繼密碼管理服務商LastPass遭黑客入侵後,再有科企遭黑客毒手。提供軟件持續整合與交付服務的美國科企CircleCI自爆,系統自去年12月起,遭黑客入侵,使加密密鑰等CircleCI客戶數據被盜取。
為開源程式託管平台GitHub提供服務的CircleCI於上周五(13日)發表網誌揭露,有黑客透過在其員工的手提電腦中,置入惡意軟件。即使員工的公司內部訪問權限受到雙重身份驗證保護,但由於黑客同時取得可以使用戶保持登錄狀態的會話憑證(Session token),使他在12月16日至1月4日期間,在不需每次都使用重身份驗證的情況下,成功獲得該員工的訪問權限。
CircleCI首席科技總監 Rob Zube指:「目標員工有權生成訪問驗證,因此未經授權的第三方(即黑客),能夠從數據庫和商店的子集(Subset)中,訪問和洩露數據,包括客戶環境變量(Environment variables)、憑證和密鑰。」
據悉,有部分CircleCi客戶已經自動通知該企,其系統曾有未經授權的訪問情況。CircleCI擔心,黑客利用竊取客戶的代碼,用於訪問其他應用程式和服務的機密資料,強烈建議客戶更換存儲在其平台上的「任何和所有機密」密碼。Zuber則指,該企已添加了額外的升級身份驗證步驟和控制,防止同類事件再發生。