O FBI publicou em seu site um alerta a empresas e agências governamentais dos EUA, avisando que hackers estão se aproveitando de falhas de configuração de uma ferramenta chamada SonarQube, usada para detectar bugs e falhas de segurança em programas, para roubar código-fonte.
O problema, segundo o FBI, é que muitas empresas deixam suas instâncias do SonarQube expostas à web, com credenciais de login (usuário admin, senha admin) e portas (9000) padrão. Os hackers usam estes dados para fazer login na ferramenta e, a partir dela, acessar repositórios de código-fonte em serviços como o GitHub, BitBucket, GitLab e outros.
Estes repositórios são usados por empresas para centralizar o desenvolvimento de software, permitindo que vários programadores trabalhem em um projeto simultâneamente, sem risco de conflitos.
O código-fonte roubado pode ser analisado em busca de segredos de mercado, para dar uma vantagem competitiva a um concorrente ou para determinar falhas de segurança ou “brechas” que possam ser usadas em um ataque em busca de informações confidenciais.
Vítimas
De acordo com a agência, os “vazamentos” de código-fonte relacionados ao SonarQube começaram a ser identificados em abril deste ano, e a ferramenta é usada por agências do governo dos EUA e também por empresas privadas em setores como tecnologia, finanças, varejo, alimentação, e-commerce e manufatura.
A agência relata dois casos de roubo de código-fonte: um em julho, quando um indivíduo roubou código de várias empresas e o divulgou em um repositório público, e outro em agosto, quando duas organizações foram afetadas. Os nomes das vítimas não foram divulgados.
Como se prevenir
O FBI recomenda que usuários do SonarQube mudem a configuração padrão, incluindo o nome de usuário e senha do administrador e porta na qual o serviço responde. Também sugere que instâncias sejam colocadas atrás de uma tela de login, e que tentativas de acesso não autorizado sejam monitoradas.
Além disso, se possível as chaves de API (API Keys) usadas por outros apps para acessar o SonarQube (e vice-versa) devem ser revogadas, e novas chaves emitidas. Por fim, recomenda que instâncias do SonarQube sejam colocadas atrás de um firewall corporativo e outras “defesas de perímetro”, para impedir acesso não autorizado.
Fonte: FBI