GitHub Actionsのビルドパイプラインにおいて、たった1行の配置ミスが原因で機密情報が漏洩し、ハッカーはこれを悪用して800ドル相当の暗号通貨をマイニングしました。
このパイプラインはデプロイメントインフラ用に設計されていましたが、漏洩によってクラウドへの侵入に繋がるという、何の兆候もありませんでした。
「攻撃者はこれらの脆弱性を、気づかないうちに悪用できる可能性がある」と、あるセキュリティ研究者は述べています。
「16日目: CI/CD の裏切り – GitHub Action の小さな設定ミスが 800 ドルのクラウド侵害につながった経緯」 from infosecwriteups.com
security summaryGitHub Actionsのビルドパイプラインにおいて、たった1行の配置ミスが原因で機密情報が漏洩し、ハッカーはこれを悪用して800ドル相当の暗号通貨をマイニングしました。
このパイプラインはデプロイメントインフラ用に設計されていましたが、漏洩によってクラウドへの侵入に繋がるという、何の兆候もありませんでした。
「攻撃者はこれらの脆弱性を、気づかないうちに悪用できる可能性がある」と、あるセキュリティ研究者は述べています。
コメント