CircleCI, en amerikansk-født programvareutviklingstjeneste, har annonsert en sikkerhetstrussel og oppfordrer brukere til å rotere hemmelighetene sine som et resultat.
CircleCI advarer brukere etter sikkerhetsproblem
Den amerikanske DevOps-plattformen CircleCI har utstedt en advarsel til sine brukere om å rotere hemmelighetene deres etter å ha opplevd en sikkerhetshendelse. Denne CI/CD-plattformen er populær blant programvareteam, og gir kontinuerlig integrasjon og levering for de raske opprettelse av kode. Over en million mennesker og tusenvis av selskaper bruker dette verktøyet, selv om de nå blir advart i kjølvannet av denne sikkerhetshendelsen.
I en CircleCI blogginnlegg, sa Chief Technology Officer Rob Zuber brukere om å "umiddelbart rotere alle hemmeligheter som er lagret i CircleCI", som "kan lagres i prosjektmiljøvariabler eller i kontekster."
Circle tok også til Twitter for å advare kunder om dette problemet.
Zuber skrev i det nevnte blogginnlegget at kunder bør "gjennomgå interne logger for systemene sine for eventuell uautorisert tilgang" fra 21. desember 2022 til 4. januar 2023. Alternativt kan brukere se gjennom sine interne logger etter å ha rotert hemmelighetene sine. I tillegg nevnte Zuber at alle Project API-tokens er ugyldige, og derfor må erstattes av brukere.
CircleCI har ikke gitt detaljer om sikkerhetshendelsen
Mens CircleCI har varslet brukere om et sikkerhetsproblem og har gitt råd for beskytte data, det er ennå ikke gitt ut informasjon om problemets natur. Det ser imidlertid ut til at CircleCI har til hensikt å gi flere detaljer om hendelsen i nær fremtid (som uttalt av Rob Zuber i hans blogginnlegg om saken).
Dette er ikke den første CircleCI-sikkerhetshendelsen
Selv om vi ikke kjenner detaljene til sikkerhetshendelsen som er diskutert her, vet vi at CircleCI har håndtert brudd tidligere.
I 2019 led selskapet et brudd gjennom infiltrasjon av en tredjeparts analyseleverandør. Angrepsoperatøren klarte å få tak i brukernavn, e-postadresser, filialnavn, depot-URLer og IP-adresser. På det tidspunktet advarte selskapet brukere om å gjennomgå både depot- og filialnavn.
Ta handling hvis du er CircleCI-bruker
Hvis du tilfeldigvis bruker CircleCI, er det verdt å vurdere rådene fra selskapet etter dette sikkerhetsproblemet. Å rotere hemmelighetene dine og gjennomgå interne logger kan hjelpe deg med å beskytte deg mot denne mulige sikkerhetstrusselen.