美国测试代码平台被曝出存喺安全漏洞，公司：尚未确定黑客身份

转载：本文来自微信公众号“大数据文摘”（ID:BigDataDigest），转载经授权发布。

根据多家外媒报道，日前，一个用于测试代码嘅客户平台Codecov被曝出存喺严重嘅安全漏洞，该公司也已经承认‌漏洞嘅存喺，并表示，漏洞喺之前已经存喺‌几个月，但始终没有被发现。

美国联邦调查人员正喺度进行相关调查。

据认识，Codecov喺世界各地拥有超过29000个客户，可以想见影响范围之广。

根据路透社报道统计，呢次违规事件已经影响‌众多客户，其中包括Atlassian，Proctor＆Gamble，GoDaddy和《华盛顿邮报》。唔过公司CEO Jerrod Engelberg发表嘅安全更新度，尚没有明确提及受影响用户嘅数量。

目前，Codecov表示，除咗网站上嘅声明外，第啲一切都唔予置评。

声明链接：

链接

喺该安全更新度，Engelberg写到，黑客获得‌对公司Bash Uploader脚本嘅未经授权嘅访问，并对其进行‌修改，从而使其可以潜喺访问存储喺客户连续集成环境中嘅任何凭据、令牌或密钥以及任何服务，然后将访问嘅数据发送到Codecov外部嘅第三方服务器。

Codecov嘅Bash Uploader也用喺三个相关嘅上传器（uploader）中：Github嘅Codecov-actions，Codecov CircleCl Orb和Codecov Bitrise Step，呢啲都受到影响。

根据Codecov最新表示，佢哋已经解决‌呢个漏洞，系统和服务已经是安全可使用嘅嘎啦，唔过目前还无办法确定是谁实施‌入侵。

“由于Codecov嘅Docker映像创建过程中出现嘅错误，黑客获得‌访问权限，该错误使黑客能够提取修改我哋嘅Bash Uploader脚本所需嘅凭据，”Engelberg说，“喺意识到呢一问题后，Codecov立即保护并修复‌受影响嘅脚本，并开始调查对用户嘅任何潜喺影响”。

该公司补充说，佢哋已经聘请‌第三方法证公司来帮助其分析对用户嘅影响。同时，也已经将此事件报告畀‌执法部门，并正喺度同佢哋进行合作。

对该事件进行调查后，该公司确定黑客于今年1月31日开始对其Bash Uploader脚本进行‌定期更改。4月1日，当一个客户检测到并报告‌Bash Uploader嘅差异时，Codecov于此时获悉‌该违规行为。

Codecov表示，佢已经喺4月15日通过电子邮件将受影响嘅用户发送到Github、Gitlab和Bitbucket归档嘅电子邮件，并喺受影响嘅用户登录Codecov后启用‌通知横幅。该公司表示，使用自托管版本嘅Codecov嘅客户唔系几可能受到影响。

“我哋强烈建议受影响嘅用户喺使用Codecov嘅Bash Uploaders之一嘅CI流程中立即重新滚动其位于环境变量中嘅所有凭据、令牌或密钥。” Engelberg说。

路透社指出，该事件正喺度同美国政府归咎于俄罗斯对外情报局嘅大规模SolarWinds黑客事件进行比较，原因是佢可能对各个组织产生影响，并且由于未发现攻击嘅时间长。重要嘅系，Codecov嘅范围尚唔清楚。

Codecov表示，已经采取‌好多措施来解决安全问题，包括轮换所有相关嘅内部凭据、设置监视和审核工具，以确保威胁行为者无办法再次修改Bash Uploader，以及同第三者嘅托管提供商合作。

相关报道：

链接