大數據文摘出品

來源：gizmodo

根據多家外媒報道，日前，一個用于測試代碼的客戶平臺Codecov被曝出存在嚴重的安全漏洞，該公司也已經承認了漏洞的存在，并表示，漏洞在此前已經存在了幾個月，但始終沒有被發現。

美國聯邦調查人員正在進行相關調查。

據了解，Codecov在世界各地擁有超過29000個客戶，可以想見影響范圍之廣。

根據路透社報道統計，此次違規事件已經影響了眾多客戶，其中包括Atlassian，Proctor&Gamble，GoDaddy和《華盛頓郵報》。不過公司CEO Jerrod Engelberg發表的安全更新中，尚沒有明確提及受影響用戶的數量。

目前，Codecov表示，除了網站上的聲明外，其他一切都不予置評。

聲明鏈接：https://about.codecov.io/security-update/

在該安全更新中，Engelberg寫到，黑客獲得了對公司Bash Uploader腳本的未經授權的訪問，并對其進行了修改，從而使其可以潛在訪問存儲在客戶連續集成環境中的任何憑據、令牌或密鑰以及任何服務，然后將訪問的數據發送到Codecov外部的第三方服務器。

Codecov的Bash Uploader也用在三個相關的上傳器(uploader)中：Github的Codecov-actions，Codecov CircleCl Orb和Codecov Bitrise Step，這些都受到影響。

根據Codecov最新表示，他們已經解決了這個漏洞，系統和服務已經是安全可使用的了，不過目前還無法確定是誰實施了入侵。

“由于Codecov的Docker映像創建過程中出現的錯誤，黑客獲得了訪問權限，該錯誤使黑客能夠提取修改我們的Bash Uploader腳本所需的憑據，”Engelberg說，“在意識到這一問題后，Codecov立即保護并修復了受影響的腳本，并開始調查對用戶的任何潛在影響”。

該公司補充說，他們已經聘請了第三方法證公司來幫助其分析對用戶的影響。同時，也已經將此事件報告給了執法部門，并正在與他們進行合作。

對該事件進行調查后，該公司確定黑客于今年1月31日開始對其Bash Uploader腳本進行了定期更改。4月1日，當一名客戶檢測到并報告了Bash Uploader的差異時，Codecov于此時獲悉了該違規行為。

Codecov表示，它已于4月15日通過電子郵件將受影響的用戶發送到Github、Gitlab和Bitbucket歸檔的電子郵件，并在受影響的用戶登錄Codecov后啟用了通知橫幅。該公司表示，使用自托管版本的Codecov的客戶不太可能受到影響。

“我們強烈建議受影響的用戶在使用Codecov的Bash Uploaders之一的CI流程中立即重新滾動其位于環境變量中的所有憑據、令牌或密鑰。” Engelberg說。

路透社指出，該事件正在與美國政府歸咎于俄羅斯對外情報局的大規模SolarWinds黑客事件進行比較，原因是它可能對各個組織產生影響，并且由于未發現攻擊的時間長。重要的是，Codecov的范圍尚不清楚。

Codecov表示，已經采取了許多措施來解決安全問題，包括輪換所有相關的內部憑據、設置監視和審核工具，以確保威脅行為者無法再次修改Bash Uploader，以及與第三者的托管提供商合作。

相關報道：https://gizmodo.com/u-s-federal-investigators-are-reportedly-looking-into-1846707144

【本文是51CTO專欄機構大數據文摘的原創譯文，微信公眾號“大數據文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文