14 janvier 2023Ravie LakshmananDevOps / Sécurité des données

Circleci Hack

La plate-forme DevOps CircleCI a révélé vendredi que des acteurs de la menace non identifiés avaient compromis l’ordinateur portable d’un employé et exploité des logiciels malveillants pour voler leurs informations d’identification basées sur l’authentification à deux facteurs afin de violer les systèmes et les données de l’entreprise le mois dernier.

Le service CI/CD CircleCI a déclaré que « l’attaque sophistiquée » avait eu lieu le 16 décembre 2022 et que le logiciel malveillant n’avait pas été détecté par son logiciel antivirus.

« Le logiciel malveillant a pu exécuter le vol de cookies de session, leur permettant de se faire passer pour l’employé ciblé dans un emplacement distant, puis d’augmenter l’accès à un sous-ensemble de nos systèmes de production », a déclaré Rob Zuber, directeur de la technologie de CircleCI, m’a dit dans un rapport d’incident.

Une analyse plus approfondie de la faille de sécurité a révélé que le tiers non autorisé avait volé des données d’un sous-ensemble de ses bases de données en abusant des autorisations élevées accordées à l’employé ciblé. Cela comprenait les variables d’environnement client, les jetons et les clés.

Publicité

On pense que l’acteur menaçant s’est engagé dans une activité de reconnaissance le 19 décembre 2022, suivie d’une étape d’exfiltration de données le 22 décembre 2022.

« Bien que toutes les données exfiltrées aient été cryptées au repos, le tiers a extrait les clés de cryptage d’un processus en cours, leur permettant d’accéder potentiellement aux données cryptées », a déclaré Zuber.

Le développement intervient un peu plus d’une semaine après que CircleCI a exhorté ses clients à faire pivoter tous leurs secrets, ce qui, selon lui, était nécessaire après avoir été alerté d’une « activité GitHub OAuth suspecte » par l’un de ses clients le 29 décembre 2022.

Après avoir appris que le jeton OAuth du client avait été compromis, il a pris l’initiative de faire tourner tous les jetons GitHub OAuth de manière proactive, a déclaré la société, ajoutant qu’elle travaillait avec Atlassian pour faire tourner tous les jetons Bitbucket, a révoqué les jetons d’API de projet et les jetons d’API personnels, et a informé les clients. des jetons AWS potentiellement concernés.

En plus de limiter l’accès aux environnements de production, CircleCI a déclaré avoir intégré davantage de garde-corps d’authentification pour empêcher tout accès illégitime même si les informations d’identification sont volées.

Il prévoit en outre de lancer une rotation automatique périodique des jetons OAuth pour tous les clients afin de dissuader de telles attaques à l’avenir, tout en introduisant des options permettant aux utilisateurs d' »adopter les fonctionnalités de sécurité les plus récentes et les plus avancées disponibles ».

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentAnnonce d’acquisitions— Yen Press va publier Suzume de Makoto Shinkai
Article suivantLe prince Harry dit à la famille royale: «Soyez clair» et excusez-vous auprès de Meghan | Nouvelles du Royaume-Uni
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici