CircleCI heeft meer openheid gegeven over een cyberaanval in december 2022 waarbij klantendata is ontvreemd. Bij de aanval waarbij session tokens werden misbruikt, zijn onder meer encryptiesleutels en andere gegevens van enkele klanten buitgemaakt.
In een uitgebreide blogpost heeft de DevOps-specialist, bij monde van CTO Rob Zuber, meer duidelijkheid gegeven over een inbreuk die in december van het vorige jaar plaatsvond. De cybercriminelen hadden daarbij tot 4 januari van dit jaar toegang tot de gegevens.
Geïnfecteerde laptop
De oorzaak van de inbreuk is een laptop van een medewerker die met malware was geïnfecteerd. Met deze malware, die niet door de antivirussystemen van het bedrijf werden herkend, kregen de cybercriminelen toegang tot de sessietokens waarmee de medewerker toegang bleef krijgen tijdens het gebruik van bepaalde applicaties. Dit ondanks two-factor authenticatie voor de toegang.
De cybercriminelen konden vervolgens dezelfde toegang krijgen tot de applicaties als de getroffen medewerker, zonder in te moeten loggen of de two-factor authenticatie te moeten gebruiken. Meer expliciet ging het om toegang tot een gedeelte van de productiesystemen waarin onder meer klantendata was opgeslagen. Hierdoor was het mogelijk data te stelen uit een subset van databases en opslaglocaties, waaronder variabelen uit klantenomgevingen, tokens en encryptiesleutels.
Tokengegevens veranderen
Volgens CircleCI is het lek in de systemen inmiddels gedicht en zijn verschillende stappen genomen om een herhaling van het incident te voorkomen. Het bedrijf adviseert gebruikers hun wachtwoorden en andere inloggevens te veranderen. Het gaat hierbij vooral om gegevens als persoonlijke en projectgebaseerde API tokens, Bitbucket OAuth- en GitHub OAut-tokens.
1 uur geleden
