大数据文摘来源:gizmodo据多家外媒报道,代码测试客户端平台Codecov被曝存在严重安全漏洞,该公司还承认了漏洞的存在,并表示该漏洞之前已经存在了好几个月,只是一直没有被发现。美国联邦调查人员正在调查。据了解,Codecov在全球拥有超过29000家客户,可想而知其影响力之广。据路透社报道的统计数据显示,该漏洞已影响到众多客户,包括Atlassian、宝洁、GoDaddy和《华盛顿邮报》。不过,在该公司CEO杰罗德·英格伯格发布的安全更新中,尚未明确提及受影响的用户数量。目前,Codecov表示除了在其网站上发表声明外,不会对任何内容发表评论。声明链接:https://about.codecov.io/security-update/在安全更新中,Engelberg写道,黑客获得了对该公司BashUploader脚本的未授权访问权限,并将其修改为它可以潜在地访问任何凭证、令牌或密钥,并且存储在客户持续集成环境中的任何服务,然后将访问的数据发送到Codecov外部的第三方服务器。Codecov的BashUploader也用在三个相关的上传器中:Github的Codecov-actions、CodecovCircleClOrb和CodecovBitriseStep,它们都受到了影响。根据Codecov最新的说法,他们已经解决了这个漏洞,系统和服务是安全可用的,但是目前还不能确定是谁实施了入侵。Engelberg说:“由于Codecov的Docker图像创建过程中的一个错误,黑客获得了访问权限,该错误允许黑客提取修改我们的Bash上传器脚本所需的凭据。”“在意识到这个问题后,受Codecov影响的脚本立即得到保护和修复,并且已经开始调查对用户的任何潜在影响。”该公司补充说,他们已经聘请了第三方取证公司来帮助其分析对用户的影响。与此同时,该事件已报告给执法部门,并正在与他们合作。在对事件进行调查后,该公司确定黑客从今年1月31日开始对其BashUploader脚本进行定期更改。Codecov在4月1日获悉了这一漏洞,当时一位客户检测并报告了Bash上传器中的差异。Codecov表示,它在4月15日通过电子邮件将受影响的用户发送到Github、Gitlab和Bitbucket存档电子邮件,并在受影响的用户登录Codecov后启用了通知横幅。该公司表示,使用自托管版本的Codecov的客户不太可能受到影响。“我们强烈建议受影响的用户在使用Codecov的Bash上传器之一的CI过程中立即重新滚动他们在环境变量中找到的任何凭证、令牌或密钥,”Engelberg说。路透社指出,该事件被比作大规模的SolarWinds黑客攻击,美国政府将其归咎于俄罗斯的外国情报局,因为它可能对各种组织产生影响,而且攻击未被发现的时间很长。重要的是,Codecov的范围尚不清楚。Codecov表示已采取多项措施解决安全问题,包括轮换所有相关内部凭证、设置监控和审计工具以确保威胁行为者无法再次修改Bash上传器,以及与第三方托管提供商合作。相关报道:https://gizmodo.com/u-s-federal-investigators-are-reportedly-looking-into-1846707144【本文为专栏组织大数据文摘原创翻译,微信公众号《大数据文摘》(id:BigDataDigest))”]点此查看该作者更多好文
