Eksperci audytów bezpieczeństwa ofiarami hakerów
Agenci federalni w USA badają naruszenie bezpieczeństwa w firmie Codecov, zajmującej się audytem oprogramowania - poinformował Reuters. W swoim oświadczeniu, CEO Codecov Jerrod Engelberg przyznał, że doszło do ataku hakerów, wskazując, że niepowołane osoby uzyskały dostęp do skryptu Bash Uploader i zmodyfikowały go bez zgody firmy. Wśród 29 tys. firm korzystających z usług Codecov są m.in. takie marki jak The Washington Post, GoDaddy, Tile oraz Procter & Gamble Co
Nasze dochodzenie wykazało, że od 31 stycznia 2021 r. miały miejsce okresowe, nieautoryzowane zmiany naszego skryptu Bash Uploader dokonane przez stronę trzecią, co umożliwiło im potencjalnie eksportowanie informacji przechowywanych w środowiskach ciągłej integracji (CI) naszych użytkowników – napisał w oświadczeniu CEO Codecov. - Ta informacja została następnie wysłana na serwer innej firmy poza infrastrukturą Codecov.
Według Codecov, modyfikacje skryptu Bash Uploader mogły potencjalnie wpłynąć m.in. na: wszelkie poświadczenia, tokeny lub klucze do runnera CI, które byłyby dostępne po wykonaniu skryptu Bash Uploader; usługi, magazyny danych i kody aplikacji, do których można uzyskać dostęp za pomocą tych poświadczeń, tokenów lub kluczy; zdalne informacje git (adres URL repozytorium pochodzenia) repozytoriów używających Bash Uploaders do przesłania pokrycia do Codecov w CI.
Zdaniem ekspertów z firmy Check Point, włamanie do Codecov (po niedawnym ataku SolarWinds Sunburst) to kolejny atak na łańcuch dostaw, który ujawnia luki w zabezpieczeniach oraz wyzwania bezpieczeństwa związane z cyklami błyskawicznego wydania, często spotykane podczas tworzenia nowoczesnych aplikacji.
Organizacje muszą mieć świadomość, że korzystanie z publicznych repozytoriów kodu i platform programistycznych, choć jest konieczne, niesie ze sobą nieodłączne ryzyko. W wielu przypadkach aplikacje są opracowywane albo bez odpowiednich kontroli bezpieczeństwa, albo w najlepszym przypadku z zabezpieczeniem włączanym dopiero na końcu cyklu rozwojowego – wyjaśniają specjaliści firmy Check Point.
Ze względu na najlepszą praktykę w zakresie bezpieczeństwa firma Check Point zaleca wszystkim swoim klientom zintegrowanie wykorzystania zautomatyzowanych narzędzi bezpieczeństwa z cyklem rozwoju aplikacji. Dzięki temu bezpieczeństwo staje się płynną i bezproblemową częścią procesu tworzenia oprogramowania oraz zapewnia dokładną identyfikację i naprawę wszelkich luk i zagrożeń.
Czytaj też: Mniej incydentów bezpieczeństwa. Polska w końcu wśród najbezpieczniejszych sieci!
Mat.Pras./KG