CircleCi ha confirmado que un incidente de seguridad reciente que ha estado investigando fue un gran robo de datos impulsado por malware.
La compañía reveló la noticia en una publicación de blog. (se abre en una pestaña nueva) que describió lo que sucedió recientemente, lo que hizo para minimizar el daño y cómo planea mantener a sus usuarios seguros en el futuro.
En el blog, se dijo que un empleado con altos privilegios había infectado su computadora portátil con malware de robo de tokens que les dio a los atacantes las llaves del reino.
Robo de datos durante semanas
Aparentemente, el malware logró ejecutarse en el punto final a pesar de que el dispositivo tenía instalado un programa antivirus. Los atacantes utilizaron la herramienta para obtener tokens de sesión que mantenían al empleado conectado a algunas aplicaciones.
Cuando un usuario inicia sesión en una aplicación, incluso si lo hizo con una contraseña y una herramienta de autenticación multifactor (MFA), algunas aplicaciones eliminan tokens de sesión que permiten a los usuarios permanecer conectados a la aplicación durante períodos prolongados. En otras palabras, al robar tokens de sesión, los atacantes eludieron efectivamente cualquier MFA que la empresa había configurado.
Después de eso, solo se trataba de acceder a los sistemas de producción correctos para comprometer los datos confidenciales.
«Debido a que el empleado objetivo tenía privilegios para generar tokens de acceso de producción como parte de las funciones habituales del empleado, el tercero no autorizado pudo acceder y extraer datos de un subconjunto de bases de datos y almacenes, incluidas las variables de entorno del cliente, tokens y claves». las notas del blog.
Los actores de amenazas se demoraron en la infraestructura de CircleCI durante aproximadamente tres semanas, desde el 16 de diciembre de 2022 hasta el 4 de enero de 2023.
Incluso el hecho de que los datos robados estuvieran cifrados no ayudó mucho, ya que los atacantes también obtuvieron claves de cifrado.
“Alentamos a los clientes que aún no han tomado medidas a que lo hagan para evitar el acceso no autorizado a sistemas y tiendas de terceros”, concluyó el blog.
CircleCi había pedido a sus clientes que rotaran todos y cada uno de los secretos almacenados en sus sistemas. “Estos pueden almacenarse en variables de entorno del proyecto o en contextos”.
Vía: TechCrunch (se abre en una pestaña nueva)