La plateforme de codage basée sur l’IA Sourcegraph a révélé que son site Web avait été piraté cette semaine à l’aide d’un jeton d’accès d’administrateur de site divulgué accidentellement en ligne le 14 juillet.
Un attaquant a utilisé le jeton divulgué le 28 août pour créer un nouveau compte d’administrateur de site et se connecter au tableau de bord d’administration du site Web de l’entreprise, Sourcegraph.com, deux jours plus tard.
La faille de sécurité a été découverte le jour même après que l’équipe de sécurité de Sourcegraph a observé une augmentation significative de l’utilisation de l’API, décrite comme « isolée et inorganique ».
Après avoir accédé au tableau de bord d’administration du site Web, l’acteur malveillant a changé plusieurs fois les privilèges de son compte malveillant pour sonder le système de Sourcegraph.
« Notre équipe de sécurité a identifié une validation de code du 14 juillet dans laquelle un jeton d’accès d’administrateur de site a été accidentellement divulgué lors d’une demande d’extraction et a été utilisé pour usurper l’identité d’un utilisateur afin d’accéder à la console d’administration de notre système », a déclaré Diego Comas, responsable de la sécurité de Sourcegraph. divulgué mercredi.
« L’utilisateur malveillant, ou une personne connectée à lui, a créé une application proxy permettant aux utilisateurs d’appeler directement les API de Sourcegraph et d’exploiter le LLM sous-jacent. Les utilisateurs ont été invités à créer des comptes Sourcegraph.com gratuits, à générer des jetons d’accès, puis à demander à l’utilisateur malveillant de augmenter considérablement leur limite de débit », déclare Sourcegraph.
Le code privé et les informations d’identification n’ont pas été exposés
Au cours de l’incident, l’attaquant a eu accès aux informations des clients de Sourcegraph, notamment les clés de licence, les noms et les adresses e-mail (les utilisateurs du niveau gratuit n’ont vu que leurs adresses e-mail exposées).
Aucune autre donnée sensible relative aux informations client, telle que le code privé, les e-mails, les mots de passe, les noms d’utilisateur ou d’autres informations personnellement identifiables (PII), n’a été exposée lors de l’attaque, selon Comas.
« Rien n’indique que vos informations personnelles ont été modifiées ou copiées, mais l’utilisateur malveillant aurait pu consulter ces données en naviguant dans le tableau de bord d’administration », a déclaré Comas dans des e-mails envoyés aux utilisateurs potentiellement concernés.
« Les données ou le code privés des clients n’ont pas été consultés lors de cet incident. Les données et le code privés des clients résident dans des environnements isolés et n’ont donc pas été impactés par cet événement. »
Après avoir découvert la faille de sécurité, Sourcegraph a désactivé le compte administrateur du site malveillant, réduit temporairement les limites de débit de l’API applicables à tous les utilisateurs de la communauté gratuite et a alterné les clés de licence qui auraient pu être potentiellement exposées lors de l’attaque.
Avec une base d’utilisateurs mondiale de plus de 1,8 million d’ingénieurs logiciels, la liste de clients de Sourcegraph comprend des entreprises de premier plan telles que Uber, F5, Dropbox, Lyft, Yelp, etc.