在之前的文章中,我们探讨了Codecov数据泄露事件及其对全球企业的潜在影响。背景信息如下:2021年4月15日,Codecov向客户发出警告
称黑客自2021年1月31日起在Bash上传脚本中植入了后门程序。 黑客利用存在缺陷的Docker镜像创建流程,将Codecov的IP地址替换为自身地址。此漏洞使他们得以将用户信息上传至其服务器。
评估第三方暴露于Codecov数据泄露事件的五大关键问题
目前约有29,000家企业使用Codecov的开发工具,您的第三方供应商中可能也包含其中。因此,评估第三方可能面临的潜在影响至关重要,这有助于降低贵公司数据泄露的风险。 Prevalent精心设计了5个问题的评估方案,可通过确定受影响的第三方供应商及其采取的应对措施,快速识别对您业务的潜在影响。
| 问题 | 可能的对策 |
|---|---|
| 1) 该组织是否使用以下任何上传工具?
(请选择所有适用的选项)。 帮助文本:指定的上传者仅与Codecov相关。 |
a) GitHub 的 Codecov-actions 上传器 b) Codecov CircleCI Orb c) Codecov Bitrise 步骤 |
| 2) 若是如此,该组织是否受到近期Codecov供应链攻击的影响?
(请选择一项)。 帮助文本: 重大影响:网络攻击导致系统或基础设施停止运行或无法使用。数据的保密性或完整性已遭到破坏。 影响:服务可用性已出现周期性中断,部分系统可能出现周期性停止运行。数据的机密性或完整性存在一定程度的损失。 低影响:数据保密性或完整性不受损失;服务可用性几乎不受影响或完全不受影响。 |
a) 已造成重大影响。 b) 对我们的网络、IT运营或安全产品造成了高度影响。 c) 对我们的网络、IT运营或安全产品造成了低度影响。 d) 网络攻击未对我们的网络、IT运营或安全产品造成任何影响。 |
| 3) 根据Codecov的指导,该组织是否已采取以下行动?
(请选择所有适用的选项)。 帮助文本: 组织可通过在组织CI管道中运行env命令,确定向CI环境暴露的密钥和令牌。 如果该命令返回的任何内容被视为私有或敏感信息,Codecov 建议撤销凭据并生成新的凭据。 |
a) 重新生成所有位于环境变量中的凭证,这些凭证存在于使用Codecov Bash上传器的CI流程中。 b) 重新生成所有位于环境变量中的令牌,这些令牌存在于使用Codecov Bash上传器的CI流程中。 c) 重新生成所有位于环境变量中的密钥,这些密钥存在于使用Codecov Bash上传器的CI流程中。 |
| 4) 该组织是否已将使用的bash文件替换为Codecov提供的最新版本?
(请选择一项)。 帮助文本: 任何使用本地存储版本的Bash上传器的组织都应检查该版本是否存在以下问题: curl -sm 0.5 -d "$(git remote -v)" 若本地存储的 Bash 上传器中出现此内容,该组织应立即将 bash 文件替换为 https://codecov.io/bash 上的最新版本。 |
a) 是的,我们已将Bash文件更新为Codecov的最新版本: b) 不,我们尚未将Bash文件更新为Codecov的最新版本 |
| 5) 供应链攻击是否泄露了任何客户敏感信息?
(请选择所有适用的选项)。 帮助文本: 客户敏感信息是指任何一旦泄露给未经授权方可能对客户造成不利影响的材料。影响可能包括但不限于:声誉损害、财务处罚、收入损失或竞争优势丧失。 |
a) 是的,正在进行的调查正在确定暴露程度。 b) 是的,调查已完成,所有受影响方均已知悉。 c) 否,客户敏感信息未受影响。 d) 目前无法确认。 |
Prevalent 可帮助加快第三方事件响应速度
Prevalent近期推出了第三方事件响应服务,该解决方案通过提供集中管理供应商的平台、开展针对性事件评估、对识别风险进行评分以及提供修复指导,助力企业快速识别并缓解供应链安全事件(如Codecov攻击)的影响。Prevalent将此方案作为托管服务提供,使您的团队能够卸载关键响应数据的收集工作,从而专注于风险修复。
作为对事件响应服务的补充,Prevalent 还提供持续的网络和业务违规监测,定期更新违规披露、负面新闻事件和网络事件(如有关供应商的恶意暗网活动)。
这些解决方案有助于自动发现违规影响并加快响应速度。
应对Codecov数据泄露事件的后续措施
使用此问卷评估Codecov攻击可能对您的供应商生态系统造成的影响。欲了解更多信息,请下载最佳实践白皮书或联系我们获取演示!
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
