联邦官员确认正在调查软件代码测试公司Codecov的违规行为

2021年04月18日 21:35 次阅读 稿源:cnBeta.COM 条评论

据路透社报道,联邦官员正在调查软件审计公司Codecov的安全漏洞,该漏洞在被外部利用数月内未被发现。Codecov的平台用于测试软件代码是否存在漏洞,其2.9万名客户包括Atlassian、宝洁公司、GoDaddy和华盛顿邮报。

在该公司网站上的一份声明中,Codecov首席执行官Jerrod Engelberg承认了这一漏洞和正在接受联邦政府调查,称有人在未经公司允许的情况下获得了其Bash Uploader脚本的访问权限并对其进行了修改。

"我们的调查已经确定,从2021年1月31日开始,有定期的,未经授权的第三方修改我们的Bash Uploader脚本,这使得他们有可能导出存储在我们用户的持续集成(CI)环境中的信息,"Engelberg写道。"这些信息随后被发送到Codecov基础设施之外的第三方服务器。"

根据Engelberg的帖子,该工具的修改版本可能会影响到:

我们的客户通过他们的CI运行器传递的任何凭证、令牌或密钥,当Bash Uploader脚本被执行时,这些凭证、令牌或密钥可以被访问。

任何服务、数据存储和应用程序代码都可以通过这些凭证、令牌或密钥被访问。

使用Bash Uploaders将覆盖范围上传到CI中的Codecov的仓库的git远程信息(起源仓库的URL)。

虽然该漏洞发生在1月份,但直到4月1日才被发现,当时有客户发现该工具有问题。"在意识到这个问题后,Codecov立即对可能受影响的脚本进行了保护和修复,并开始调查用户可能受到影响的程度,"Engelberg写道。

Codecov不知道是谁展开了此次入侵行动,但已经聘请了一家第三方取证公司帮助其确定用户是如何受到影响,同时向执法部门报告了此事。该公司给受影响的用户发了电子邮件,Codecov没有说出他们的名字。

"我们强烈建议受影响的用户立即重新制作他们所有的凭证、令牌或位于其CI进程中环境变量中的密钥,这些程序使用了Codecov的Bash Uploaders之一,"Engelberg补充道。

虽然Codecov漏洞的广度仍不清楚,但路透社指出,它可能与去年年底的SolarWinds黑客事件产生类似的深远影响。在那次入侵事件中,与俄罗斯政府有关的黑客入侵了SolarWinds的监控和管理软件。据信约有250家实体受到SolarWinds漏洞的影响,包括Nvidia、Cisco和Belkin。美国财政部、商务部、州政府、能源部和国土安全机构也受到了影响。

更新:

Codecov于4月20日向cnBeta回应事态进展,全文如下:

"We are aware of the claims and we are investigating them. At this moment, we have not found any evidence that we have been impacted nor have identified signs of a compromise."

"我们已经了解到这些说法且正在调查。目前,我们还没有发现任何证据表明我们受到了影响,也没有发现妥协的迹象。"

相关文章:

美国联邦调查局正评估代码测试公司Codecov的黑客入侵事件

对文章打分

联邦官员确认正在调查软件代码测试公司Codecov的违规行为

1 (25%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan