CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ

CircleCI, LastPass, Okta, and Slack: Cyberattackers Pivot to Target Core Enterprise Tools

2023/01/14 DarkReading — 開発パイプライン・サービスを提供する CircleCI が、1月上旬にセキュリティ侵害について警告し、同社のプラットフォーム上に保存/管理されている、パスワードや SSH キーなどの機密情報などを、直ちに変更するようユーザー企業に呼びかけている。CircleCI は、DevOps サービスへの攻撃から生じる、侵害範囲の特定/ソフトウェア改ざんの抑制/開発機密の侵害の特定などに躍起になっていた。具体的に言うと、認証トークンのローテーション/コンフィグレーションの変更/他のプロバイダーとの連携によるキーの失効/インシデント調査などを、同社は進めてきた。

Continue reading “CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ”

AWS アクセス・トークンなどをハードコード:1,800 種類の Android/iOS アプリ

Over 1,800 Android and iOS Apps Found Leaking Hard-Coded AWS Credentials

2022/09/01 TheHackerNews — 研究者たちが提起した深刻なセキュリティ・リスクとは、Amazon Web Services (AWS) 認証情報などをハードコードしている、1,859 種類の Android/iOS アプリが特定されたというものだ。Broadcom Software 傘下 Symantec の Threat Hunter チームは、The Hacker News と共有したレポートの中で、「それらのアプリの 77% に、AWS プライベート・クラウド・サービスにアクセスできる、有効な AWS アクセス・トークンが含まれていた」と述べている。

Continue reading “AWS アクセス・トークンなどをハードコード:1,800 種類の Android/iOS アプリ”