par CircleCi, une société de logiciels dont les produits sont populaires auprès des développeurs et des ingénieurs logiciels, a confirmé que les données de certains clients avaient été volées lors d’une violation de données le mois dernier.
La société a déclaré vendredi dans un article de blog détaillé qu’elle avait identifié le point d’accès initial de l’intrus comme l’ordinateur portable d’un employé compromis par des logiciels malveillants, permettant le vol de jetons de session utilisés pour garder l’employé connecté à certaines applications, même si leur accès était protégé par une authentification à deux facteurs.
L’entreprise a pris la responsabilité de la compromission, la qualifiant de “défaillance du système”, ajoutant que son logiciel antivirus n’a pas réussi à détecter le logiciel malveillant voleur de jetons sur l’ordinateur portable de l’employé.
Les jetons de session permettent à un utilisateur de rester connecté sans avoir à ressaisir son mot de passe ou à se réautoriser à chaque fois en utilisant une authentification à deux facteurs. Mais un jeton de session volé permet à un intrus d’obtenir le même accès que le titulaire du compte sans avoir besoin de son mot de passe ou de son code à deux facteurs. En tant que tel, il peut être difficile de faire la différence entre un jeton de session du propriétaire du compte ou un pirate qui a volé le jeton.
CircleCi a déclaré que le vol du jeton de session a permis aux cybercriminels de se faire passer pour l’employé et d’accéder à certains des systèmes de production de l’entreprise, qui stockent les données des clients.
“Parce que l’employé ciblé avait des privilèges pour générer des jetons d’accès à la production dans le cadre de ses tâches régulières, le tiers non autorisé a pu accéder et exfiltrer des données à partir d’un sous-ensemble de bases de données et de magasins, y compris des variables d’environnement client, des jetons et des clés.” a déclaré Rob Zuber, directeur de la technologie de l’entreprise. Zuber a déclaré que les intrus avaient accès du 16 décembre au 4 janvier.
Zuber a déclaré que si les données des clients étaient cryptées, les cybercriminels ont également obtenu les clés de cryptage capables de décrypter les données des clients. “Nous encourageons les clients qui n’ont pas encore pris de mesures à le faire afin d’empêcher tout accès non autorisé aux systèmes et magasins tiers”, a ajouté Zuber.
Plusieurs clients ont déjà informé CircleCi d’un accès non autorisé à leurs systèmes, a déclaré Zuber.
L’autopsie intervient quelques jours après que l’entreprise a averti ses clients de faire pivoter “tous les secrets” stockés sur sa plate-forme, craignant que des pirates n’aient volé le code source de ses clients et d’autres secrets sensibles utilisés pour accéder à d’autres applications et services.
Zuber a déclaré que les employés de CircleCi qui conservent l’accès aux systèmes de production “ont ajouté des étapes et des contrôles d’authentification supplémentaires”, ce qui devrait empêcher un incident répété, probablement en utilisant des clés de sécurité matérielles.
Le point d’accès initial – le vol de jetons sur l’ordinateur portable d’un employé – ressemble un peu à la façon dont le géant du gestionnaire de mots de passe LastPass a été piraté, ce qui impliquait également un intrus ciblant l’appareil d’un employé, bien que l’on ne sache pas si les deux incidents sont liés. LastPass a confirmé en décembre que les coffres-forts de mots de passe cryptés de ses clients avaient été volés lors d’une violation antérieure. LastPass a déclaré que les intrus avaient initialement compromis l’accès à l’appareil et au compte d’un employé, leur permettant de pénétrer dans l’environnement de développement interne de LastPass.
