CircleCi, ett mjukvaruföretag vars produkter är populära bland utvecklare och mjukvaruingenjörer, bekräftade att vissa kunders data stals i ett dataintrång förra månaden.
Företaget sa i ett utförligt blogginlägg på fredagen att den identifierade inkräktarens första åtkomstpunkt som en anställds bärbara dator som kompromettades med skadlig programvara, vilket möjliggjorde stöld av sessionstokens som användes för att hålla den anställde inloggad på vissa applikationer, även om deras åtkomst skyddades med tvåfaktorsautentisering.
Företaget tog på sig skulden för kompromissen och kallade det ett ”systemfel”, och tillade att dess antivirusprogram misslyckades med att upptäcka den skadliga programvaran som stjäl token på den anställdes bärbara dator.
Sessionstokens tillåter en användare att vara inloggad utan att behöva skriva in sitt lösenord igen eller återauktorisera med tvåfaktorsautentisering varje gång. Men en stulen sessionstoken tillåter en inkräktare att få samma åtkomst som kontoinnehavaren utan att behöva sitt lösenord eller tvåfaktorskod. Som sådan kan det vara svårt att skilja mellan en sessionstoken från kontoägaren eller en hackare som stal tokenen.
CircleCi sa att stölden av sessionstoken gjorde det möjligt för cyberbrottslingar att utge sig för att vara anställd och få tillgång till några av företagets produktionssystem, som lagrar kunddata.
”Eftersom den riktade anställde hade privilegier att generera produktionsåtkomsttokens som en del av den anställdes vanliga uppgifter, kunde den obehöriga tredje parten komma åt och exfiltrera data från en undergrupp av databaser och butiker, inklusive kundmiljövariabler, tokens och nycklar,” säger Rob Zuber, företagets tekniska chef. Zuber sa att inkräktarna hade tillgång från 16 december till 4 januari.
Zuber sa att även om kunddata var krypterad, fick cyberbrottslingarna också krypteringsnycklarna som kunde dekryptera kunddata. ”Vi uppmuntrar kunder som ännu inte har agerat att göra det för att förhindra obehörig åtkomst till tredje parts system och butiker,” tillade Zuber.
Flera kunder har redan informerat CircleCi om obehörig åtkomst till deras system, sa Zuber.
Obduktionen kommer dagar efter att företaget varnade kunderna att rotera ”alla hemligheter” som lagras i dess plattform, av rädsla för att hackare hade stulit sina kunders kod och andra känsliga hemligheter som används för åtkomst till andra applikationer och tjänster.
Zuber sa att CircleCi-anställda som behåller åtkomst till produktionssystem ”har lagt till ytterligare steg-upp-autentiseringssteg och kontroller”, vilket borde förhindra en upprepad incident, troligen genom att använda hårdvarusäkerhetsnycklar.
Den första åtkomstpunkten – token-stölden på en anställds bärbara dator – har en viss likhet med hur lösenordshanteraren LastPass hackades, vilket också involverade en inkräktare som riktade in sig på en anställds enhet, även om det inte är känt om de två incidenterna är kopplade. LastPass bekräftade i december att deras kunders krypterade lösenordsvalv stals i ett tidigare intrång. LastPass sa att inkräktarna från början hade äventyrat en anställds enhet och kontoåtkomst, vilket gjorde att de kunde bryta sig in i LastPass interna utvecklarmiljö.
Uppdaterad rubrik för att bättre återspegla kunddata som togs.