Ana SayfaDijital GüvenlikCircleCI, Hacker Saldırısına Uğradığını Açıkladı

CircleCI, Hacker Saldırısına Uğradığını Açıkladı

Yayımlandı:

- Bu Alana Reklam Vermek İçin: bilgi@dijitaliyidir.comspot_img

Ürünleri geliştiriciler ve yazılım mühendisleri arasında popüler olan yazılım şirketi CircleCI, geçen ay yaşanan bir veri ihlalinde bazı müşterilerin verilerinin çalındığını doğruladı.

Şirket, cuma günü yayımladığı ayrıntılı bir blog yazısında, saldırganın ilk erişim noktasının kötü amaçlı yazılımla ele geçirilmiş bir çalışanın dizüstü bilgisayarı olduğunu ve erişimleri iki faktörlü kimlik doğrulama ile korunmasına rağmen çalışanın belirli uygulamalarda oturum açmasını sağlamak için kullanılan oturum belirteçlerinin çalınmasına izin verdiğini tespit ettiğini söyledi.

Şirket bu tehlikeyi bir “sistem hatası” olarak nitelendirerek suçu üstlendi ve antivirüs yazılımının çalışanın dizüstü bilgisayarındaki token çalan kötü amaçlı yazılımı tespit edemediğini ekledi. Oturum belirteçleri, bir kullanıcının her seferinde şifresini yeniden girmesine ya da iki faktörlü kimlik doğrulama kullanarak yeniden yetkilendirmesine gerek kalmadan oturumunu açık tutmasını sağlasa da çalınan bir oturum belirteci, bir saldırganın parola veya iki faktörlü koda ihtiyaç duymadan hesap sahibiyle aynı erişimi elde etmesine imkan tanıyor. Bu nedenle, hesap sahibine ait bir oturum belirteci ile belirteci çalan bir bilgisayar korsanı arasında ayrım yapmak zor olabilir.

CircleCI, oturum belirtecinin çalınmasının siber suçluların çalışanın kimliğine bürünmesine ve şirketin müşteri verilerini depolayan bazı üretim sistemlerine erişim sağlamasına olanak tanıdığını söyledi.

Şirketin baş teknoloji sorumlusu Rob Zuber, “Hedeflenen çalışan, çalışanın normal görevlerinin bir parçası olarak üretim erişim belirteçleri oluşturma ayrıcalıklarına sahip olduğundan, yetkisiz üçüncü taraf; müşteri ortam değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir dizi veri tabanı ve depodan verilere erişebildi ve bunları dışarı sızdırabildi.” dedi. Zuber, davetsiz misafirlerin 16 Aralık’tan 4 Ocak’a kadar erişime sahip olduklarını söyledi.

Zuber, müşteri verileri şifrelenirken siber suçluların müşteri verilerinin şifresini çözebilecek şifreleme anahtarlarını da elde ettiklerini söyledi ve ekledi:

 “Üçüncü taraf sistemlerine ve mağazalarına yetkisiz erişimi önlemek için henüz harekete geçmemiş olan müşterileri bunu yapmaya teşvik ediyoruz.”

Zuber, çok sayıda müşterinin CircleCI’yi sistemlerine yetkisiz erişim konusunda bilgilendirdiğini söyledi. Post-mortem; şirketin, bilgisayar korsanlarının müşterilerinin kodlarını, diğer uygulama ve hizmetlere erişim için kullanılan diğer hassas sırları çalmasından korkarak müşterilerini platformunda depolanan “her türlü sırrı” döndürmeleri konusunda uyarmasından günler sonra geldi. Zuber, üretim sistemlerine erişimi elinde bulunduran CircleCI çalışanlarının, muhtemelen donanım güvenlik anahtarlarını kullanarak tekrarlanan bir olayı önleyecek “ek adım adım kimlik doğrulama adımları ve kontrolleri eklediğini” söyledi.

İlk erişim noktası (bir çalışanın dizüstü bilgisayarından token çalınması), şifre yöneticisi devi LastPass’in hacklenmesiyle benzerlik gösteriyor. Bu da bir çalışanın cihazını hedef alan bir saldırganı içeriyor ancak iki olayın bağlantılı olup olmadığı bilinmiyor. LastPass, aralık ayında müşterilerinin şifrelenmiş parola kasalarının daha önceki bir ihlalde çalındığını doğrulamıştı. LastPass, davetsiz misafirlerin başlangıçta bir çalışanın cihazını ve hesap erişimini tehlikeye attığını ve LastPass’in dahili geliştirici ortamına girmelerine izin verdiğini söyledi.

Derleyen: Hatice Bulut

Günde sadece 1 TL'ye abone olarak tüm içeriklerimize sınırsız erişebilir ve bağımsız haberciliğe destek olabilirsiniz! Hemen Abone Ol

Son Eklenenler

Matematik Dehasından “Vibe Coding” Dersi: Tao, 27 Yıllık Kodlarını Yapay Zekâyla Diriltti

Fields Madalyalı Terence Tao, 1999'da yazdığı 24 uygulamayı yapay zekâyla birkaç saatte diriltti — ajan, orijinal koddaki iki hatayı da buldu. Tao'nun notu dersin özeti: "Görsel araca evet, kritik işe hayır."

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.

Grok Kodlama Aracı Hakkında Çarpıcı Analiz: “Gizlilik Anahtarı Kapalıyken Bile Depoyu Buluta Yüklüyor”

Bağımsız ağ analizi: Grok Build CLI, her oturumda 12 GB'lık depodan 5,1 GB veriyi buluta yüklüyor — model trafiği yalnızca 192 KB. Tuzak API anahtarı trafikte aynen görüldü, gizlilik anahtarı işe yaramıyor.

Buna benzer diğer içerikler

Matematik Dehasından “Vibe Coding” Dersi: Tao, 27 Yıllık Kodlarını Yapay Zekâyla Diriltti

Fields Madalyalı Terence Tao, 1999'da yazdığı 24 uygulamayı yapay zekâyla birkaç saatte diriltti — ajan, orijinal koddaki iki hatayı da buldu. Tao'nun notu dersin özeti: "Görsel araca evet, kritik işe hayır."

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.