האקרים השיגו שליטה אדמיניסטרטיבית ב- Sourcegraph – שירות מבוסס בינה מלאכותית המשמש מפתחי Uber, Reddit, Dropbox וחברות אחרות והשתמשו בו כדי לספק גישה חופשית למשאבים שבדרך כלל דורשים תשלום. במהלך הדברים ייתכן שההאקרים ניגשו למידע אישי השייך למשתמשי Sourcegraph, אמר דייגו קומאס – ראש האבטחה של Sourcegraph. אצל משתמשים בתשלום, המידע שנחשף כלל מפתחות רישיון, שמות וכתובות דואר אלקטרוני של בעלי מפתחות רישיון. עבור משתמשים שאינם משלמים הוגבלה חשיפת המידע לכתובות אימייל המשויכות לחשבונות שלהם. קוד פרטי, מיילים, סיסמאות, שמות משתמשים או מידע אישי אחר לא היו נגישים ולפיכך לא נחשפו.
ההאקרים השיגו גישה אדמיניסטרטיבית על ידי השגת מפתח אימות אותו כלל בטעות מפתח Sourcegraph בקוד של Sourcegraph שפורסם לציבור הרחב. לאחר יצירת חשבון משתמש רגיל ב- Sourcegraph, השתמשו ההאקרים באסימון כדי להעלות את הרשאות החשבון לאלו של מנהל מערכת. אסימון הגישה הופיע בבקשת משיכה שפורסמה ב- 14 ביולי, חשבון המשתמש נוצר ב- 28 באוגוסט והאסקלציה לניהול התרחשה ב- 30 באוגוסט. "המשתמש הזדוני יצר אפליקציית פרוקסי המאפשרת למשתמשים להתקשר ישירות לממשקי ה- API של Sourcegraph ולמנף את ה- LLM הבסיסי [מודל שפה גדול]", אמר קומאס והוסיף כי "המשתמשים קיבלו הוראה ליצור חשבונות Sourcegraph.com בחינם, ליצור אסימוני גישה ולאחר מכן לבקש מהמשתמש הזדוני להגדיל בצורה ניכרת את מגבלת התעריף שלהם. ב- 30 באוגוסט זיהה צוות האבטחה של Sourcegraph את המשתמש הזדוני בעל ההרשאות האדמיניסטרטיביות שגישתו בוטלה והחלה חקירה פנימית.
"ההבטחה לגישה חופשית ל- Sourcegraph API גרמה לרבים ליצור חשבונות ולהתחיל להשתמש באפליקציית ה- proxy", אמר קומאס וציין כי האפליקציה וההוראות לשימוש בה עברו במהירות ברחבי האינטרנט ויצרו קרוב ל- 2 מיליון צפיות. ככל שמשתמשים נוספים גילו את אפליקציית ה- proxy, הם יצרו חשבונות Sourcegraph.com בחינם, הוסיפו את אסימוני הגישה שלהם וניגשו לממשקי API של Sourcegraph באופן בלתי חוקי.
אנשי Sourcegraph זיהו בסופו של דבר את הזינוק בפעילות והחלו לחקור את הסיבה. קומאס אמר כי ניתוח הקוד האוטומטי של החברה ומערכות הבקרה הפנימיות האחרות לא הצליחו לתפוס את אסימון הגישה המדובר. האסימון נתן למשתמשים את היכולת להציג, לשנות או להעתיק את הנתונים שנחשפו, אך קומאס הדגיש שהחקירה טרם הסתיימה. בעוד שרוב הנתונים היו זמינים עבור כל המשתמשים בתשלום ובקהילה, הוגבל מספר מפתחות הרישיון שנחשפו ל- 20.
הפרסום בשוגג של אישורים פרטיים בקוד זמין לציבור על ידי מפתחים, מהווה בעיה המטרידה חברות מקוונות כבר יותר מעשור. אישורים אלו יכולים לכלול מפתחות הצפנה פרטיים, סיסמאות ואסימוני אימות. בעידן של מאגרי קוד נגישים לציבור כמו GitHub, אין לכלול אישורים ב- commits. במקום זאת, יש לאחסן אותם רק בשרתים מוגבלים.
