.
Imagens Getty
Um hacker desconhecido obteve o controle administrativo do Sourcegraph, um serviço baseado em IA usado por desenvolvedores da Uber, Reddit, Dropbox e outras empresas, e o usou para fornecer acesso gratuito a recursos que normalmente exigiriam pagamento.
No processo, o(s) hacker(es) pode(m) ter acessado informações pessoais pertencentes aos usuários do Sourcegraph, disse Diego Comas, chefe de segurança do Sourcegraph, em um post na quarta-feira. Para usuários pagos, as informações expostas incluíam chaves de licença e nomes e endereços de e-mail dos titulares das chaves de licença. Para usuários não pagantes, estava limitado aos endereços de e-mail associados às suas contas. Código privado, e-mails, senhas, nomes de usuário ou outras informações pessoais estavam inacessíveis.
Grátis para todos
O hacker obteve acesso administrativo ao obter uma chave de autenticação que um desenvolvedor do Sourcegraph incluiu acidentalmente em um código publicado em uma instância pública do Sourcegraph hospedada no Sourcegraph.com. Depois de criar uma conta de usuário normal no Sourcegraph, o hacker usou o token para elevar os privilégios da conta aos de administrador. O token de acesso apareceu em uma solicitação pull publicada em 14 de julho, a conta do usuário foi criada em 28 de agosto e a elevação para administrador ocorreu em 30 de agosto.
“O usuário mal-intencionado, ou alguém conectado a ele, criou um aplicativo proxy que permite aos usuários chamar diretamente as APIs da Sourcegraph e aproveitar o LLM subjacente [large language model]”, escreveu Comas. “Os usuários foram instruídos a criar contas gratuitas no Sourcegraph.com, gerar tokens de acesso e, em seguida, solicitar ao usuário mal-intencionado que aumentasse significativamente seu limite de taxa. Em 30 de agosto (30/08/2023 13:25:54 UTC), a equipe de segurança da Sourcegraph identificou o usuário administrador do site mal-intencionado, revogou seu acesso e iniciou uma investigação interna para mitigação e próximas etapas.
O recurso gratuito gerou um aumento nas chamadas para interfaces de programação Sourcegraph, que normalmente têm taxa limitada para contas gratuitas.
Gráfico de origem
“A promessa de acesso gratuito à API Sourcegraph levou muitos a criar contas e começar a usar o aplicativo proxy”, escreveu Comas. “O aplicativo e as instruções de uso rapidamente se espalharam pela web, gerando cerca de 2 milhões de visualizações. À medida que mais usuários descobriram o aplicativo proxy, eles criaram contas gratuitas no Sourcegraph.com, adicionando seus tokens de acesso e acessando APIs do Sourcegraph de forma ilegítima.”
O pessoal da Sourcegraph acabou identificando o aumento da atividade como “isolado e inorgânico” e começou a investigar a causa. Comas disse que a análise automatizada de código da empresa e outros sistemas de controle interno “não conseguiram detectar o token de acesso sendo enviado ao repositório”. Comas não deu mais detalhes.
O token deu aos usuários a capacidade de visualizar, modificar ou copiar os dados expostos, mas Comas disse que a investigação não concluiu se isso realmente aconteceu. Embora a maioria dos dados estivesse disponível para todos os usuários pagos e da comunidade, o número de chaves de licença expostas foi limitado a 20.
A publicação inadvertida por desenvolvedores de credenciais privadas em códigos disponíveis publicamente tem sido um problema que assola as empresas online há mais de uma década. Essas credenciais podem incluir chaves de criptografia privadas, senhas e tokens de autenticação. Na era dos repositórios de código acessíveis ao público como o GitHub, as credenciais nunca devem ser incluídas nos commits. Em vez disso, devem ser armazenados apenas em servidores restritos.
.
