O FBI publicou em seu site um alerta a empresas e agências governamentais dos EUA, avisando que hackers estão se aproveitando de falhas de configuração de uma ferramenta chamada SonarQube, usada para detectar bugs e falhas de segurança em programas, para roubar código-fonte.

O problema, segundo o FBI, é que muitas empresas deixam suas instâncias do SonarQube expostas à web, com credenciais de login (usuário admin, senha admin) e portas (9000) padrão. Os hackers usam estes dados para fazer login na ferramenta e, a partir dela, acessar repositórios de código-fonte em serviços como o GitHub, BitBucket, GitLab e outros.

Estes repositórios são usados por empresas para centralizar o desenvolvimento de software, permitindo que vários programadores trabalhem em um projeto simultâneamente, sem risco de conflitos.

O código-fonte roubado pode ser analisado em busca de segredos de mercado, para dar uma vantagem competitiva a um concorrente ou para determinar falhas de segurança ou “brechas” que possam ser usadas em um ataque em busca de informações confidenciais.

Vítimas

De acordo com a agência, os “vazamentos” de código-fonte relacionados ao SonarQube começaram a ser identificados em abril deste ano, e a ferramenta é usada por agências do governo dos EUA e também por empresas privadas em setores como tecnologia, finanças, varejo, alimentação, e-commerce e manufatura.

A agência relata dois casos de roubo de código-fonte: um em julho, quando um indivíduo roubou código de várias empresas e o divulgou em um repositório público, e outro em agosto, quando duas organizações foram afetadas. Os nomes das vítimas não foram divulgados.

Como se prevenir

O FBI recomenda que usuários do SonarQube mudem a configuração padrão, incluindo o nome de usuário e senha do administrador e porta na qual o serviço responde. Também sugere que instâncias sejam colocadas atrás de uma tela de login, e que tentativas de acesso não autorizado sejam monitoradas.

Além disso, se possível as chaves de API (API Keys) usadas por outros apps para acessar o SonarQube (e vice-versa) devem ser revogadas, e novas chaves emitidas. Por fim, recomenda que instâncias do SonarQube sejam colocadas atrás de um firewall corporativo e outras “defesas de perímetro”, para impedir acesso não autorizado.

Fonte: FBI