安全|联邦官员确认正在调查软件代码测试公司Codecov的违规行为_联邦官员确认正在调查软件代

据路透社报道，联邦官员正在调查软件审计公司Codecov的安全漏洞，该漏洞在被外部利用数月内未被发现。Codecov的平台用于测试软件代码是否存在漏洞，其2.9万名客户包括Atlassian、宝洁公司、GoDaddy和华盛顿邮报。

文章图片

在该公司网站上的一份声明中，Codecov首席执行官Jerrod Engelberg承认了这一漏洞和正在接受联邦政府调查，称有人在未经公司允许的情况下获得了其Bash Uploader脚本的访问权限并对其进行了修改。
"我们的调查已经确定，从2021年1月31日开始，有定期的，未经授权的第三方修改我们的Bash Uploader脚本，这使得他们有可能导出存储在我们用户的持续集成（CI）环境中的信息，"Engelberg写道。"这些信息随后被发送到Codecov基础设施之外的第三方服务器。"
根据Engelberg的帖子，该工具的修改版本可能会影响到：

我们的客户通过他们的CI运行器传递的任何凭证、令牌或密钥，当Bash Uploader脚本被执行时，这些凭证、令牌或密钥可以被访问。
任何服务、数据存储和应用程序代码都可以通过这些凭证、令牌或密钥被访问。
使用Bash Uploaders将覆盖范围上传到CI中的Codecov的仓库的git远程信息(起源仓库的URL) 。

虽然该漏洞发生在1月份，但直到4月1日才被发现，当时有客户发现该工具有问题。"在意识到这个问题后，Codecov立即对可能受影响的脚本进行了保护和修复，并开始调查用户可能受到影响的程度，"Engelberg写道。
Codecov不知道是谁展开了此次入侵行动，但已经聘请了一家第三方取证公司帮助其确定用户是如何受到影响，同时向执法部门报告了此事。该公司给受影响的用户发了电子邮件，Codecov没有说出他们的名字。
"我们强烈建议受影响的用户立即重新制作他们所有的凭证、令牌或位于其CI进程中环境变量中的密钥，这些程序使用了Codecov的Bash Uploaders之一，"Engelberg补充道。
虽然Codecov漏洞的广度仍不清楚，但路透社指出，它可能与去年年底的SolarWinds黑客事件产生类似的深远影响。在那次入侵事件中，与俄罗斯政府有关的黑客入侵了SolarWinds的监控和管理软件。据信约有250家实体受到SolarWinds漏洞的影响，包括Nvidia、Cisco和Belkin 。美国财政部、商务部、州政府、能源部和国土安全机构也受到了影响。
相关文章:
【安全|联邦官员确认正在调查软件代码测试公司Codecov的违规行为】美国联邦调查局正评估代码测试公司Codecov的黑客入侵事件