A CircleCi, uma empresa de software cujos produtos são populares entre desenvolvedores e engenheiros de software, confirmou que os dados de alguns clientes foram roubados em uma violação de dados no mês passado.
A empresa disse em um post de blog detalhado na sexta-feira que identificou o ponto de acesso inicial do invasor como o laptop de um funcionário comprometido com malware, permitindo o roubo de tokens de sessão usados para manter o funcionário conectado a determinados aplicativos, mesmo que seu acesso estivesse protegido com autenticação de dois fatores.
A empresa assumiu a culpa pelo comprometimento, chamando-o de “falha de sistema”, acrescentando que seu software antivírus falhou em detectar o malware de roubo de token no laptop do funcionário.
Os tokens de sessão permitem que um usuário permaneça conectado sem ter que redigitar sua senha ou reautorizar usando a autenticação de dois fatores a cada vez. Mas um token de sessão roubado permite que um intruso obtenha o mesmo acesso que o titular da conta sem precisar de sua senha ou código de dois fatores. Como tal, pode ser difícil diferenciar entre um token de sessão do proprietário da conta ou um hacker que roubou o token.
A CircleCi disse que o roubo do token da sessão permitiu que os cibercriminosos se passassem pelo funcionário e obtivessem acesso a alguns dos sistemas de produção da empresa, que armazenam dados do cliente.
“Como o funcionário visado tinha privilégios para gerar tokens de acesso de produção como parte das funções regulares do funcionário, o terceiro não autorizado conseguiu acessar e extrair dados de um subconjunto de bancos de dados e armazenamentos, incluindo variáveis de ambiente do cliente, tokens e chaves”, disse Rob Zuber, diretor de tecnologia da empresa. Zuber disse que os invasores tiveram acesso de 16 de dezembro a 4 de janeiro.
Zuber disse que, embora os dados do cliente tenham sido criptografados, os cibercriminosos também obtiveram as chaves de criptografia capazes de descriptografar os dados do cliente. “Incentivamos os clientes que ainda não tomaram providências para evitar o acesso não autorizado a sistemas e lojas de terceiros”, acrescentou Zuber.
Vários clientes já informaram a CircleCi sobre acesso não autorizado a seus sistemas, disse Zuber.
O post-mortem ocorre dias depois que a empresa alertou os clientes a trocar “todo e qualquer segredo” armazenado em sua plataforma, temendo que hackers tivessem roubado o código de seus clientes e outros segredos confidenciais usados para acesso a outros aplicativos e serviços.
Zuber disse que os funcionários da CircleCi que mantêm acesso aos sistemas de produção “adicionaram etapas e controles adicionais de autenticação”, o que deve evitar a repetição de incidentes, provavelmente por meio do uso de chaves de segurança de hardware.
O ponto de acesso inicial – o roubo de token no laptop de um funcionário – tem alguma semelhança com a forma como o gigante gerenciador de senhas LastPass foi hackeado, que também envolveu um intruso visando o dispositivo de um funcionário, embora não se saiba se os dois incidentes estão ligados. O LastPass confirmou em dezembro que os cofres de senhas criptografadas de seus clientes foram roubados em uma violação anterior. O LastPass disse que os invasores inicialmente comprometeram o dispositivo e o acesso à conta de um funcionário, permitindo que eles invadissem o ambiente interno do desenvolvedor do LastPass.
Título atualizado para refletir melhor os dados do cliente que foram obtidos.