大數(shù)據(jù)文摘出品

來源：gizmodo

根據(jù)多家外媒報道，日前，一個用于測試代碼的客戶平臺Codecov被曝出存在嚴重的安全漏洞，該公司也已經(jīng)承認了漏洞的存在，并表示，漏洞在此前已經(jīng)存在了幾個月，但始終沒有被發(fā)現(xiàn)。

美國聯(lián)邦調(diào)查人員正在進行相關(guān)調(diào)查。

據(jù)了解，Codecov在世界各地擁有超過29000個客戶，可以想見影響范圍之廣。

根據(jù)路透社報道統(tǒng)計，此次違規(guī)事件已經(jīng)影響了眾多客戶，其中包括Atlassian，Proctor&Gamble，GoDaddy和《華盛頓郵報》。不過公司CEO Jerrod Engelberg發(fā)表的安全更新中，尚沒有明確提及受影響用戶的數(shù)量。

目前，Codecov表示，除了網(wǎng)站上的聲明外，其他一切都不予置評。

聲明鏈接：https://about.codecov.io/security-update/

在該安全更新中，Engelberg寫到，黑客獲得了對公司Bash Uploader腳本的未經(jīng)授權(quán)的訪問，并對其進行了修改，從而使其可以潛在訪問存儲在客戶連續(xù)集成環(huán)境中的任何憑據(jù)、令牌或密鑰以及任何服務(wù)，然后將訪問的數(shù)據(jù)發(fā)送到Codecov外部的第三方服務(wù)器。

Codecov的Bash Uploader也用在三個相關(guān)的上傳器(uploader)中：Github的Codecov-actions，Codecov CircleCl Orb和Codecov Bitrise Step，這些都受到影響。

根據(jù)Codecov最新表示，他們已經(jīng)解決了這個漏洞，系統(tǒng)和服務(wù)已經(jīng)是安全可使用的了，不過目前還無法確定是誰實施了入侵。

“由于Codecov的Docker映像創(chuàng)建過程中出現(xiàn)的錯誤，黑客獲得了訪問權(quán)限，該錯誤使黑客能夠提取修改我們的Bash Uploader腳本所需的憑據(jù)，”Engelberg說，“在意識到這一問題后，Codecov立即保護并修復(fù)了受影響的腳本，并開始調(diào)查對用戶的任何潛在影響”。

該公司補充說，他們已經(jīng)聘請了第三方法證公司來幫助其分析對用戶的影響。同時，也已經(jīng)將此事件報告給了執(zhí)法部門，并正在與他們進行合作。

對該事件進行調(diào)查后，該公司確定黑客于今年1月31日開始對其Bash Uploader腳本進行了定期更改。4月1日，當一名客戶檢測到并報告了Bash Uploader的差異時，Codecov于此時獲悉了該違規(guī)行為。

Codecov表示，它已于4月15日通過電子郵件將受影響的用戶發(fā)送到Github、Gitlab和Bitbucket歸檔的電子郵件，并在受影響的用戶登錄Codecov后啟用了通知橫幅。該公司表示，使用自托管版本的Codecov的客戶不太可能受到影響。

“我們強烈建議受影響的用戶在使用Codecov的Bash Uploaders之一的CI流程中立即重新滾動其位于環(huán)境變量中的所有憑據(jù)、令牌或密鑰。” Engelberg說。

路透社指出，該事件正在與美國政府歸咎于俄羅斯對外情報局的大規(guī)模SolarWinds黑客事件進行比較，原因是它可能對各個組織產(chǎn)生影響，并且由于未發(fā)現(xiàn)攻擊的時間長。重要的是，Codecov的范圍尚不清楚。

Codecov表示，已經(jīng)采取了許多措施來解決安全問題，包括輪換所有相關(guān)的內(nèi)部憑據(jù)、設(shè)置監(jiān)視和審核工具，以確保威脅行為者無法再次修改Bash Uploader，以及與第三者的托管提供商合作。

相關(guān)報道：https://gizmodo.com/u-s-federal-investigators-are-reportedly-looking-into-1846707144

【本文是51CTO專欄機構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文