CircleCI confirma violação de dados causada por infostealer 

Da Redação
16/01/2023

A plataforma de integração e entrega contínua (CI/CD) CircleCI confirmou que ter sido alvo de uma violação de dados, ocorrida no dia 4 deste mês, causada por um infostealer — malware que rouba informações —implantado no laptop de um funcionário.

“Soubemos que um hacker utilizou malware implantado no laptop de um engenheiro da CircleCI para roubar uma sessão SSO [logon único] válida baseada em 2FA [autenticação de dois fatores]. Esta máquina foi comprometida em 16 de dezembro de 2022”, escreveu a CircleCI na sexta-feira, 13. 

De acordo com a postagem no blog do diretor de tecnologia da CircleCI, Rob Zuber, o malware não foi detectado pelo programa antivírus CircleCI. “Nossa investigação indica que o malware foi capaz de executar o roubo de cookies de sessão, permitindo que eles personificassem o funcionário visado em um local remoto e, em seguida, aumentassem o acesso a um subconjunto de nossos sistemas de produção”, explicou Zuber.

O executivo acrescentou que, como o funcionário visado tinha privilégios para gerar tokens de acesso de produção, o invasor poderia acessar e roubar dados de um subconjunto de bancos de dados e armazenamentos. “Embora todos os dados exfiltrados tenham sido criptografados em repouso, o terceiro extraiu as chaves de criptografia de um processo em execução, permitindo que eles acessassem potencialmente os dados criptografados”, alertou Zuber.

Veja isso
Brasil é o país mais atacado pelo infostealer NullMixer
FormBook assume liderança como malware predominante

Apesar da violação de dados e da investigação em andamento, o CTO disse que os clientes agora podem voltar a construir com segurança usando a plataforma CircleCI. “Tomamos muitas medidas desde que tomamos conhecimento desse ataque, tanto para fechar o vetor de ataque quanto para adicionar camadas adicionais de segurança.”

Isso inclui a adição de detecção e bloqueio por meio das soluções MDM e A/V da empresa para as técnicas usadas pelo malware.

A CircleCI disse que restringiu o acesso ao ambiente de produção a “um número muito limitado” de funcionários. A empresa também informou que implementou medidas de segurança adicionais. “Para os funcionários que mantêm o acesso à produção, adicionamos etapas e controles de autenticação adicionais.”

Zuber concluiu que não há como a empresa saber se segredos específicos foram usados para acesso não autorizado a sistemas de terceiros. “Se você armazenou segredos em nossa plataforma durante esse período, suponha que eles foram acessados e siga as etapas de mitigação recomendadas.”A postagem do blog ocorre cerca de dois meses depois que uma violação de dados afetou o Dropbox com agentes de ameaças se passando por funcionários da CircleCI.

Compartilhar: