CircleCi, una empresa de software cuyos productos son populares entre desarrolladores e ingenieros de software, confirmó que los datos de algunos clientes fueron robados en una violación de datos el mes pasado.
En un detallado artículo publicado en su blog el viernes, la empresa señaló que el punto de acceso inicial del intruso era el portátil de un empleado que había sido infectado con malware, lo que permitió el robo de los testigos de sesión utilizados para mantener al empleado conectado a determinadas aplicaciones, a pesar de que su acceso estaba protegido con un doble factor de autenticación.
La empresa asumió la responsabilidad del ataque, calificándolo de «fallo del sistema», y añadió que su software antivirus no detectó el malware que robaba los testigos en el portátil del empleado.
Los testigos de sesión permiten a un usuario permanecer conectado sin tener que volver a introducir su contraseña o volver a autorizarse mediante la autenticación de dos factores cada vez. Pero un testigo de sesión robado permite a un intruso obtener el mismo acceso que el titular de la cuenta sin necesidad de su contraseña o código de doble factor. Por ello, puede ser difícil diferenciar entre un testigo de sesión del titular de la cuenta o de un pirata informático que lo haya robado.
CircleCi dijo que el robo del token de sesión permitió a los ciberdelincuentes hacerse pasar por el empleado y obtener acceso a algunos de los sistemas de producción de la empresa, que almacenan datos de los clientes.
«Como el empleado en cuestión tenía privilegios para generar tokens de acceso a producción como parte de sus tareas habituales, el tercero no autorizado pudo acceder y extraer datos de un subconjunto de bases de datos y almacenes, incluidas variables de entorno de clientes, tokens y claves», explicó Rob Zuber, director de tecnología de la empresa. Según Zuber, los intrusos tuvieron acceso desde el 16 de diciembre hasta el 4 de enero.
Zuber dijo que aunque los datos de los clientes estaban cifrados, los ciberdelincuentes también obtuvieron las claves de cifrado capaces de descifrar los datos de los clientes. «Animamos a los clientes que aún no hayan tomado medidas a que lo hagan para evitar el acceso no autorizado a sistemas y tiendas de terceros», añadió Zuber.
Varios clientes ya han informado a CircleCi del acceso no autorizado a sus sistemas, dijo Zuber.
La autopsia se produce días después de que la empresa advirtiera a sus clientes de que rotaran «todos y cada uno de los secretos» almacenados en su plataforma, ante el temor de que los piratas informáticos hubieran robado el código de sus clientes y otros secretos sensibles utilizados para acceder a otras aplicaciones y servicios.
Según Zuber, los empleados de CircleCi que conservan el acceso a los sistemas de producción «han añadido pasos y controles de autenticación adicionales», que deberían evitar que se repita el incidente, probablemente mediante el uso de claves de seguridad de hardware.
El punto de acceso inicial -el robo de tokens en el portátil de un empleado- guarda cierto parecido con la forma en que fue pirateado el gigante de los gestores de contraseñas LastPass, en la que un intruso también atacó el dispositivo de un empleado, aunque no se sabe si ambos incidentes están relacionados. LastPass confirmó en diciembre que las contraseñas cifradas de sus clientes habían sido robadas en un ataque anterior. LastPass dijo que los intrusos habían comprometido inicialmente el dispositivo de un empleado y el acceso a su cuenta, lo que les permitió entrar en el entorno de desarrollo interno de LastPass.
Titular actualizado para reflejar mejor los datos de los clientes que fueron sustraídos.