CircleCi, una società di software i cui prodotti sono molto apprezzati da sviluppatori e ingegneri informatici, ha confermato che i dati di alcuni clienti sono stati rubati in una violazione di dati avvenuta il mese scorso.

L’azienda ha dichiarato in un dettagliato post sul blog venerdì ha identificato come punto di accesso iniziale dell’intruso il computer portatile di un dipendente che è stato compromesso da un malware, consentendo il furto dei token di sessione utilizzati per mantenere il dipendente connesso a determinate applicazioni, anche se il suo accesso era protetto dall’autenticazione a due fattori.

L’azienda si è assunta la responsabilità della compromissione, definendola un “errore di sistema”, aggiungendo che il suo software antivirus non è riuscito a rilevare il malware che rubava i token sul portatile del dipendente.

I token di sessione consentono all’utente di rimanere connesso senza dover reinserire la password o riautorizzare ogni volta l’autenticazione a due fattori. Ma un token di sessione rubato consente a un intruso di ottenere lo stesso accesso del titolare dell’account senza bisogno della sua password o del codice a due fattori. Per questo motivo, può essere difficile distinguere tra un token di sessione del titolare dell’account e un hacker che lo ha rubato.

CircleCi ha dichiarato che il furto del token di sessione ha permesso ai criminali informatici di impersonare il dipendente e di accedere ad alcuni dei sistemi di produzione dell’azienda, che memorizzano i dati dei clienti.

“Poiché il dipendente preso di mira aveva il privilegio di generare token di accesso alla produzione come parte delle sue normali mansioni, la terza parte non autorizzata è stata in grado di accedere e di esfiltrare i dati da un sottoinsieme di database e archivi, comprese le variabili d’ambiente dei clienti, i token e le chiavi”, ha dichiarato Rob Zuber, Chief Technology Officer dell’azienda. Zuber ha dichiarato che gli intrusi hanno avuto accesso dal 16 dicembre al 4 gennaio.

Zuber ha dichiarato che mentre i dati dei clienti erano criptati, i criminali informatici hanno ottenuto anche le chiavi di crittografia in grado di decifrare i dati dei clienti. “Incoraggiamo i clienti che non hanno ancora preso provvedimenti a farlo per evitare accessi non autorizzati a sistemi e negozi di terzi”, ha aggiunto Zuber.

Diversi clienti hanno già informato CircleCi dell’accesso non autorizzato ai loro sistemi, ha dichiarato Zuber.

L’autopsia arriva pochi giorni dopo che l’azienda aveva avvertito i clienti di ruotare “tutti i segreti” memorizzati nella sua piattaforma, temendo che gli hacker avessero rubato il codice dei suoi clienti e altri segreti sensibili utilizzati per accedere ad altre applicazioni e servizi.

Zuber ha dichiarato che i dipendenti di CircleCi che mantengono l’accesso ai sistemi di produzione “hanno aggiunto ulteriori fasi di autenticazione e controlli”, che dovrebbero impedire il ripetersi dell’incidente, probabilmente attraverso l’uso di chiavi di sicurezza hardware.

Il punto di accesso iniziale – il furto del token sul portatile di un dipendente – ha una certa somiglianza con il modo in cui è stato violato il gigante dei gestori di password LastPass, che ha coinvolto un intruso che ha preso di mira il dispositivo di un dipendente, anche se non è noto se i due incidenti siano collegati. LastPass ha confermato a dicembre che le password criptate dei suoi clienti erano state rubate in una precedente violazione. LastPass ha dichiarato che gli intrusi avevano inizialmente compromesso il dispositivo e l’accesso all’account di un dipendente, consentendo loro di penetrare nell’ambiente interno degli sviluppatori di LastPass.

Aggiornato il titolo per riflettere meglio i dati dei clienti sottratti.

Source link