.
Nas últimas 24 horas, o mundo soube de violações graves atingindo o serviço de bate-papo Slack e a empresa de teste e entrega de software CircleCI, embora dando as palavras obscuras das empresas – “problema de segurança” e “incidente de segurança”, respectivamente – você seria perdoado por pensar que esses eventos eram menores.
Os compromissos – no caso do Slack, o roubo de credenciais de token de funcionário e para a CircleCI, a possível exposição de todos os segredos do cliente que ele armazena – ocorrem duas semanas depois que o gerenciador de senhas LastPass revelou sua própria falha de segurança: o roubo de cofres de senhas dos clientes contendo dados confidenciais em forma de texto criptografado e não criptografado. Não está claro se todas as três violações estão relacionadas, mas certamente é uma possibilidade.
A mais preocupante das duas novas violações é a que atinge o CircleCI. Na noite de quarta-feira, a empresa relatou um “incidente de segurança” que a levou a aconselhar os clientes a alternar “todos os segredos” que armazenam no serviço. O alerta também informava aos clientes que havia invalidado os tokens da API do projeto, um evento que exigia que eles passassem pelo incômodo de substituí-los.
A CircleCI diz que é usada por mais de 1 milhão de desenvolvedores em suporte a 30.000 organizações e executa quase 1 milhão de trabalhos diários. A exposição potencial de todos esses segredos – que podem ser credenciais de login, tokens de acesso e quem sabe o que mais – pode ser desastrosa para a segurança de toda a Internet.
Falta de transparência
A CircleCI ainda está de boca fechada sobre exatamente o que aconteceu. Seu conselho nunca usou as palavras “violação”, “compromisso” ou “intrusão”, mas é quase certo que isso aconteceu. O Anexo A é a declaração: “Neste ponto, estamos confiantes de que não há agentes não autorizados ativos em nossos sistemas”, sugerindo que invasores de rede estavam ativos anteriormente. Anexo B: o conselho de que os clientes verifiquem os logs internos para acesso não autorizado entre 21 de dezembro e 4 de janeiro.
Tomando as declarações em conjunto, não é exagero suspeitar que os agentes de ameaças estiveram ativos dentro dos sistemas da CircleCI por duas semanas. É muito tempo para coletar uma quantidade inimaginável de alguns dos dados mais confidenciais do setor.
O comunicado do Slack, por sua vez, é igualmente opaco. É datado de 31 de dezembro, mas os Arquivos da Internet não o encontraram até quinta-feira, cinco dias depois. É claro que o Slack não tinha pressa para que o evento se tornasse amplamente conhecido.
Como a divulgação do CircleCI, o alerta do Slack também evita linguagem concreta e, em vez disso, usa a frase passiva “foram roubados e mal utilizados” sem dizer como. Somando-se à falta de franqueza: a empresa incorporou a tag HTML na postagem na tentativa de impedir que os mecanismos de pesquisa indexassem o alerta.
Depois de obter os tokens de funcionários do Slack, o agente da ameaça os usou indevidamente para obter acesso à conta externa do GitHub da empresa. A partir daí, os invasores baixaram repositórios de códigos privados. O comunicado enfatiza que seus clientes não foram afetados e que “o agente da ameaça não acessou outras áreas do ambiente do Slack, incluindo o ambiente de produção, e não acessou outros recursos do Slack ou dados do cliente”.
Os clientes devem levar a declaração com uma porção generosa de salmoura. Lembra do aviso do LastPass de agosto? Ele também usou a frase opaca “incidente de segurança” e disse “nenhum dado do cliente foi acessado”, apenas para revelar a verdadeira extensão no último grande dia útil de 2022. Não seria surpreendente se Slack ou CircleCI atualizassem seus avisos para divulgar mais acesso aos dados do cliente ou partes mais sensíveis de suas redes.
Hackeando a cadeia de suprimentos
Também é possível que algumas ou todas essas violações estejam relacionadas. A Internet depende de um enorme ecossistema de redes de entrega de conteúdo, serviços de autenticação, fabricantes de ferramentas de desenvolvimento de software e outras empresas. Atores de ameaças frequentemente invadem uma empresa e usam os dados ou o acesso que obtêm para violar os clientes ou parceiros dessa empresa.
Esse foi o caso da violação de agosto do provedor de segurança Twilio. O mesmo agente de ameaças teve como alvo 136 outras empresas.
Algo semelhante ocorreu nos últimos dias de 2020, quando hackers comprometeram a Solar Winds, obtiveram o controle de seu sistema de construção de software e o usaram para infectar cerca de 40 clientes da Solar Winds.
Por enquanto, as pessoas devem se preparar para divulgações adicionais de empresas nas quais confiam. Verificar os logs internos do sistema em busca de entradas suspeitas, ativar a autenticação multifator e corrigir os sistemas de rede são sempre boas ideias, mas devido aos eventos atuais, essas precauções devem ser aceleradas. Também vale a pena verificar os logs de qualquer contato com o endereço IP 54.145.167.181, que um profissional de segurança disse estava conectado à violação do CircleCI.
As pessoas também devem se lembrar de que, apesar das garantias de transparência das empresas, suas divulgações concisas e cuidadosamente redigidas são projetadas para ocultar mais do que revelar.
.
