Nieuws

Softwarebedrijf CircleCI slachtoffer van hacking

CircleCI
Hacker dark face using laptop in the dark room
Eind vorig jaar werd softwarebedrijf CircleCI het slachtoffer van hackers. In een blogpost brengt het bedrijf nu aan het licht wat er precies aan de hand was.

Uit die blogpost blijkt dat een onbekende op 16 december toegang verkregen had tot de systemen van CircleCI. Aanvankelijk gebeurde dat via de laptop van een werknemer. Eenmaal de hackers in het systeem zaten, installeerden ze malware. Die zorgde ervoor dat het bewuste gebruikersaccount te allen tijde ingelogd bleef. Op die manier konden de hackers, ook nadat enkele veiligheidsnetten werden opgeworpen, blijven rondneuzen in de computersystemen van CircleCI.

Tijdens dat rondneuzen verzamelden de hackers heel wat versleutelde klantgegevens. Zonder veiligheidssleutels valt die data niet te ontcijferen, maar ook die zouden de hackers buitgemaakt hebben. CircleCI zegt dan ook dat alle klanten die ‘geheime informatie’ op hun platform hadden staan tussen 22 december 2022 en 4 januari 2023 er vanuit moeten gaan dat die informatie gelekt werd. Alles wat na 5 januari 2023 opgeladen werd in het systeem zou wel weer veilig moeten zijn.

CircleCI neemt de volledige verantwoordelijkheid voor de hackersaanval. Weliswaar werd er in het systeem binnengedrongen via de laptop van één enkele werknemer. Toch meent CircleCI dat het hier om een systeemfout gaat: ze zien het als hun verantwoordelijkheid om voldoende veiligheidsnetten te voorzien opdat het systeem altijd beveiligd blijft.

Richtlijnen voor getroffen bedrijven

Voor wie gebruik maakt van de diensten van CircleCI, voorziet het bedrijf enkele richtlijnen. Zo kan intern nagegaan worden of je getroffen bent door de aanval op het bedrijf. De gegevens die ze voorzien bestaan uit onder andere IP-adressen en namen van bestanden die mogelijk uw computer infecteren. We lijsten ze hier nog eens op.

IP-adressen waarvan de aanval gebeurde:

  • 178.249.214.10
  • 89.36.78.75
  • 89.36.78.109
  • 89.36.78.135
  • 178.249.214.25
  • 72.18.132.58
  • 188.68.229.52
  • 111.90.149.55

Datacenters en VPN’s die de hacker gebruikte:

  • Datacamp Limited
  • Globalaxs Quebec Noc
  • Handy Networks, LLC
  • Mullvad VPN

Verdachte bestanden om te zoeken en verwijderen:

  • /private/tmp/.svx856.log
  • /private/tmp/.ptslog
  • PTX-Player.dmg (SHA256: 8913e38592228adc067d82f66c150d87004ec946e579d4a00c53b61444ff35bf)
  • PTX.app

Domeinnamen om te vermijden:

  • potrax[.]com

Kijk GitHub files na op volgende logbestanden en hun inhoud:

  • repo.download_zip
beveiligingbusinessCircleCIcybercriminaliteitmalware

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken