Sourcegraph, сервис искусственного интеллекта, используемый такими компаниями, как Uber, Reddit и Dropbox, стал жертвой хакера, получившего административный контроль. Вскоре он открыл доступ к нему для всех желающих.

Злоумышленник воспользовался ключом аутентификации, случайно включенным в общедоступный код Sourcegraph, и получил административные привилегии. В результате взлома были раскрыты данные с серверов, включая лицензионные ключи, имена и адреса электронной почты владельцев лицензионных ключей для платных пользователей. У неплатящих пользователей были раскрыты адреса электронной почты. К счастью, закрытый код, пароли и другие конфиденциальные данные остались недоступны.

Хакер предлагал пользователям создавать учетные записи Sourcegraph, генерировать маркеры доступа и повышать свои привилегии. Это вызвало резкий рост числа обращений к API Sourcegraph, обычно ограниченных для бесплатных учетных записей. Взлом был обнаружен 30 августа, в результате чего доступ был аннулирован, и было проведено внутреннее расследование.

Источник: Ferra