首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

联邦官员确认正在调查软件代码测试公司Codecov的违规行为

2021-04-19 00:28 · 稿源:cnbeta

据路透社报道,联邦官员正在调查软件审计公司Codecov的安全漏洞,该漏洞在被外部利用数月内未被发现。Codecov的平台用于测试软件代码是否存在漏洞,其2.9万名客户包括Atlassian、宝洁公司、GoDaddy和华盛顿邮报。

在该公司网站上的一份声明中,Codecov首席执行官Jerrod Engelberg承认了这一漏洞和正在接受联邦政府调查,称有人在未经公司允许的情况下获得了其Bash Uploader脚本的访问权限并对其进行了修改。

"我们的调查已经确定,从2021年1月31日开始,有定期的,未经授权的第三方修改我们的Bash Uploader脚本,这使得他们有可能导出存储在我们用户的持续集成(CI)环境中的信息,"Engelberg写道。"这些信息随后被发送到Codecov基础设施之外的第三方服务器。"

根据Engelberg的帖子,该工具的修改版本可能会影响到:

我们的客户通过他们的CI运行器传递的任何凭证、令牌或密钥,当Bash Uploader脚本被执行时,这些凭证、令牌或密钥可以被访问。

任何服务、数据存储和应用程序代码都可以通过这些凭证、令牌或密钥被访问。

使用Bash Uploaders将覆盖范围上传到CI中的Codecov的仓库的git远程信息(起源仓库的URL)。

虽然该漏洞发生在1月份,但直到4月1日才被发现,当时有客户发现该工具有问题。"在意识到这个问题后,Codecov立即对可能受影响的脚本进行了保护和修复,并开始调查用户可能受到影响的程度,"Engelberg写道。

Codecov不知道是谁展开了此次入侵行动,但已经聘请了一家第三方取证公司帮助其确定用户是如何受到影响,同时向执法部门报告了此事。该公司给受影响的用户发了电子邮件,Codecov没有说出他们的名字。

"我们强烈建议受影响的用户立即重新制作他们所有的凭证、令牌或位于其CI进程中环境变量中的密钥,这些程序使用了Codecov的Bash Uploaders之一,"Engelberg补充道。

虽然Codecov漏洞的广度仍不清楚,但路透社指出,它可能与去年年底的SolarWinds黑客事件产生类似的深远影响。在那次入侵事件中,与俄罗斯政府有关的黑客入侵了SolarWinds的监控和管理软件。据信约有250家实体受到SolarWinds漏洞的影响,包括Nvidia、Cisco和Belkin。美国财政部、商务部、州政府、能源部和国土安全机构也受到了影响。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • NVIDIA:显卡缺货将持续到年底、努力增加供应

    日前有消息称NVIDIA将推出新版RTX 3060,这次会真正封杀挖矿性能,可以看出NVIDIA多少还是希望照顾下游戏显卡市场的,毕竟这是他们的根基。但是在挖矿没有退烧反而愈演愈烈的情况下,显卡自由不是那么容易的。在日前的投资者会议上,NVIDIA CFO Colette Kress也回应了显卡缺货的问题,她指出显卡缺货的问题会一直持续到年底。不过缺货不会限制NVIDIA的业绩增长,Colette Kress表示NVIDIA在努力增加供应,但没有给出具体的信息。从G

  • NVIDIA发布6款RTX专业显卡:安培架构、图形工作专用

    NVIDIA安培显卡家族迎来大扩军,一口气上新了多达六款型号,但不是游戏卡,而是图形工作站用的专业卡,也即是曾经的Quadro系列(这个品牌已被弃用),面向艺术家、设计师、工程师等人群。

  • 为遏制挖矿 Nvidia所有RTX 30系列显卡将升级Ampere GPU核心

    为进一步遏制挖矿,Nvidia 即将发布的 GeForce RTX3080Ti 以及当前所有 RTX30系列都将会配备经过修改的 。全新的 GPU 核心会装备在 GeForce RTX30系列所有显卡中,不过目前已经发售给用户的显卡不受影响。Nvidia 在 RTX3060显卡上率先进行了防止挖矿的核心,不过由于意外偷跑的驱动更新导致这个限制形同虚设。据消息人士透露,最初一批基于 GA102-225-A1GPU 核心的 GeForce RTX3080Ti 显卡仍然没有完全防止加密货币挖矿。目前 QS ?

