Zuerst LastPass, jetzt Slack und CircleCI. Hacks gehen weiter (und werden wahrscheinlich noch schlimmer)
Zuerst LastPass, jetzt Slack und CircleCI. Hacks gehen weiter (und werden wahrscheinlich noch schlimmer)
Vergrößern
In den letzten 24 Stunden wurde die Welt auf schwerwiegende Verstöße aufmerksam gemacht, die den Chat-Dienst Slack und das Softwaretest- und -bereitstellungsunternehmen CircleCI betrafen, während den Unternehmen undurchsichtige Begriffe gegeben wurden: „Sicherheitsproblem“ und „Sicherheitsvorfall“. . bzw. - es sei Ihnen verziehen, wenn Sie diese Ereignisse für unbedeutend hielten.
Die Kompromittierungen – im Fall von Slack der Diebstahl von Mitarbeiteranmeldeinformationen und für CircleCI die mögliche Offenlegung aller gespeicherten Kundengeheimnisse – erfolgen zwei Wochen, nachdem der Passwort-Manager LastPass seine eigene Sicherheitslücke aufgedeckt hat: den Diebstahl von Kunden-Passwort-Safes mit sensiblen Daten . als verschlüsselter und Klartext. Es ist unklar, ob die drei Verstöße zusammenhängen, aber es ist sicherlich eine Möglichkeit.
Die besorgniserregendste der beiden neuen Sicherheitsverletzungen betrifft CircleCI. Am Mittwochabend meldete das Unternehmen einen „Sicherheitsvorfall“, der es dazu veranlasste, Kunden zu raten, „alle Geheimnisse“ zu spinnen, die sie auf dem Dienst speichern. Die Warnung informierte Kunden auch darüber, dass sie ihre Projekt-API-Token ungültig gemacht hatte, ein Ereignis, das sie dazu zwang, sich Gedanken über deren Ersatz zu machen.
CircleCI sagt, dass es von mehr als 1 Million Entwicklern verwendet wird, die 30.000 Organisationen betreuen und fast 1 Million tägliche Aufgaben ausführen. Die potenzielle Offenlegung all dieser Geheimnisse, die Anmeldeinformationen, Zugriffstoken und wer weiß was noch sein könnten, könnte eine Katastrophe für die Sicherheit des gesamten Internets bedeuten.
Ein Mangel an Transparenz
CircleCI schweigt darüber, was genau passiert ist. In seiner Rezension wurden nie die Worte „Breach“, „Compromise“ oder „Intrusion“ verwendet, aber das ist mit ziemlicher Sicherheit passiert. Anhang A ist die folgende Aussage: „Zu diesem Zeitpunkt sind wir zuversichtlich, dass es keine aktiven unbefugten Akteure in unseren Systemen gibt“, was darauf hindeutet, dass Netzwerkeindringlinge früher aktiv waren. Beweisstück B: Empfehlung für Kunden, zwischen dem 21. Dezember und dem 4. Januar interne Protokolle auf unbefugten Zugriff zu überprüfen.
Wenn man die Aussagen zusammennimmt, ist es nicht schwer zu vermuten, dass Bedrohungsakteure seit zwei Wochen in den Systemen von CircleCI aktiv sind. Das ist viel Zeit, um eine unvorstellbare Menge einiger der sensibelsten Daten der Branche zu sammeln.
Slacks Überprüfung ist derweil ebenso undurchsichtig. Es ist auf den 31. Dezember datiert, aber das Internetarchiv hat es erst am Donnerstag, fünf Tage später, gesehen. Offensichtlich hatte es Slack nicht eilig, das Ereignis weithin bekannt zu machen.
Wie die Offenlegung von CircleCI vermeidet auch die Slack-Warnung eine konkrete Sprache und verwendet stattdessen den passiven Ausdruck „wurden gestohlen und missbraucht“, ohne zu sagen, wie. Was den Mangel an Offenheit noch verstärkt: Das Unternehmen hat das HTML-Tag in den Beitrag eingebettet, um zu verhindern, dass Suchmaschinen die Warnung indexieren.
Nachdem der Angreifer die Token von Slack-Mitarbeitern erhalten hatte, missbrauchte er sie, um Zugriff auf das externe GitHub-Konto des Unternehmens zu erhalten. Von dort luden die Eindringlinge private Code-Repositories herunter. Die Empfehlung betont, dass ihre Kunden nicht betroffen waren und dass "der Angreifer nicht auf andere Bereiche der Slack-Umgebung, einschließlich der Produktionsumgebung, zugegriffen hat und nicht auf andere Slack-Ressourcen oder Kundendaten zugegriffen hat".
Kunden sollten die Erklärung mit einer großzügigen Portion Sole einnehmen. Erinnern Sie sich an den LastPass-Hinweis vom August? Er benutzte auch die undurchsichtige Formulierung „Sicherheitsvorfall“ und erklärte „es wurde auf keine Kundendaten zugegriffen“, nur um am letzten großen Geschäftstag des Jahres 2022 das wahre Ausmaß zu enthüllen. Es wäre nicht verwunderlich, wenn Slack oder CircleCI ihre Bewertungen aktualisieren würden. Offenlegung weiterer Zugriffe auf Kundendaten oder sensiblere Teile ihrer Netzwerke.
Lieferketten-Hack
Es ist auch möglich, dass einige oder alle dieser Verstöße zusammenhängen. Das Internet stützt sich auf ein riesiges Ökosystem von Netzwerken zur Bereitstellung von Inhalten, Authentifizierungsdiensten, Herstellern von Softwareentwicklungstools und anderen Unternehmen. Bedrohungsakteure oft ...
