DeepSource afferma che gli hacker hanno compromesso la sua applicazione GitHub
22 Luglio 2020 - Tempo di lettura: 8 minuti
Il fornitore di strumenti di revisione del codice automatizzato DeepSource questa settimana ha annunciato di aver ripristinato token, chiavi private e credenziali dei dipendenti dopo essere stato informato che la sua applicazione GitHub era stata compromessa.
Progettato per aiutare gli sviluppatori a identificare difetti di sicurezza, rischi di bug e problemi di prestazioni durante la revisione del codice, DeepSource fornisce anche l'integrazione con GitHub per consentire agli autori di app di iniziare rapidamente l'analisi del codice.
Martedì DeepSource ha annunciato che l'11 luglio il Team di sicurezza GitHub li ha informati di attività potenzialmente dannose relative all'applicazione DeepSource GitHub e che sono state prese immediatamente misure precauzionali per limitare il potenziale accesso alle risorse.
“Alle 7:00 UTC, avevamo cambiato tutti i token utente, i segreti dei client e le chiavi private. Dato che non conoscevamo l'origine dell'attacco, abbiamo anche cambiato tutte le credenziali e le chiavi dei dipendenti che avevano accesso ai sistemi di produzione. Attraverso un'indagine interna, non abbiamo identificato alcuna violazione o comportamento insolito e abbiamo concluso che l'infrastruttura DeepSource non è stata violata", ha annunciato l'avviso.
A partire da metà giugno, il team di sicurezza di GitHub ha osservato numerose richieste da indirizzi IP insoliti per gli utenti di DeepSource, ma non era sicuro che si fosse verificato un compromesso, nonostante il traffico anomalo.
A seguito di un'indagine più approfondita, tuttavia, GitHub ha stabilito che gli hacker sono riusciti a compromettere l'account GitHub di uno dei dipendenti di DeepSource, nell'ambito della campagna di phishing di Sawfish rilevata all'inizio di quest'anno.
Pertanto, gli aggressori sono riusciti ad accedere alle credenziali per l'app DeepSource GitHub, afferma l'avvio.
"Sfortunatamente, l'informativa sulla privacy di GitHub impedisce loro di condividere con noi l'elenco degli utenti interessati, quindi stiamo divulgando questo problema pubblicamente in attesa che GitHub completi la loro indagine. La nostra comprensione è che GitHub avviserà gli utenti direttamente interessati secondo le loro politiche”, osserva DeepSource.
Gli utenti che desiderano ricevere ulteriori informazioni sui download del repository e altre attività dell'account per identificare comportamenti sospetti possono accedere a questa pagina e chiedere a GitHub i registri necessari.
DeepSource afferma di essersi già occupato di consulenti per la sicurezza del settore e di aver adottato misure per migliorare le politiche e la sicurezza, anche attraverso la formazione sulla sicurezza dei propri dipendenti.
"Inoltre, abbiamo iniziato a lavorare per ottenere la certificazione di conformità SOC 2 Tipo 2, che fornirà un percorso ai revisori di terze parti per garantire che le pratiche di sicurezza di DeepSource superino gli standard del settore", ha annunciato la società.
Per migliorare ulteriormente la sicurezza, DeepSource prevede di lanciare un programma di ricompensa di bug nel prossimo futuro, per identificare i punti deboli delle sue risorse, anche se questo incidente non è il risultato di una vulnerabilità nell'applicazione DeepSource stessa.
L'avvio ha anche inviato notifiche a tutti i suoi utenti via e-mail per informarli dell'incidente di sicurezza.
