CircleCi, ein Softwareunternehmen, dessen Produkte bei Entwicklern und Softwareingenieuren beliebt sind, bestätigte, dass im vergangenen Monat die Daten einiger Kunden bei einer Datenpanne gestohlen wurden.
Das Unternehmen sagte in einem ausführlichen Blogbeitrag am Freitag, dass es den ersten Zugangspunkt des Eindringlings als den Laptop eines Mitarbeiters identifizierte, der mit Malware kompromittiert war, was den Diebstahl von Sitzungstoken ermöglichte, mit denen der Mitarbeiter bei bestimmten Anwendungen angemeldet blieb, obwohl sein Zugriff durch Zwei-Faktor-Authentifizierung geschützt war.
Das Unternehmen übernahm die Schuld an der Kompromittierung und nannte es einen „Systemfehler“ und fügte hinzu, dass seine Antivirensoftware die tokenstehlende Malware auf dem Laptop des Mitarbeiters nicht erkannt habe.
Sitzungstoken ermöglichen es einem Benutzer, angemeldet zu bleiben, ohne jedes Mal sein Passwort erneut eingeben oder sich mithilfe der Zwei-Faktor-Authentifizierung erneut autorisieren zu müssen. Ein gestohlenes Sitzungstoken ermöglicht es einem Eindringling jedoch, denselben Zugriff wie der Kontoinhaber zu erlangen, ohne sein Passwort oder seinen Zwei-Faktor-Code zu benötigen. Daher kann es schwierig sein, zwischen einem Sitzungstoken des Kontoinhabers und einem Hacker, der das Token gestohlen hat, zu unterscheiden.
Laut CircleCi ermöglichte der Diebstahl des Sitzungstokens den Cyberkriminellen, sich als Mitarbeiter auszugeben und Zugang zu einigen Produktionssystemen des Unternehmens zu erhalten, in denen Kundendaten gespeichert sind.
„Da der betroffene Mitarbeiter im Rahmen seiner regulären Aufgaben berechtigt war, Produktionszugriffstoken zu generieren, konnte der unbefugte Dritte auf Daten aus einer Teilmenge von Datenbanken und Speichern zugreifen und diese exfiltrieren, einschließlich Kundenumgebungsvariablen, Token und Schlüssel.“ sagte Rob Zuber, Chief Technology Officer des Unternehmens. Zuber sagte, die Eindringlinge hätten vom 16. Dezember bis zum 4. Januar Zugang gehabt.
Zuber sagte, dass, während Kundendaten verschlüsselt wurden, die Cyberkriminellen auch die Verschlüsselungsschlüssel erlangten, mit denen Kundendaten entschlüsselt werden konnten. „Wir ermutigen Kunden, die noch Maßnahmen ergreifen müssen, dies zu tun, um den unbefugten Zugriff auf Systeme und Stores von Drittanbietern zu verhindern“, fügte Zuber hinzu.
Mehrere Kunden haben CircleCi bereits über unbefugten Zugriff auf ihre Systeme informiert, sagte Zuber.
Die Obduktion erfolgt Tage, nachdem das Unternehmen Kunden gewarnt hat, „alle auf seiner Plattform gespeicherten Geheimnisse“ zu rotieren, da es befürchtet, dass Hacker den Quellcode seiner Kunden und andere sensible Geheimnisse gestohlen haben, die für den Zugriff auf andere Anwendungen und Dienste verwendet werden.
Zuber sagte, dass CircleCi-Mitarbeiter, die den Zugriff auf Produktionssysteme behalten, „zusätzliche Step-up-Authentifizierungsschritte und -kontrollen hinzugefügt haben“, die einen wiederholten Vorfall verhindern sollten, wahrscheinlich durch die Verwendung von Hardware-Sicherheitsschlüsseln.
Der erste Zugangspunkt – der Token-Diebstahl auf dem Laptop eines Mitarbeiters – hat eine gewisse Ähnlichkeit mit dem Hack des Passwort-Manager-Giganten LastPass, bei dem auch ein Eindringling auf das Gerät eines Mitarbeiters abzielte, obwohl nicht bekannt ist, ob die beiden Vorfälle miteinander verbunden sind. LastPass bestätigte im Dezember, dass die verschlüsselten Passwort-Tresore seiner Kunden bei einem früheren Angriff gestohlen wurden. LastPass sagte, die Eindringlinge hätten zunächst das Gerät und den Kontozugriff eines Mitarbeiters kompromittiert und ihm so ermöglicht, in die interne Entwicklungsumgebung von LastPass einzudringen.