El hacker obtiene control administrativo sobre Sourcegraph y da libre acceso a las masas

Un lector anónimo cita un informe de Ars Technica: hacker desconocido Obtuvo el control administrativo de Sourcegraph, un servicio basado en inteligencia artificial utilizado por desarrolladores de Uber, Reddit, Dropbox y otras empresas, lo ha utilizado para brindar acceso gratuito a recursos que normalmente requerirían pago. En este proceso, los piratas informáticos pueden haber accedido a información personal perteneciente a los usuarios de Sourcegraph, dijo Diego Comas, jefe de seguridad de Sourcegraph. trabajo miércoles. Para los usuarios pagos, la información expuesta incluía claves de licencia y los nombres y direcciones de correo electrónico de los titulares de las claves de licencia. Para los usuarios que no pagaban, se limitaba a las direcciones de correo electrónico asociadas a sus cuentas. No fue posible acceder al código privado, correos electrónicos, contraseñas, nombres de usuario u otra información personal.

El pirata informático obtuvo acceso administrativo al obtener una clave de autenticación que un desarrollador de Sourcegraph había incluido por error en el código implementado en una instancia pública de Sourcegraph alojada en Sourcegraph.com. Después de crear una cuenta normal de Sourcegraph para el usuario, el hacker utilizó el token para elevar los privilegios de la cuenta a privilegios de administrador. El token de acceso apareció en una solicitud de extracción publicada el 14 de julio, la cuenta de usuario se creó el 28 de agosto y se promovió a administrador el 30 de agosto. «El usuario malintencionado, o alguien conectado a él, ha creado una aplicación proxy que permite a los usuarios conectarse directamente a las API de Sourcegraph y aprovechar el LLM subyacente. [large language model]»Se ordenó a los usuarios que crearan cuentas gratuitas en Sourcegraph.com, generaran tokens de acceso y luego pidieran al usuario malintencionado que aumentara drásticamente el límite de tarifas», escribió Comas. El 30 de agosto (2023-08-30 13:25:54 UTC), el equipo de seguridad de Sourcegraph identificó al usuario responsable del sitio malicioso, revocó su acceso e inició una investigación interna tanto para la mitigación como para los próximos pasos”.

El recurso gratuito para todos ha llevado a un aumento significativo en la cantidad de llamadas a las interfaces de programación de Sourcegraph, que generalmente tienen una tarifa limitada para las cuentas gratuitas. «La promesa de acceso gratuito a la API de Sourcegraph impulsó a muchos a crear cuentas y comenzar a usar la aplicación proxy», escribió Comas. «La aplicación y las instrucciones sobre cómo usarla llegaron rápidamente a la web, generando casi 2 millones de visitas. A medida que más usuarios descubrieron la aplicación proxy, crearon cuentas gratuitas en Sourcegraph.com, agregaron sus códigos de acceso y accedieron a las API de Sourcegraph. «ilegalmente». […] Aunque la mayoría de los datos estaban disponibles para todos los usuarios pagos y comunitarios, la cantidad de claves de licencia expuestas se limitó a 20 claves.