La empresa Sweetgreen pensó que con lo que se había encontrado el 1 de abril, era una broma pesada. Pero, no fue así. Sweetgreen al igual que otros clientes del sitio web Codecov, evidenciaron un acceso no autorizado a sus credenciales.
Codecov la empresa de software que vende herramientas de testeo, para que sus clientes garanticen su código de base. Dio a conocer que tuvo una brecha en el sistema donde atacantes pudieron acceder. La falla se dio en el proceso de creación de imagen Docker, obteniendo allí el acceso al script Bash Uploader. De manera silenciosa el script diseñado para informar y mapear entornos de desarrollo de la empresa, se vio alterado. Filtrando información, y dando acceso a las credenciales para manipular la plataforma.
Jerrod Engelberg CEO de Codecov, explicó que, por la brecha en el Bash Uploader se vieron expuestas informaciones de clientes. Todos aquellos que ejecutaran claves o tokens enviando desde el entorno CI, quedaron en exposición. Así mismo los hackers accedieron al almacén de datos, código de aplicación y dirección de repositorios git, subscribiendo desde las credenciales indicadas.
La investigación, llega a conclusiones como que el actor que comete este acceso indebido, estaba en el sistema desde el 31 de enero, por lo que estuvo filtrando datos al menos por 3 meses. Codecov no ha sincerado en total cuantos son los clientes que se han visto afectados. Se han nombrado apenas algunos reconocidos como The Washington Post, Atlassian, Mozilla, SweetGreen y GoDaddy. Se especificó que otros tres cargadores Bash fueron afectados: Codecov CircleCI Orb, Codecov-actions uploader para GitHub y el Codecov Bitrise Step.
El impacto de la brecha para Codecov y sus clientes
Después de identificar la filtración de Codecov por esta brecha, se espera que el impacto hacia los clientes y la propia empresa, sea negativo. La medición hecha dependerá de qué tan afectados y expuestos se vieron los datos de los clientes. Así mismo, se espera que se amplié la información entregada por la empresa para establecer quienes son los responsables y cuál es el objetivo de esta maniobra. Se considera que la afectación fue orientada hacia los clientes de Codevoc, más que sobre la misma empresa.
Para esta acción intencional de filtración, hubo un estudio y selección previa no casual de Codecov. Tenían una base informativa de cómo se compone la empresa, con una creación reciente en el 2014 y un perfil bajo. Pero sabían también, que los clientes a los que presta sus servicios, son grandes empresas con exposición pública. Querían los datos de los clientes.
Varios expertos han señalado que esta intromisión a la que estuvo expuesta la empresa por casi 3 meses, fue espionaje. La consultora en ciberseguridad Bambenek explicó que, en la actualidad establecen estas líneas de filtración para obtener las credenciales y venderlas en redes y organizaciones criminales que sacaran provecho de estos datos. El encargado de la empresa de ciberseguridad Bambenek, aseguró además, que es de gran impacto el poder que tienen al manejar credenciales originales. Ya que al tener ese acceso, podrán alterar la producción de los códigos de software de los clientes.
La estimación hecha por algunos expertos, es que la segmentación de la información ayude a alivianar el impacto sobre el acceso informático. Ya que, si hubo una correcta separación informática no pudieron acceder a todas las partes con diferentes ubicaciones, donde estaban los datos de los clientes.
El descubrimiento de este cambio de código en Codecov, es una gran hazaña para una empresa que cuenta con recursos limitados y poca trayectoria. Representa además, una forma de reorganizar y reformar la aprobación en los cambios de código para implementación de software. El investigador Quinn Wilton de Synopsis Software Integrity señaló que las claves de firmas de código deben ser revisadas y actualizadas a nuevas formas de trasparencia para la ejecución del software.