Criminele hackers hebben tussen januari en april inloggegevens buitgemaakt doordat ze toegang hadden tot devtool Bash Uploader van software-auditingbedrijf Codecov en de code van het Bash Uploader-script aanpasten. Een nog onbekend aantal klanten is hierdoor getroffen.
Codecov heeft een beveiligingslek gemeld waarbij criminelen een credential harvester hebben toegevoegd aan developertool Bash Uploader, waarmee Codecov-gebruikers rapportages kunnen sturen naar het bedrijf voor analyse. Hierbij konden criminelen inloggegevens buitmaken van een nog onbekend aantal van de 29.000 klanten van Codecov.
Codecov meldt dat de aanvaller zeker tweeënhalve maand actief gegevens heeft kunnen stelen van gebruikers, nadat hij op 31 januari toegang kreeg tot Bash Uploader. Hierbij zijn inloggegevens, tokens en sleutels buitgemaakt. Codecov ontdekte het lek op 1 april pas, nadat een klant opmerkte dat er iets niet helemaal klopte in de tool.
Onder de klanten van Codecov bevinden zich ook grote bedrijven, zoals Atlassian, P&G, GoDaddy, the Washington Post, Tile, Dollar Shave Club en Webflow. Alle klanten hebben een e-mail ontvangen met instructies voor hoe ze nu moeten handelen. Het bedrijf roept alle gebruikers op om alle inloggegevens te veranderen die ze in de afgelopen tweeënhalve maand hebben gebruikt.
Het gaat hierbij niet alleen om klanten die Bash Uploader gebruiken. Omdat Bash Uploader verweven is in andere producten van het bedrijf, denkt Codecov dat een groot aantal van zijn klanten getroffen is door het lek. Het Bash Uploader-script dat de hacker heeft aangepast, wordt onder andere gebruikt in de Codecov-actie-uploader voor GitHub, CircleCL Orb en Bitrise Step.
Amerikaanse federale onderzoekers hebben een onderzoek ingesteld naar het voorval. Zij maken zich zorgen over de omvang van het lek en trekken de vergelijking met bijvoorbeeld de Solarwinds-hack van een aantal maanden gelden, vooral omdat ontwikkelaars van zoveel grote bedrijven gebruikmaken van de tools van Codecov.