CircleCI เปิดเผยรายละเอียดการถูกแฮ็กระบบในช่วงปลายปี 2022 ที่ผ่านมา

CircleCI ระบุว่าตรวจพบความเคลื่อนไหวผิดปกติในช่องทางการล็อกอิน GitHub OAuth ของลูกค้ารายหนึ่ง จึงเริ่มตรวจสอบ และร่วมมือกับ GitHub สลับ OAuth token ของลูกค้าทั้งหมด

หลังการตรวจสอบอย่างละเอียด CircleCI พบว่ามีวิศวกรรายหนึ่งโดนมัลแวร์ในโน้ตบุ๊กของบริษัทมาตั้งแต่วันที่ 16 มิถุนายน ทำให้ผู้บุกรุกสามารถเข้าถึงเซสชันการล็อกอิน (ที่ป้องกันด้วย 2FA) ได้ และส่งผลให้เขาถึงระบบ production ภายในบางส่วนได้สำเร็จ โชคร้ายว่าพนักงานรายนี้มีสิทธิสร้าง token สำหรับเข้าถึงระบบภายในด้วย (ตามตำแหน่งงาน) ทำให้ผู้บุกรุกเข้าถึงข้อมูลบางส่วนของลูกค้า ได้แก่ environment variables, tokens, keys

CircleCI ได้สลับ token/key ที่เกี่ยวข้อง รวมถึงในระบบของพาร์ทเนอร์ได้แก่ AWS, GitHub, Bitbucket แต่ก็ยอมรับว่ามีลูกค้าบางราย (ระบุตัวเลขว่าน้อยกว่า 5 ราย) ได้แจ้งเตือนบริษัทถึงการโจมตีต่อเนื่องไปยังระบบอื่นๆ จากข้อมูลหลุดครั้งนี้แล้ว (fewer than 5 customers have informed us of unauthorized access to third-party systems as a result of this incident.)

บริษัทบอกว่ามั่นใจว่าระบบภายในของตัวเองกลับมาทำงานได้ปกติแล้ว และเพิ่มมาตรการความปลอดภัยอื่นๆ เพื่อไม่ให้เกิดการแฮ็กแบบนี้ขึ้นได้อีก ทั้งระบบแอนตี้ไวรัสที่ตรวจจับเคสแบบนี้ได้เจาะจงมากขึ้น และการป้องกันการขโมยเซสชันด้วย

ที่มา - CircleCI