原标题:联邦官员确认正在调查软件代码测试公司Codecov的违规行为 来源:cnBeta.COM
据路透社报道,联邦官员正在调查软件审计公司Codecov的安全漏洞,该漏洞在被外部利用数月内未被发现。Codecov的平台用于测试软件代码是否存在漏洞,其2.9万名客户包括Atlassian、宝洁公司、GoDaddy和华盛顿邮报。
在该公司网站上的一份声明中,Codecov首席执行官Jerrod Engelberg承认了这一漏洞和正在接受联邦政府调查,称有人在未经公司允许的情况下获得了其Bash Uploader脚本的访问权限并对其进行了修改。
"我们的调查已经确定,从2021年1月31日开始,有定期的,未经授权的第三方修改我们的Bash Uploader脚本,这使得他们有可能导出存储在我们用户的持续集成(CI)环境中的信息,"Engelberg写道。"这些信息随后被发送到Codecov基础设施之外的第三方服务器。"
根据Engelberg的帖子,该工具的修改版本可能会影响到:
虽然该漏洞发生在1月份,但直到4月1日才被发现,当时有客户发现该工具有问题。"在意识到这个问题后,Codecov立即对可能受影响的脚本进行了保护和修复,并开始调查用户可能受到影响的程度,"Engelberg写道。
Codecov不知道是谁展开了此次入侵行动,但已经聘请了一家第三方取证公司帮助其确定用户是如何受到影响,同时向执法部门报告了此事。该公司给受影响的用户发了电子邮件,Codecov没有说出他们的名字。
"我们强烈建议受影响的用户立即重新制作他们所有的凭证、令牌或位于其CI进程中环境变量中的密钥,这些程序使用了Codecov的Bash Uploaders之一,"Engelberg补充道。
虽然Codecov漏洞的广度仍不清楚,但路透社指出,它可能与去年年底的SolarWinds黑客事件产生类似的深远影响。在那次入侵事件中,与俄罗斯政府有关的黑客入侵了SolarWinds的监控和管理软件。据信约有250家实体受到SolarWinds漏洞的影响,包括Nvidia、Cisco和Belkin。美国财政部、商务部、州政府、能源部和国土安全机构也受到了影响。