  • 法拉第未来:FF 91将搭载英伟达最新NVIDIA Drive Orin平台

    法拉第未来(FF)宣布将在FF91电动车上搭载英伟达NVIDIA Drive Orin平台芯片。FF91计划在2022年上市时实现高速公路自动驾驶功能以及停车和召唤功能。

  • NVIDIA神秘SoC处理器曝光:从未见过的CPU、GPU架构

    NVIDIA虽然没有通用的处理器,但在自动驾驶等领域,一直都在打造自己的SoC,融合ARM CPU架构以及自家的先进GPU架构,尤其是后者,甚至往往比起专业卡、游戏卡都要领先一步。今天收到曝料,NVIDIA正在设计一款代号“Atlan”的全新SoC,面向自动驾驶领域,也是2019年宣布的“Orin”的继任者——两个代号都来自亚特兰蒂斯传说,Orin是亚特兰蒂斯的第一任国王“奥林”,Atlan则是奥林的父亲“阿特兰”。从泄露的结构图上看,Atlan SoC?

  • NVIDIA下重手 RTX 3080 Ti这次彻底封杀挖矿了

    NVIDIA的RTX 30系列显卡今年还会陆续扩展,高端、低端都会有新品,传闻已久的RTX 3080 Ti显卡已经箭在弦上,很快就要发布了。按照之前的爆料,RTX 3080 Ti定价999美元,也就是和RX 6900 XT海外定价一致(国行7999元),5月发售上市。规格方面,RTX 3080 Ti预计会将流处理器减少到10240个,显存则变为384-bit 12GB GDDR6X。大家都很清楚,在当前的情况,RTX 3080 Ti显卡的建议价没有什么意义,最终要看实际售价,而这跟它的挖矿能力

  • NVIDIA官宣全新自动驾驶平台:下代CPU+下代GPU

    除了基于ARM架构、面向AI/HPC的自主CPU处理器“Grace”,NVIDIA今天还发布了下一代全新自动驾驶平台“DRIVE Atlan”。这也是NVIDIA的第四代自动驾驶平台。第一代“Parker”(蜘蛛侠彼特·帕克)诞生于2018年,算力1TOPS(每秒1万亿次操作),两年后迎来了“Xavier”(X教授),算力突破30TOPS,而第三代“Orin”(亚特兰蒂斯首任国王奥林)计划明年落地,算力达到254TOPS。“Atlan”(奥林之父亚特兰)则要等到2025年才会商用,其算力突破100

  • [图]Nvidia将推Atlan:面向汽车行业的下一代SoC

    NVIDIA Atlan 是面向汽车行业的下一代 SoC。从命名来看,Nvidia 还在使用《海王》(Aquaman)系列中的名字。早在 2019 年开始,Nvidia 宣布的 Orin SoC,就是以亚特兰蒂斯的第一统治者命名的。而今天 Nvidia 宣布了以 Orin 之父命名的 Atlan SoC。Atlan SoC 采用了 Grace-Next CPU 和 Ampere-Next GPU。该芯片还集成了 Bluefield 数据处理单元(DPU)。不过遗憾的是,除了图片并没有太多的细节公布,因此目前我们无法完全确定规格?

  • 与IntelNVIDIA的决战开始 AMD股东批准350亿美元收购赛灵思

    日前AMD股东、赛灵思的股东以压倒性优势双双批准了AMD收购赛灵思的交易,预计今年内完成,尚需完成全球监管部门的审批。

  • 谷歌曝光7个黑客利用的零日漏洞:iOS、Android和Windows无一幸免

    随着人们掌握的安全漏洞知识越来越多,随之而来的则是越来越多的漏洞被发现和利用。据外媒报道,近日,谷歌的互联网安全团队“Project Zero”披露了 2020 年 7 个零日漏洞,黑客利用这些漏洞入侵了iOS、Android和Windows设备。

  • 同性交友网站Manhunt遭遇黑客入侵 超10%用户受到影响

    Manhunt 是一款宣称拥有 600 万用户的同性交友应用,但该公司已于近日证实其服务器曾在今年 2 月份遭到黑客入侵,并且被攻击者拿到了用户账户数据库的访问权限。在向华盛顿州检察长办公室提交的通告中,Manhunt 透露黑客下载了部分用户的 ID、电子邮件和密码等信息。Google Play 截图虽然文中没有明确提及用户密码的加密方式(如果有的话),但若加密算法显然很容易被攻击者给破解为纯文本,进而导致用户账户被黑客入侵。事件发生?

