DevOps प्लेटफॉर्म CircleCI ने खुलासा किया कि अज्ञात खतरे वाले अभिनेताओं ने पिछले महीने कंपनी के सिस्टम और डेटा को भंग करने के लिए अपने दो-कारक प्रमाणीकरण-समर्थित क्रेडेंशियल्स को चुराने के लिए एक कर्मचारी के लैपटॉप और लीवरेज मैलवेयर से समझौता किया।
परिष्कृत हमला दिसंबर 2022 के मध्य में हुआ था और इसके एंटीवायरस सॉफ़्टवेयर द्वारा मालवेयर का पता नहीं चलने के कारण सर्कलसीआई के इंजीनियर के लैपटॉप पर मैलवेयर का हमला हुआ।
मैलवेयर सत्र कुकी चोरी को अंजाम देने में सक्षम था जो उन्हें लक्षित कर्मचारी को दूरस्थ स्थान पर रखने और फिर हमारे उत्पादन प्रणालियों के एक सबसेट तक पहुंच बढ़ाने में सक्षम बनाता है।
सुरक्षा चूक के विश्लेषण से पता चला कि अनधिकृत तीसरे पक्ष ने अपने डेटाबेस के एक सबसेट से डेटा चुराया और लक्षित कर्मचारी को दी गई उन्नत अनुमतियों का दुरुपयोग किया। इसमें ग्राहक पर्यावरण चर, टोकन और कुंजियाँ शामिल हैं।
माना जाता है कि धमकी देने वाला अभिनेता 19 दिसंबर 2022 को टोही गतिविधि में लगा हुआ था, इसके बाद 22 दिसंबर 2022 को डेटा एक्सफिल्ट्रेशन कदम उठाया गया।
सप्ताह के बाद विकास थोड़ा अधिक आता है, CircleCI ने अपने ग्राहकों से अपने सभी रहस्यों को घुमाने का आग्रह किया।
बहिष्कृत किए गए सभी डेटा को आराम से एन्क्रिप्ट किया गया था और तृतीय-पक्ष ने चल रही प्रक्रिया से एन्क्रिप्शन कुंजियाँ निकाली थीं जो उन्हें एन्क्रिप्ट किए गए डेटा तक संभावित रूप से पहुँचने में सक्षम बनाती हैं।
यह जानने पर कि ग्राहक के OAuth टोकन से समझौता किया गया है और इसने सक्रिय रूप से सभी GitHub OAuth टोकन को घुमाने का कदम उठाया। इसने एटलसियन के साथ सभी बिटबकेट टोकन को घुमाने के लिए काम किया। इसने प्रोजेक्ट एपीआई टोकन और व्यक्तिगत एपीआई टोकन को रद्द कर दिया और संभावित रूप से प्रभावित एडब्ल्यूएस टोकन के ग्राहकों को अधिसूचित किया।
यह उत्पादन वातावरण तक पहुंच को भी सीमित करता है। इसने क्रेडेंशियल चोरी होने पर भी अवैध पहुंच को रोकने के लिए अधिक प्रमाणीकरण रेलिंग को शामिल किया है।
इसके अलावा यह भविष्य में ऐसे हमलों को रोकने के लिए सभी ग्राहकों के लिए समय-समय पर स्वचालित OAuth टोकन रोटेशन शुरू करने की योजना बना रहा है, साथ ही उपयोगकर्ताओं के लिए "नवीनतम और सबसे उन्नत सुरक्षा सुविधाओं को अपनाने" के विकल्प पेश कर रहा है।