大數(shù)據(jù)文摘出品

來(lái)源：gizmodo

根據(jù)多家外媒報(bào)道，日前，一個(gè)用于測(cè)試代碼的客戶平臺(tái)Codecov被曝出存在嚴(yán)重的安全漏洞，該公司也已經(jīng)承認(rèn)了漏洞的存在，并表示，漏洞在此前已經(jīng)存在了幾個(gè)月，但始終沒(méi)有被發(fā)現(xiàn)。

美國(guó)聯(lián)邦調(diào)查人員正在進(jìn)行相關(guān)調(diào)查。

據(jù)了解，Codecov在世界各地?fù)碛谐^(guò)29000個(gè)客戶，可以想見(jiàn)影響范圍之廣。

根據(jù)路透社報(bào)道統(tǒng)計(jì)，此次違規(guī)事件已經(jīng)影響了眾多客戶，其中包括Atlassian，Proctor&Gamble，GoDaddy和《華盛頓郵報(bào)》。不過(guò)公司CEO Jerrod Engelberg發(fā)表的安全更新中，尚沒(méi)有明確提及受影響用戶的數(shù)量。

目前，Codecov表示，除了網(wǎng)站上的聲明外，其他一切都不予置評(píng)。

聲明鏈接：https://about.codecov.io/security-update/

在該安全更新中，Engelberg寫到，黑客獲得了對(duì)公司Bash Uploader腳本的未經(jīng)授權(quán)的訪問(wèn)，并對(duì)其進(jìn)行了修改，從而使其可以潛在訪問(wèn)存儲(chǔ)在客戶連續(xù)集成環(huán)境中的任何憑據(jù)、令牌或密鑰以及任何服務(wù)，然后將訪問(wèn)的數(shù)據(jù)發(fā)送到Codecov外部的第三方服務(wù)器。

Codecov的Bash Uploader也用在三個(gè)相關(guān)的上傳器(uploader)中：Github的Codecov-actions，Codecov CircleCl Orb和Codecov Bitrise Step，這些都受到影響。

根據(jù)Codecov最新表示，他們已經(jīng)解決了這個(gè)漏洞，系統(tǒng)和服務(wù)已經(jīng)是安全可使用的了，不過(guò)目前還無(wú)法確定是誰(shuí)實(shí)施了入侵。

“由于Codecov的Docker映像創(chuàng)建過(guò)程中出現(xiàn)的錯(cuò)誤，黑客獲得了訪問(wèn)權(quán)限，該錯(cuò)誤使黑客能夠提取修改我們的Bash Uploader腳本所需的憑據(jù)，”Engelberg說(shuō)，“在意識(shí)到這一問(wèn)題后，Codecov立即保護(hù)并修復(fù)了受影響的腳本，并開(kāi)始調(diào)查對(duì)用戶的任何潛在影響”。

該公司補(bǔ)充說(shuō)，他們已經(jīng)聘請(qǐng)了第三方法證公司來(lái)幫助其分析對(duì)用戶的影響。同時(shí)，也已經(jīng)將此事件報(bào)告給了執(zhí)法部門，并正在與他們進(jìn)行合作。

對(duì)該事件進(jìn)行調(diào)查后，該公司確定黑客于今年1月31日開(kāi)始對(duì)其Bash Uploader腳本進(jìn)行了定期更改。4月1日，當(dāng)一名客戶檢測(cè)到并報(bào)告了Bash Uploader的差異時(shí)，Codecov于此時(shí)獲悉了該違規(guī)行為。

Codecov表示，它已于4月15日通過(guò)電子郵件將受影響的用戶發(fā)送到Github、Gitlab和Bitbucket歸檔的電子郵件，并在受影響的用戶登錄Codecov后啟用了通知橫幅。該公司表示，使用自托管版本的Codecov的客戶不太可能受到影響。

“我們強(qiáng)烈建議受影響的用戶在使用Codecov的Bash Uploaders之一的CI流程中立即重新滾動(dòng)其位于環(huán)境變量中的所有憑據(jù)、令牌或密鑰。” Engelberg說(shuō)。

路透社指出，該事件正在與美國(guó)政府歸咎于俄羅斯對(duì)外情報(bào)局的大規(guī)模SolarWinds黑客事件進(jìn)行比較，原因是它可能對(duì)各個(gè)組織產(chǎn)生影響，并且由于未發(fā)現(xiàn)攻擊的時(shí)間長(zhǎng)。重要的是，Codecov的范圍尚不清楚。

Codecov表示，已經(jīng)采取了許多措施來(lái)解決安全問(wèn)題，包括輪換所有相關(guān)的內(nèi)部憑據(jù)、設(shè)置監(jiān)視和審核工具，以確保威脅行為者無(wú)法再次修改Bash Uploader，以及與第三者的托管提供商合作。

相關(guān)報(bào)道：https://gizmodo.com/u-s-federal-investigators-are-reportedly-looking-into-1846707144

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號(hào)“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文