  • 黑客正试图出售5亿LinkedIn用户的数据

    微软再次成为黑客攻击的目标,据外媒报道,5亿LinkedIn用户的数据已经泄露,有可能在网上出售。微软最近收购的企业社交网络(enterprise social network)是该公司的一大亮点,因为该公司公布的季度收入和订阅量都有所增长。

  • 白帽黑客成功找到Zoom的远程代码执行漏洞 获得20万美元奖励

    据外媒报道,两位荷兰白帽安全专家参加了一年一度的电脑黑客大赛Pwn2Own,成功找到了Zoom的远程代码执行(RCE)漏洞,并且获得了20万美元的奖励。Pwn2Own是 "零日倡议 "组织的一项高规格活动,挑战黑客在常用软件和移动设备中发现新的严重漏洞。举办该活动的目的是为了证明流行的软件和设备都有缺陷和漏洞,并为漏洞的地下交易提供一个平衡点。"目标 "自愿提供自己的软件和设备,并对攻击成功者给予奖励。粉丝们会看到一场黑客奇观

  • Expedia推出COVID-19旅行限制咨询工具

    据外媒报道,今日,英国的封锁明显放松,该国政府再次表示,人们可以开始考虑海外度假了。不过在现在这个特殊的大流行背景下人们究竟怎样才能做到更加安全的出游呢?Expedia就是一个相当好的帮手。比如从海外旅行回来的英国人,该工具会给出以下建议:所有旅客抵达英国后都需进行为期10天的隔离。从阿富汗、阿尔巴尼亚抵达英国的旅客可以在家里隔离,另外必须在旅行前预订旅行检测包以便在隔离的第2天和第8天进行检测。他们也可以?

  • 新手如何最低成本搭建自己的网站

    要说建站,可能很多人会因为网站空间的费用望而生畏,本文笔者分享几个容易上手而且价格非常有优势的网站空间,零基础也可以搭建博客,甚至搭建一个企业网站。搭建网站并没有我们想象中的那么难,只要选择了方向,操作起来就很方便,本文笔者从低成本方面介绍如何使用网站空间搭建网站。方法一:使用一键建站。目前有很多虚拟主机已经提供一键建站,笔者之前一直使用的是bluehost虚拟主机/VPS主机,其建站步骤如下:1、购买域名。?

  • 软件加密库OpenSSL出现高危漏洞,容易遭黑客攻击致服务器崩溃

    日前,OpenSSL 项目修复了一个高危漏洞,该漏洞允许黑客发送特制恶意请求完全关闭大量的服务器。OpenSSL 是最广泛使用的软件加密库,提供了经过时间考验的靠谱的加密功能。

  • 湖南电信络遭境外黑客攻击崩溃?移动/联通正常、非黑客

    4月13日下午,湖南电信网络突然崩溃,据说是境外黑客DDOS洪水攻击,总出口和入口堵塞导致。还有网传说法称,整个湖南省的电信、联通、移动固网全部都已经间断瘫痪。不过,中国移动方面对媒体确认,并无异常,“湖南移动网络一切正常”。中国联通也回应称,“经确认,湖南联通网络一切正常”,并未出现网传的异常情况。中国电信客服也在最新回应中称,下午突发网络故障,导致全省网络出现问题,故障原因正在调查中,但不是网传的境?

  • 特朗普个人网站正式上线 友:果然是生意精

    当地时间29日,美国前总统特朗普和前第一夫人梅拉尼娅·特朗普个人网站正式上线。特朗普办公室发表简短声明,宣布推出“美国第45任总统官网”(45office.com)。

  • 招聘网站开了这么多年,为什么你还是觉得找工作很难?

    从微观看,个人找工作难,企业招人难。从宏观看,就业是民生的重中之重,十四五目标提出城镇调查失业率控制在5.5%以内。具体到2021年,《政府工作报告》将城镇新增就业目标设定为1100万人以上,政府推动一系列政策促进就业。

  • 网站用企业级OV SSL证书能带来怎样的体验?

    网站安全问题越来越受到重视,尽管只是一个中小企业的管理者,我同样在意自身官网的安全。通过了解知道了给网站部署SSL证书能够有效保障网站的安全性。 千寻万找与货比三家,最终通过安信SSL证书这家貌似专业度还不错的服务商申请了GeoTrust?OV企业级SSL证书,在他们的协助下成功部署。没吃过猪肉但也见过猪跑,在申请和部署的过程中也逐渐对SSL证书的概念有了一定的了解, 那就来说说一个小企业官网也用企业级OV SSL证书是一种怎?

  • 热门标签