A CircleCI, az amerikai származású szoftverfejlesztő szolgáltatás biztonsági fenyegetést jelentett be, és ennek következtében titkaik cseréjére buzdítja a felhasználókat.
A CircleCI figyelmezteti a felhasználókat a biztonsági probléma után
Az amerikai DevOps platform, a CircleCI figyelmeztetést adott ki felhasználóinak, hogy egy biztonsági incidenst követően változtassák meg titkaikat. Ez a CI/CD platform népszerű a szoftvercsapatok körében, folyamatos integrációt és gyors szállítást biztosítva kód létrehozása. Több mint egymillió ember és több ezer vállalat használja ezt az eszközt, bár most figyelmeztetik őket a biztonsági incidens nyomán.
Az a CircleCI blogbejegyzésRob Zuber technológiai igazgató azt mondta a felhasználóknak, hogy "azonnal forgassák el a CircleCI-ben tárolt titkokat", amelyek "tárolhatók projektkörnyezeti változókban vagy kontextusokban".
A Circle a Twitteren is figyelmeztette az ügyfeleket a problémára.
Zuber a fent említett blogbejegyzésben azt írta, hogy 2022. december 21-től 2023. január 4-ig az ügyfeleknek "ellenőrizniük kell rendszereik belső naplóit az illetéktelen hozzáférés érdekében". Alternatív megoldásként a felhasználók áttekinthetik belső naplóikat a titkaik elforgatása után. Ezenkívül Zuber megemlítette, hogy az összes Project API token érvénytelen lett, ezért a felhasználóknak le kell cserélniük.
A CircleCI nem közölt részleteket a biztonsági incidensről
Míg a CircleCI értesítette a felhasználókat egy biztonsági problémáról, és tanácsot is adott az adatok védelme, még nem adtak ki információt a probléma természetéről. Úgy tűnik azonban, hogy a CircleCI a közeljövőben további részletekkel kíván szolgálni az incidensről (amint azt Rob Zuber is kijelentette az üggyel kapcsolatos blogbejegyzésében).
Nem ez az első CircleCI biztonsági incidens
Bár nem ismerjük az itt tárgyalt biztonsági incidens részleteit, azt tudjuk, hogy a CircleCI korábban is foglalkozott incidensekkel.
2019-ben a vállalat jogsértést szenvedett el, mert beszivárgott egy harmadik fél analitikai szolgáltató. A támadás operátorának sikerült megszereznie a felhasználóneveket, e-mail címeket, fiókneveket, adattár URL-eket és IP-címeket. Akkoriban a vállalat figyelmeztette a felhasználókat, hogy nézzék át mind a tárhelyük, mind a fiókjaik nevét.
Ha Ön CircleCI-felhasználó, tegyen lépéseket
Ha véletlenül CircleCI-t használ, érdemes megfontolni a cég tanácsát a biztonsági probléma után. A titkok forgatásával és a belső naplók áttekintésével megvédheti magát ez ellen a lehetséges biztonsági fenyegetés ellen.