En las últimas 24 horas, el mundo se enteró de graves infracciones que afectaron al servicio de chat Slack y a la empresa de prueba y entrega de software CircleCI, aunque si se da la redacción opaca de las empresas, “problema de seguridad” e “incidente de seguridad”, respectivamente, sería perdonado. por pensar que estos hechos eran menores.
Los compromisos, en el caso de Slack, el robo de las credenciales de los tokens de los empleados y, en el caso de CircleCI, la posible exposición de todos los secretos de los clientes que almacena, se producen dos semanas después de que el administrador de contraseñas LastPass revelara su propia falla de seguridad: el robo de las bóvedas de contraseñas de los clientes que contienen datos confidenciales. tanto en forma de texto encriptado como claro. No está claro si las tres infracciones están relacionadas, pero ciertamente es una posibilidad.
La más preocupante de las dos nuevas infracciones es la que afecta a CircleCI. El miércoles por la noche, la compañía informó un “incidente de seguridad” que la llevó a aconsejar a los clientes que rotaran “todos los secretos” que almacenan en el servicio. La alerta también informó a los clientes que había invalidado sus tokens de Project API, un evento que les obligaba a pasar por la molestia de reemplazándolos.
CircleCI dice que es utilizado por más de 1 millón de desarrolladores En soporte de 30.000 organizaciones y ejecuta casi 1 millón de trabajos diarios. La posible exposición de todos esos secretos, que podrían ser credenciales de inicio de sesión, tokens de acceso y quién sabe qué más, podría resultar desastroso para la seguridad de todo Internet.
Falta de transparencia
CircleCI todavía tiene los labios apretados sobre lo que sucedió exactamente. Su consultivo
Tomando las declaraciones en conjunto, no es exagerado sospechar que los actores de amenazas estuvieron activos dentro de los sistemas de CircleCI durante dos semanas. Eso es mucho tiempo para recopilar una cantidad inimaginable de algunos de los datos más confidenciales de la industria.
de holgura consultivo, mientras tanto, es igualmente opaco. Está fechado el 31 de diciembre, pero Internet Archives no lo vio hasta el jueves, cinco días después. Está claro que Slack no tenía prisa por que el evento fuera ampliamente conocido.
Al igual que la divulgación de CircleCI, la alerta de Slack también evita el lenguaje concreto y, en su lugar, utiliza la frase pasiva “fueron robados y mal utilizados” sin decir cómo. Además de la falta de franqueza: la empresa incrustó la etiqueta HTML en la publicación en un intento de evitar que los motores de búsqueda indexaran la alerta.
Después de obtener los tokens de empleados de Slack, el actor de amenazas los usó de manera indebida para obtener acceso a la cuenta externa de GitHub de la empresa. Desde allí, los intrusos descargaron repositorios de códigos privados. El aviso destaca que sus clientes no se vieron afectados y que “el actor de amenazas no accedió a otras áreas del entorno de Slack, incluido el entorno de producción, y no accedió a otros recursos de Slack o datos de clientes”.
Los clientes deben tomar la declaración con una generosa porción de salmuera. Recuerda el LastPass aviso de agosto? También usó la frase opaca “incidente de seguridad” y dijo “no se accedió a datos de clientes”, solo para revelar el verdadero alcance en el último día hábil importante de 2022. No sería sorprendente que Slack o CircleCI actualizaran sus avisos. para divulgar un mayor acceso a los datos del cliente o partes más sensibles de sus redes.
Hackear la cadena de suministro
También es posible que algunas o todas estas infracciones estén relacionadas. Internet se basa en un ecosistema masivo de redes de entrega de contenido, servicios de autenticación, fabricantes de herramientas de desarrollo de software y otras empresas. Los actores de amenazas con frecuencia piratean una empresa y usan los datos o el acceso que obtienen para violar a los clientes o socios de esa empresa.
Ese fue el caso de la violación de agosto del proveedor de seguridad Twilio que condujo al compromiso de Okta, Signal, DoorDash y más de otras 130 empresas.
Algo similar ocurrió en los últimos días de 2020 cuando los piratas informáticos comprometieron Solar Winds, obtuvieron el control de su sistema de compilación de software y lo usaron para infectar a aproximadamente 40 clientes de Solar Winds.
Por ahora, las personas deben prepararse para divulgaciones adicionales de las empresas en las que confían. Verificar los registros internos del sistema en busca de entradas sospechosas, activar la autenticación multifactor y parchear los sistemas de red siempre son buenas ideas, pero dados los eventos actuales, esas precauciones deben acelerarse. También vale la pena revisar los registros de cualquier contacto con la dirección IP 54.145.167.181, que un profesional de seguridad dicho estaba conectado a la violación de CircleCI.
Las personas también deben recordar que, a pesar de las garantías de transparencia de las empresas, sus divulgaciones breves y cuidadosamente redactadas están diseñadas para ocultar más de lo que revelan.