Ürünleri geliştiriciler ve yazılım mühendisleri arasında popüler olan yazılım şirketi CircleCI, geçen ay yaşanan bir veri ihlalinde bazı müşterilerin verilerinin çalındığını doğruladı.
Şirket, cuma günü yayımladığı ayrıntılı bir blog yazısında, saldırganın ilk erişim noktasının kötü amaçlı yazılımla ele geçirilmiş bir çalışanın dizüstü bilgisayarı olduğunu ve erişimleri iki faktörlü kimlik doğrulama ile korunmasına rağmen çalışanın belirli uygulamalarda oturum açmasını sağlamak için kullanılan oturum belirteçlerinin çalınmasına izin verdiğini tespit ettiğini söyledi.
Şirket bu tehlikeyi bir “sistem hatası” olarak nitelendirerek suçu üstlendi ve antivirüs yazılımının çalışanın dizüstü bilgisayarındaki token çalan kötü amaçlı yazılımı tespit edemediğini ekledi. Oturum belirteçleri, bir kullanıcının her seferinde şifresini yeniden girmesine ya da iki faktörlü kimlik doğrulama kullanarak yeniden yetkilendirmesine gerek kalmadan oturumunu açık tutmasını sağlasa da çalınan bir oturum belirteci, bir saldırganın parola veya iki faktörlü koda ihtiyaç duymadan hesap sahibiyle aynı erişimi elde etmesine imkan tanıyor. Bu nedenle, hesap sahibine ait bir oturum belirteci ile belirteci çalan bir bilgisayar korsanı arasında ayrım yapmak zor olabilir.
CircleCI, oturum belirtecinin çalınmasının siber suçluların çalışanın kimliğine bürünmesine ve şirketin müşteri verilerini depolayan bazı üretim sistemlerine erişim sağlamasına olanak tanıdığını söyledi.
Şirketin baş teknoloji sorumlusu Rob Zuber, “Hedeflenen çalışan, çalışanın normal görevlerinin bir parçası olarak üretim erişim belirteçleri oluşturma ayrıcalıklarına sahip olduğundan, yetkisiz üçüncü taraf; müşteri ortam değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir dizi veri tabanı ve depodan verilere erişebildi ve bunları dışarı sızdırabildi.” dedi. Zuber, davetsiz misafirlerin 16 Aralık’tan 4 Ocak’a kadar erişime sahip olduklarını söyledi.
Zuber, müşteri verileri şifrelenirken siber suçluların müşteri verilerinin şifresini çözebilecek şifreleme anahtarlarını da elde ettiklerini söyledi ve ekledi:
“Üçüncü taraf sistemlerine ve mağazalarına yetkisiz erişimi önlemek için henüz harekete geçmemiş olan müşterileri bunu yapmaya teşvik ediyoruz.”
Zuber, çok sayıda müşterinin CircleCI’yi sistemlerine yetkisiz erişim konusunda bilgilendirdiğini söyledi. Post-mortem; şirketin, bilgisayar korsanlarının müşterilerinin kodlarını, diğer uygulama ve hizmetlere erişim için kullanılan diğer hassas sırları çalmasından korkarak müşterilerini platformunda depolanan “her türlü sırrı” döndürmeleri konusunda uyarmasından günler sonra geldi. Zuber, üretim sistemlerine erişimi elinde bulunduran CircleCI çalışanlarının, muhtemelen donanım güvenlik anahtarlarını kullanarak tekrarlanan bir olayı önleyecek “ek adım adım kimlik doğrulama adımları ve kontrolleri eklediğini” söyledi.
İlk erişim noktası (bir çalışanın dizüstü bilgisayarından token çalınması), şifre yöneticisi devi LastPass’in hacklenmesiyle benzerlik gösteriyor. Bu da bir çalışanın cihazını hedef alan bir saldırganı içeriyor ancak iki olayın bağlantılı olup olmadığı bilinmiyor. LastPass, aralık ayında müşterilerinin şifrelenmiş parola kasalarının daha önceki bir ihlalde çalındığını doğrulamıştı. LastPass, davetsiz misafirlerin başlangıçta bir çalışanın cihazını ve hesap erişimini tehlikeye attığını ve LastPass’in dahili geliştirici ortamına girmelerine izin verdiğini söyledi.
Derleyen: Hatice Bulut
