CircleCI dice que los piratas informáticos robaron claves de cifrado y secretos de clientes – TechCrunch

CircleCi, una empresa de software cuyos productos son populares entre los desarrolladores e ingenieros de software, ha confirmado que algunos de los datos de sus clientes han sido robados. Filtración de datos el mes pasado

Compañía: dijo en una publicación de blog detallada el viernes, identificó el punto de entrada inicial del intruso como la computadora portátil de un empleado comprometida por malware que le permitió robar los tokens de sesión utilizados para almacenar aplicaciones específicas para que el empleado inicie sesión, a pesar de que su acceso estaba protegido por autenticación de dos factores .

La compañía asumió la culpa por el compromiso, calificándolo de «falla del sistema», y agregó que su software antivirus no pudo detectar el malware de robo de tokens en la computadora portátil de un empleado.

Los tokens de sesión permiten que un usuario permanezca conectado sin tener que volver a ingresar su contraseña cada vez o ser autorizado de nuevo mediante la autenticación de dos factores. Pero un token de sesión robado permite que un intruso obtenga el mismo acceso que el propietario de la cuenta sin necesidad de su contraseña o código de dos factores. Como tal, puede ser difícil distinguir entre el token de sesión del propietario de una cuenta y un pirata informático que ha robado el token.

CircleCi dijo que el robo de tokens de sesión permitió a los ciberdelincuentes hacerse pasar por empleados y obtener acceso a algunos de los sistemas de producción de la empresa que almacenan datos de clientes.

«Debido a que el empleado objetivo tenía privilegios para crear tokens de acceso de producción como parte de las funciones habituales del empleado, un tercero no autorizado pudo acceder y exportar datos de un subconjunto de bases de datos y tiendas, incluidas las variables de entorno del cliente, tokens y claves». dijo Rob Zuber, director de tecnología de la compañía. Zuber dijo que los intrusos ingresaron entre el 16 de diciembre y el 4 de enero.

Si bien los datos de los clientes estaban encriptados, los ciberdelincuentes también obtuvieron claves de encriptación que podían desencriptar los datos de los clientes, dijo Zuber. «Alentamos a los clientes que aún no han tomado medidas a que lo hagan para evitar el acceso no autorizado a sistemas y tiendas de terceros», agregó Zuber.

Varios clientes ya han notificado a CircleCi sobre el acceso no autorizado a sus sistemas, dijo Zuber.

La autopsia llega días después de que la empresa advirtió a los clientes que entregaran «todos y cada uno de los secretos» se mantiene en su plataforma por temor a que los piratas informáticos hayan robado su código de cliente y otros secretos confidenciales utilizados para acceder a otras aplicaciones y servicios.

Zuber dijo que los empleados de CircleCi con acceso a los sistemas de producción «agregaron pasos y controles de autenticación adicionales» que deberían evitar que se repita el incidente, probablemente en el futuro. uso de claves de seguridad de hardware.

El punto de entrada inicial, el robo de un token de la computadora portátil de un empleado, tiene cierto parecido con el hackeo del gigante del administrador de contraseñas LastPass, que también involucró al objetivo del atacante, el dispositivo de un empleado, aunque no se sabe si los dos incidentes están relacionados. . LastPass confirmó en diciembre que su bóvedas de contraseñas de clientes cifradas robado por infracciones anteriores. LastPass dijo que los atacantes estaban inicialmente comprometidos dispositivo del empleado y acceso a la cuentapermitiéndoles entrar en el backend de los desarrolladores de LastPass.

Encabezado actualizado para reflejar mejor los datos recuperados por el cliente.