышленнику получить точно такой же доступ. Таким образом, довольно трудно различить токены сеанса владельца учетной записи и хакера, получившего доступ неправомерно.
Кража токенов сеанса позволяет киберпреступникам выдавать себя за сотрудников компании и получать доступ к некоторым производственным системам, в которых хранятся данные клиентов.
“Поскольку данный сотрудник имел полномочия самостоятельно генерировать токены производственного доступа, неавторизованная третья сторона смогла получить те же полномочия и извлечь данные из множества баз и хранилищ, включая переменные среды клиента, токены и ключи”, – сказал Роб Зубер, главный технический директор CircleCI. Он также сообщил, что злоумышленники имели доступ к системе с 16 декабря по 4 января.
Зубер отметил, что, хотя данные клиентов были зашифрованы, в ходе атаки киберпреступники получили и ключи шифрования, способные декодировать данные. “Мы призываем клиентов, которые еще не предприняли никаких действий, сделать это в срочном порядке, чтобы предотвратить несанкционированный доступ”, – добавил Зубер.
По словам Зубера, несколько клиентов уже сообщили CircleCI о несанкционированном доступе к их системам.
Анализ утечки был закончен через несколько дней после того, как компания предупредила клиентов о необходимости изменить “все чувствительные данные”, хранящиеся на платформе.
Зубер сказал, что сотрудники CircleCI усложнили процесс аутентификации. Это должно предотвратить повторение инцидента.
Использованный злоумышленниками способ, кража токена с ноутбука сотрудника – имеет некоторое сходство с тем методом, которым недавно был взломан менеджер паролей LastPass . Там доступ был тоже получен через устройство одного из сотрудников: злоумышленники скомпрометировали устройство и получили доступ к учетной записи, что позволило им проникнуть во внутреннюю среду разработки сервиса. Доподлинно неизвестно, связаны ли эти два инцидента между собой.