CircleCI, en amerikansk-født softwareudviklingstjeneste, har annonceret en sikkerhedstrussel og opfordrer brugere til at rotere deres hemmeligheder som følge heraf.
CircleCI advarer brugere efter sikkerhedsproblem
Den amerikanske DevOps-platform CircleCI har udstedt en advarsel til sine brugere om at rotere deres hemmeligheder efter at have oplevet en sikkerhedshændelse. Denne CI/CD-platform er populær blandt softwareteams og giver kontinuerlig integration og levering til hurtige oprettelse af kode. Over en million mennesker og tusindvis af virksomheder bruger dette værktøj, selvom de nu bliver advaret i kølvandet på denne sikkerhedshændelse.
I en CircleCI blogindlæg, sagde Chief Technology Officer Rob Zuber brugerne til "straks at rotere enhver og alle hemmeligheder gemt i CircleCI", som "kan gemmes i projektmiljøvariabler eller i sammenhænge."
Circle tog også til Twitter for at advare kunder om dette problem.
Zuber skrev i det førnævnte blogindlæg, at kunder skulle "gennemgå interne logfiler for deres systemer for enhver uautoriseret adgang" fra den 21. december 2022 til den 4. januar 2023. Alternativt kan brugere gennemgå deres interne logfiler efter at have roteret deres hemmeligheder. Derudover nævnte Zuber, at alle Project API-tokens er blevet ugyldige og derfor skal erstattes af brugere.
CircleCI har ikke givet detaljer om sikkerhedshændelsen
Mens CircleCI har underrettet brugere om et sikkerhedsproblem og har tilbudt råd til beskytte data, er der endnu ikke frigivet oplysninger om problemets art. Det ser dog ud til, at CircleCI har til hensigt at give flere detaljer om hændelsen i den nærmeste fremtid (som anført af Rob Zuber i hans blogindlæg om sagen).
Dette er ikke den første CircleCI-sikkerhedshændelse
Selvom vi ikke kender detaljerne i den sikkerhedshændelse, der diskuteres her, ved vi, at CircleCI har behandlet brud før.
I 2019 led virksomheden et brud gennem infiltration af en tredjeparts analyseleverandør. Det lykkedes angrebsoperatøren at få fat i brugernavne, e-mail-adresser, filialnavne, depot-URL'er og IP-adresser. På det tidspunkt advarede virksomheden brugerne om at gennemgå både deres depot- og filialnavne.
Tag handling, hvis du er CircleCI-bruger
Hvis du tilfældigvis bruger CircleCI, er det værd at overveje rådgivningen fra virksomheden efter dette sikkerhedsproblem. At rotere dine hemmeligheder og gennemgå interne logfiler kan hjælpe dig med at beskytte dig selv mod denne mulige sikkerhedstrussel.
