Die auf KI basierende Coding-Plattform Sourcegraph hat enthüllt, dass ihre Website diese Woche unter Verwendung eines aus Versehen online geleakten Site-Admin-Zugriffs-Tokens am 14. Juli gehackt wurde.
Ein Angreifer nutzte das geleakte Token am 28. August, um einen neuen Site-Admin-Account zu erstellen und sich zwei Tage später im Admin-Dashboard der Unternehmenswebsite, Sourcegraph.com, einzuloggen.
Der Sicherheitsverstoß wurde am selben Tag entdeckt, nachdem das Sicherheitsteam von Sourcegraph eine signifikante Zunahme der API-Nutzung bemerkt hatte, die als „isolierter und unnatürlicher“ beschrieben wurde.
Nachdem der Angreifer Zugriff auf das Admin-Dashboard der Website erhalten hatte, wechselte er mehrmals die Privilegien seines Rogue-Accounts, um das System von Sourcegraph zu sondieren.
„Unser Sicherheitsteam hat einen Code-Commit vom 14. Juli identifiziert, bei dem ein Site-Admin-Zugriffs-Token versehentlich in einem Pull Request geleakt wurde und genutzt wurde, um sich als Benutzer auszugeben und Zugang zur Administrationskonsole unseres Systems zu erhalten“, offenbarte Sourcegraphs Leiter für Sicherheit, Diego Comas, am Mittwoch.
„Der bösartige Benutzer oder jemand, der mit ihm verbunden ist, hat eine Proxy-App erstellt, die es Benutzern ermöglicht, direkt auf die APIs von Sourcegraph zuzugreifen und das zugrunde liegende LLM zu nutzen. Benutzer wurden angewiesen, kostenlose Sourcegraph.com-Konten zu erstellen, Zugriffstoken zu generieren und dann den bösartigen Benutzer zu bitten, ihre Rate-Limits erheblich zu erhöhen“, so Sourcegraphs.
Keine exponierten privaten Codes und Anmeldedaten Während des Vorfalls erlangte der Angreifer Zugriff auf Informationen von Sourcegraph-Kunden, einschließlich Lizenzschlüsseln, Namen und E-Mail-Adressen (Benutzer der kostenlosen Stufe hatten nur ihre E-Mail-Adressen exponiert).
Laut Comas wurde jedoch keine weiteren Kundendaten oder sensiblen Informationen wie private Codes, E-Mails, Passwörter, Benutzernamen oder andere personenbezogene Daten (PII) bei dem Angriff exponiert.
„Es gibt keine Anzeichen dafür, dass Ihre persönlichen Informationen modifiziert oder kopiert wurden, aber der bösartige Benutzer hätte diese Daten anzeigen können, während er sich im Admin-Dashboard bewegt hat“, sagte Comas in E-Mails, die an potenziell betroffene Benutzer gesendet wurden.
„Während dieses Vorfalls wurde die private Daten oder Codes unserer Kunden nicht angesehen. Die private Daten und Codes der Kunden befinden sich in isolierten Umgebungen und waren daher von diesem Ereignis nicht betroffen.“
Nach Entdeckung des Sicherheitsverstoßes deaktivierte Sourcegraph den bösartigen Site-Admin-Account, reduzierte vorübergehend die API-Ratenbegrenzungen, die für alle kostenlosen Community-Benutzer gelten, und drehte die Lizenzschlüssel, die potenziell bei dem Angriff exponiert wurden.
Mit einer weltweiten Nutzerbasis von über 1,8 Millionen Software-Entwicklern umfasst Sourcegraphs Kundenstamm namhafte Unternehmen wie Uber, F5, Dropbox, Lyft, Yelp und andere.