A plataforma de pesquisa e navegação de código Sourcegraph anunciou na quinta-feira que sofreu uma violação de dados depois que um engenheiro vazou acidentalmente um token de acesso de administrador.
O incidente foi identificado em 30 de agosto, depois que a plataforma sofreu um grande aumento no uso da API que motivou uma investigação imediata.
De acordo com a plataforma, o token de acesso de administrador usado no ataque vazou em um commit de 14 de julho que passou por ferramentas internas de análise de código. O token “tinha amplos privilégios para visualizar e modificar informações da conta no Sourcegraph.com”.
Em 30 de agosto, um usuário elevou os privilégios de uma conta Sourcegraph criada recentemente, obtendo acesso não autorizado ao painel de administração.
“O usuário mal-intencionado, ou alguém conectado a ele, criou um aplicativo proxy que permite aos usuários chamar diretamente as APIs da Sourcegraph e aproveitar o LLM subjacente. Os usuários foram instruídos a criar contas gratuitas no Sourcegraph.com, gerar tokens de acesso e, em seguida, solicitar ao usuário mal-intencionado que aumentasse significativamente seu limite de taxa”, explica a plataforma em um comunicado. aviso de incidente.
Ganhando rapidamente a atenção de inúmeras pessoas que buscavam obter acesso gratuito à API Sourcegraph, o aplicativo proxy começou a ser usado para criar novas contas, o que resultou em um aumento no uso da API.
O usuário mal-intencionado com privilégios de administrador pode ter acessado os nomes e endereços de e-mail dos destinatários da chave de licença e as chaves de licença do Sourcegraph para um subconjunto de clientes, bem como os endereços de e-mail dos usuários da comunidade do Sourcegraph.
“Não temos indicação de que algum desses dados tenha sido visualizado, modificado ou copiado, mas o usuário mal-intencionado pode ter visualizado os e-mails dos destinatários da chave de licença e os endereços de e-mail dos usuários da comunidade enquanto navegavam no painel de administração”, diz Sourcegraph.
Na página do painel de administração que fornece acesso às chaves de licença pagas do cliente, o usuário mal-intencionado só pôde visualizar os primeiros 20 itens da chave de licença e o Sourcegraph conseguiu determinar rapidamente quais itens foram visualizados. Essas chaves não fornecem acesso às instâncias dos clientes, sublinha a plataforma.
“Os dados privados ou códigos dos clientes não foram visualizados durante este incidente. Os dados e códigos privados do cliente residem em ambientes isolados e, portanto, não foram afetados por este evento”, observa Sourcegraph.
Imediatamente após a identificação do incidente, a plataforma revogou totalmente o acesso do usuário mal-intencionado, alternou as chaves de licença do cliente Sourcegraph que poderiam ter sido visualizadas, reduziu temporariamente os limites de taxa para todos os usuários gratuitos da comunidade e continuou a monitorar atividades suspeitas.