05/09/23
Используя ключ аутентификации, который был случайно опубликован в открытом коде Sourcegraph, злоумышленник получил административный доступ к функциям платформы. Это привело к утечке данных с серверов, в том числе лицензионных ключей, имен и почтовых адресов платных пользователей. Бесплатные пользователи также потеряли свои почтовые адреса. Однако, закрытый код, пароли и другие секретные данные не были скомпрометированы, согласно Securitylab.
Sourcegraph используется многими известными компаниями, например, Uber для ускорения разработки и улучшения качества кода, а также Dropbox, которая использует Sourcegraph для индексации и анализа кода во всех репозиториях Dropbox.
Хакер предложил пользователям зарегистрироваться на Sourcegraph, создать маркеры доступа и повысить свой уровень привилегий. Призыв киберпреступника привёл к резкому увеличению числа запросов к API Sourcegraph, которые обычно ограничены для бесплатных аккаунтов. Взлом был выявлен 30 августа, после чего доступ пользователей был отозван, и было начато внутреннее расследование.
