有唔少軟件開發者及工程師都會使用嘅 CircleCi 服務,喺上個月宣布系統遭受入侵,經過一個月嘅分析,CircleCi 最新披露整件事嘅來龍去脈,原來喺公司內部一個工程師嘅電腦被資訊盜竊惡意軟件感染,網絡犯罪分子因而利用電腦內儲存嘅 SSO 登入 session cookie,唔再需要做雙重登入驗證(2FA),直入內部系統,偷取咗大量機密及客戶資料。再次證明 2FA 、 MFA 呢類身分驗證雖然可以提升安全性,但都唔係完全無破綻。
入侵事件喺上個月發生,當時 CircleCi 一個客戶向他們匯報,指自己用於登入 Github 帳戶嘅 OAuth token 被不名人士盜用,官方發現問題後,即時採取行動將所有客戶嘅 Github OAuth token 都自動替換,阻止犯罪分子以手上嘅 token 繞過 2FA 驗證程序登入。同時亦對內部進行調查,發現原來其中一個員工嘅電腦遭受入侵,而且仲發現對方連同解密用嘅金鑰亦偷埋,意味佢哋有可能將 CircleCi 已加密嘅資料進行破解,因此官方亦即時發信通知客戶。
從今次事件睇,其實犯罪集團採用咗近來好流行嘅入侵手法,就係通過盜取電腦內儲存嘅帳戶登入 session token,令佢哋唔需要再通過 2FA 或 MFA 驗證程序登入帳戶。由於現時唔少企業都引入多重因素驗證,因此犯罪分子即使可以喺黑市買到帳戶資料,亦登入唔到帳戶,因此先要改變攻擊手法。CircleCi 方面表示經過今次入侵,已加強從行為上偵測內部可疑活動,例如今次被盜職員嘅 token 係喺其他國家登入,如果系統發現登入地區、慣常時間都有唔同,就有可能及早阻止,或要求對方重新進行驗證。另外,企業亦要嚴謹管理每個帳戶嘅權限,如果無需要,就唔好立亂授權員工存取其工作範圍外嘅資料,都可以有效減少損失。
