CircleCI, v Ameriki rojena storitev za razvoj programske opreme, je napovedala varnostno grožnjo in uporabnike poziva, naj zaradi tega izmenjajo svoje skrivnosti.
CircleCI opozori uporabnike po varnostni težavi
Ameriška platforma DevOps CircleCI je svojim uporabnikom izdala opozorilo, naj po varnostnem incidentu izmenjajo svoje skrivnosti. Ta platforma CI/CD je priljubljena pri programskih skupinah, saj zagotavlja stalno integracijo in hitro dostavo ustvarjanje kode. Več kot milijon ljudi in na tisoče podjetij uporablja to orodje, čeprav so zdaj opozorjeni zaradi tega varnostnega incidenta.
V Objava v blogu CircleCI, glavni tehnološki direktor Rob Zuber je uporabnikom povedal, naj "takoj zavrtijo vse in vse skrivnosti, shranjene v CircleCI", ki "so lahko shranjene v spremenljivkah projektnega okolja ali v kontekstih."
Circle se je oglasil tudi na Twitterju, da bi stranke opozoril na to težavo.
Zuber je v zgoraj omenjeni objavi v spletnem dnevniku zapisal, da bi morale stranke "pregledati interne dnevnike za svoje sisteme glede kakršnega koli nepooblaščenega dostopa" od 21. decembra 2022 do 4. januarja 2023. Druga možnost je, da lahko uporabniki pregledajo svoje notranje dnevnike, potem ko zamenjajo svoje skrivnosti. Poleg tega je Zuber omenil, da so bili vsi žetoni Project API razveljavljeni in jih morajo zato uporabniki zamenjati.
CircleCI ni posredoval podrobnosti o varnostnem incidentu
Medtem ko je CircleCI uporabnike obvestil o varnostni težavi in ponudil nasvete za varovanje podatkov, še ni bilo objavljenih nobenih informacij o naravi težave. Vendar se zdi, da namerava CircleCI v bližnji prihodnosti zagotoviti več podrobnosti o incidentu (kot je navedel Rob Zuber v svojem blogu o tej zadevi).
To ni prvi varnostni incident CircleCI
Čeprav ne poznamo posebnosti varnostnega incidenta, o katerem govorimo tukaj, vemo, da je CircleCI že obravnaval kršitve.
Leta 2019 je podjetje utrpelo vdor zaradi infiltracije zunanjega ponudnika analitike. Operaterju napada se je uspelo dokopati do uporabniških imen, e-poštnih naslovov, imen podružnic, URL-jev skladišč in naslovov IP. Takrat je podjetje opozorilo uporabnike, naj pregledajo svoje skladišče in imena podružnic.
Ukrepajte, če ste uporabnik CircleCI
Če slučajno uporabljate CircleCI, je vredno razmisliti o nasvetih, ki jih je podjetje zagotovilo po tej varnostni težavi. Izmenjava vaših skrivnosti in pregled notranjih dnevnikov vam lahko pomagata, da se zaščitite pred to možno varnostno grožnjo.