漏洩した管理者アクセストークンを使用してSourcegraph Webサイトが侵害される

AI を活用したコーディング プラットフォームの Sourcegraph は、7 月 14 日にオンラインで誤って漏洩したサイト管理者アクセス トークンを使用して、今週同社の Web サイトが侵害されたことを明らかにしました。

攻撃者は 8 月 28 日に漏洩したトークンを使用して新しいサイト管理者アカウントを作成し、2 日後に同社の Web サイトである Sourcegraph.com の管理者ダッシュボードにログインしました。

このセキュリティ侵害は、Sourcegraph のセキュリティ チームが「孤立的かつ無機的」と表現される API 使用量の大幅な増加を観察した翌日に発見されました。

攻撃者は、Web サイトの管理者ダッシュボードへのアクセスを取得した後、不正なアカウントの権限を複数回切り替えて、Sourcegraph のシステムを調査しました。

Sourcegraph のセキュリティ責任者である Diego Comas 氏は、「当社のセキュリティ チームは、サイト管理者アクセス トークンがプル リクエストで誤って漏洩し、ユーザーになりすまして当社システムの管理コンソールにアクセスするために悪用された 7 月 14 日のコード コミットを特定しました」と述べています。水曜日に明らかになった。

「悪意のあるユーザー、またはそれに関係する誰かが、ユーザーが Sourcegraph の API を直接呼び出し、基盤となる LLM を利用できるようにするプロキシ アプリを作成しました。ユーザーは、無料の Sourcegraph.com アカウントを作成し、アクセス トークンを生成し、悪意のあるユーザーに次のことを要求するよう指示されました。」レート制限を大幅に引き上げます」と Sourcegraph 氏は述べています。

プライベートコードと資格情報は公開されませんでした

このインシデント中に、攻撃者はライセンス キー、名前、電子メール アドレスを含む Sourcegraph 顧客の情報にアクセスしました (無料利用枠のユーザーは電子メール アドレスのみが公開されました)。

Comas 氏によると、プライベート コード、電子メール、パスワード、ユーザー名、その他の個人を特定できる情報 (PII) などの顧客情報の機密データは、この攻撃でさらされることはありませんでした。

「個人情報が変更またはコピーされた形跡はないが、悪意のあるユーザーが管理ダッシュボードを操作する際にこのデータを閲覧した可能性がある」とComas氏は影響を受ける可能性のあるユーザーに送信した電子メールで述べた。

「このインシデントでは、顧客のプライベート データやコードは閲覧されませんでした。顧客のプライベート データやコードは隔離された環境に存在するため、このイベントによる影響は受けませんでした。」

セキュリティ侵害を発見した後、Sourcegraph は悪意のあるサイト管理者アカウントを非アクティブ化し、すべての無料コミュニティ ユーザーに適用される API レート制限を一時的に引き下げ、攻撃で漏洩した可能性のあるライセンス キーをローテーションしました。

世界中に 180 万人を超えるソフトウェア エンジニアのユーザー ベースを擁する Sourcegraph の顧客名簿には、Uber、F5、Dropbox、Lyft、Yelp などの有名企業が含まれています。