Control Administrativo de Sourcegraph en Manos de Hacker
Un hacker no identificado logró obtener el control administrativo de Sourcegraph, una herramienta basada en inteligencia artificial usada por desarrolladores de empresas como Uber, Reddit y Dropbox.
Este individuo ofreció acceso gratuito a recursos que usualmente son de pago.
Exposición de Información Personal
Diego Comas, jefe de seguridad de Sourcegraph, indicó que durante este incidente, el hacker pudo haber accedido a información personal de los usuarios.
Los afectados de pago tuvieron expuestas sus claves de licencia, nombres y correos electrónicos. Por otro lado, los usuarios gratuitos solo vieron comprometidos sus correos electrónicos.
Afortunadamente, datos como códigos privados, contraseñas y otros detalles personales no estuvieron al alcance.
¿Cómo Ocurrió el Ataque?
El acceso del hacker se originó por una clave de autenticación que un desarrollador de Sourcegraph dejó por error en el código público.
Esta clave fue utilizada para elevar privilegios de una cuenta normal a administrador. El token de acceso se publicó el 14 de julio, la cuenta se creó el 28 de agosto y se promovió a administrador el 30 de agosto.
Aplicación Proxy y Acceso Masivo
El hacker, o alguien asociado, creó una aplicación proxy que permitía a los usuarios conectarse a las APIs de Sourcegraph.
Se instruyó a los usuarios a crear cuentas gratuitas y generar tokens de acceso. El 30 de agosto, el equipo de seguridad de Sourcegraph identificó al usuario malicioso, revocando su acceso e iniciando una investigación.
Impacto en las Interfaces de Programación
El acceso gratuito provocó un incremento en las llamadas a las APIs de Sourcegraph, que suelen tener un límite para cuentas gratuitas.
Diego Comas mencionó que la promesa de acceso gratuito llevó a muchos a usar la aplicación proxy, generando casi 2 millones de visitas.
A pesar de la masiva exposición, solo 20 claves de licencia fueron comprometidas.