In den letzten 24 Stunden wurde die Welt auf schwerwiegende Verstöße aufmerksam gemacht, die den Chat-Dienst Slack und das Softwaretest- und -bereitstellungsunternehmen CircleCI betrafen, während den Unternehmen undurchsichtige Begriffe gegeben wurden: „Sicherheitsproblem“ und „Sicherheitsvorfall“. . bzw. - es sei Ihnen verziehen, wenn Sie diese Ereignisse für unbedeutend hielten.
Die Kompromittierungen – im Fall von Slack der Diebstahl von Mitarbeiteranmeldeinformationen und für CircleCI die mögliche Offenlegung aller gespeicherten Kundengeheimnisse – erfolgen zwei Wochen, nachdem der Passwort-Manager LastPass seine eigene Sicherheitslücke aufgedeckt hat: den Diebstahl von Kunden-Passwort-Safes mit sensiblen Daten . als verschlüsselter und Klartext. Es ist unklar, ob die drei Verstöße zusammenhängen, aber es ist sicherlich eine Möglichkeit.
Die besorgniserregendste der beiden neuen Sicherheitsverletzungen betrifft CircleCI. Am Mittwochabend meldete das Unternehmen einen „Sicherheitsvorfall“, der es dazu veranlasste, Kunden zu raten, „alle Geheimnisse“ zu spinnen, die sie auf dem Dienst speichern. Die Warnung informierte Kunden auch darüber, dass sie ihre Projekt-API-Token ungültig gemacht hatte, ein Ereignis, das sie dazu zwang, sich Gedanken über deren Ersatz zu machen.
CircleCI sagt, dass es von mehr als 1 Million Entwicklern verwendet wird, die 30.000 Organisationen betreuen und fast 1 Million tägliche Aufgaben ausführen. Die potenzielle Offenlegung all dieser Geheimnisse, die Anmeldeinformationen, Zugriffstoken und wer weiß was noch sein könnten, könnte eine Katastrophe für die Sicherheit des gesamten Internets bedeuten.
Ein Mangel an Transparenz
CircleCI schweigt darüber, was genau passiert ist. In seiner Rezension wurden nie die Worte „Breach“, „Compromise“ oder „Intrusion“ verwendet, aber das ist mit ziemlicher Sicherheit passiert. Anhang A ist die folgende Aussage: „Zu diesem Zeitpunkt sind wir zuversichtlich, dass es keine aktiven unbefugten Akteure in unseren Systemen gibt“, was darauf hindeutet, dass Netzwerkeindringlinge früher aktiv waren. Beweisstück B: Empfehlung für Kunden, zwischen dem 21. Dezember und dem 4. Januar interne Protokolle auf unbefugten Zugriff zu überprüfen.
Wenn man die Aussagen zusammennimmt, ist es nicht schwer zu vermuten, dass Bedrohungsakteure seit zwei Wochen in den Systemen von CircleCI aktiv sind. Das ist viel Zeit, um eine unvorstellbare Menge einiger der sensibelsten Daten der Branche zu sammeln.
Slacks Überprüfung ist derweil ebenso undurchsichtig. Es ist auf den 31. Dezember datiert, aber das Internetarchiv hat es erst am Donnerstag, fünf Tage später, gesehen. Offensichtlich hatte es Slack nicht eilig, das Ereignis weithin bekannt zu machen.
Wie die Offenlegung von CircleCI vermeidet auch die Slack-Warnung eine konkrete Sprache und verwendet stattdessen den passiven Ausdruck „wurden gestohlen und missbraucht“, ohne zu sagen, wie. Was den Mangel an Offenheit noch verstärkt: Das Unternehmen hat das HTML-Tag in den Beitrag eingebettet, um zu verhindern, dass Suchmaschinen die Warnung indexieren.
Nachdem der Angreifer die Token von Slack-Mitarbeitern erhalten hatte, missbrauchte er sie, um Zugriff auf das externe GitHub-Konto des Unternehmens zu erhalten. Von dort luden die Eindringlinge private Code-Repositories herunter. Die Empfehlung betont, dass ihre Kunden nicht betroffen waren und dass "der Angreifer nicht auf andere Bereiche der Slack-Umgebung, einschließlich der Produktionsumgebung, zugegriffen hat und nicht auf andere Slack-Ressourcen oder Kundendaten zugegriffen hat".
Kunden sollten die Erklärung mit einer großzügigen Portion Sole einnehmen. Erinnern Sie sich an den LastPass-Hinweis vom August? Er benutzte auch die undurchsichtige Formulierung „Sicherheitsvorfall“ und erklärte „es wurde auf keine Kundendaten zugegriffen“, nur um am letzten großen Geschäftstag des Jahres 2022 das wahre Ausmaß zu enthüllen. Es wäre nicht verwunderlich, wenn Slack oder CircleCI ihre Bewertungen aktualisieren würden. Offenlegung weiterer Zugriffe auf Kundendaten oder sensiblere Teile ihrer Netzwerke.
Lieferketten-Hack
Es ist auch möglich, dass einige oder alle dieser Verstöße zusammenhängen. Das Internet stützt sich auf ein riesiges Ökosystem von Netzwerken zur Bereitstellung von Inhalten, Authentifizierungsdiensten, Herstellern von Softwareentwicklungstools und anderen Unternehmen. Bedrohungsakteure oft ...
Vergrößern
