その製品が開発者やソフトウェア エンジニアに人気のあるソフトウェア会社である CircleCi は、先月のデータ侵害で一部の顧客のデータが盗まれたことを確認しました。
会社 詳細なブログ投稿で述べた 金曜日に、侵入者の最初のアクセス ポイントがマルウェアに感染した従業員のラップトップであることが特定され、2 要素認証でアクセスが保護されていたにもかかわらず、従業員が特定のアプリケーションにログインし続けるために使用されるセッション トークンが盗まれる可能性がありました。
同社は侵害の責任を負い、これを「システム障害」と呼び、ウイルス対策ソフトウェアが従業員のラップトップでトークンを盗むマルウェアを検出できなかったと付け加えました。
セッション トークンを使用すると、ユーザーは毎回パスワードを再入力したり、2 要素認証を使用して再承認したりすることなく、ログイン状態を維持できます。 しかし、盗まれたセッション トークンにより、侵入者は、パスワードや 2 要素コードを必要とせずに、アカウント所有者と同じアクセス権を取得できます。 そのため、アカウント所有者のセッション トークンか、トークンを盗んだハッカーかを区別するのが難しい場合があります。
CircleCi は、セッション トークンの盗難により、サイバー犯罪者が従業員になりすまして、顧客データを保存する会社の生産システムの一部にアクセスできるようになったと述べています。
「標的となった従業員は、従業員の通常の職務の一環として本番アクセス トークンを生成する権限を持っていたため、許可されていない第三者がデータベースやストアのサブセットにアクセスして、顧客の環境変数、トークン、キーなどのデータを盗み出すことができました。」同社の最高技術責任者であるロブ・ズーバーは、次のように述べています。 Zuber 氏によると、侵入者は 12 月 16 日から 1 月 4 日までアクセスできたという。
Zuber 氏によると、顧客データは暗号化されていましたが、サイバー犯罪者は顧客データを復号化できる暗号化キーも取得していました。 「サードパーティのシステムやストアへの不正アクセスを防ぐために、まだ行動を起こしていない顧客に行動を起こすことをお勧めします」と Zuber 氏は付け加えました。
Zuber 氏によると、複数の顧客が、システムへの不正アクセスについて CircleCi にすでに報告しているという。
ハッカーが顧客のソースコードや他のアプリケーションやサービスへのアクセスに使用されるその他の機密情報を盗んだのではないかと恐れて、プラットフォームに保存されている「ありとあらゆる秘密」をローテーションするように同社が顧客に警告した数日後、事後調査が行われました。
Zuber 氏によると、実稼働システムへのアクセスを保持している CircleCi の従業員は、おそらくハードウェア セキュリティ キーを使用することで、インシデントの再発を防ぐ「追加のステップアップ認証手順と制御を追加した」とのことです。
アクセスの最初のポイントである、従業員のラップトップでのトークンの盗用は、パスワード マネージャーの巨人である LastPass がハッキングされた方法と似ています。これには、従業員のデバイスを標的とする侵入者も含まれていましたが、2 つの事件が関連しているかどうかは不明です。 LastPass は 12 月に、顧客の暗号化されたパスワード ボールトが以前の侵害で盗まれたことを確認しました。 LastPass によると、侵入者は当初、従業員のデバイスとアカウントへのアクセスを侵害し、LastPass の内部開発者環境に侵入できたという。