Kaltaisesi lukijat auttavat tukemaan MUO: ta. Kun teet ostoksen käyttämällä sivustollamme olevia linkkejä, voimme ansaita kumppanipalkkion. Lue lisää.

CircleCI, amerikkalaissyntyinen ohjelmistokehityspalvelu, on ilmoittanut turvallisuusuhkasta ja kehottaa käyttäjiä kiertämään salaisuuksiaan.

CircleCI varoittaa käyttäjiä tietoturvaongelman jälkeen

Amerikkalainen DevOps-alusta CircleCI on varoittanut käyttäjiään kiertämään salaisuuksiaan tietoturvahäiriön jälkeen. Tämä CI/CD-alusta on suosittu ohjelmistotiimien keskuudessa, ja se tarjoaa jatkuvan integroinnin ja nopean toimituksen koodin luominen. Yli miljoona ihmistä ja tuhannet yritykset käyttävät tätä työkalua, vaikka heitä varoitetaan nyt tämän tietoturvahäiriön jälkeen.

Jonkin sisällä CircleCI-blogiviestiTeknologiajohtaja Rob Zuber käski käyttäjiä "kiertämään välittömästi kaikkia CircleCI: hen tallennettuja salaisuuksia", jotka "voidaan tallentaa projektin ympäristömuuttujiin tai yhteyksiin".

Circle varoitti asiakkaita myös Twitterissä tästä ongelmasta.

instagram viewer

Zuber kirjoitti edellä mainitussa blogikirjoituksessa, että asiakkaiden tulee "tarkistaa järjestelmiensä sisäiset lokit luvattoman käytön varalta" 21.12.2022 ja 4.1.2023 välisenä aikana. Vaihtoehtoisesti käyttäjät voivat tarkastella sisäisiä lokejaan salaisuuksiensa kiertämisen jälkeen. Lisäksi Zuber mainitsi, että kaikki Project API -tunnukset on mitätöity, ja siksi käyttäjien on vaihdettava ne.

CircleCI ei ole toimittanut tietoja tietoturvatapahtumasta

Vaikka CircleCI on ilmoittanut käyttäjille tietoturvaongelmasta ja tarjonnut neuvoja tietojen suojaaminen, ongelman luonteesta ei ole vielä julkaistu tietoa. Näyttää kuitenkin siltä, ​​​​että CircleCI aikoo antaa lisätietoja tapahtumasta lähitulevaisuudessa (kuten Rob Zuber totesi blogikirjoituksessaan aiheesta).

Tämä ei ole ensimmäinen CircleCI-tietoturvatapahtuma

Vaikka emme tiedä tässä käsitellyn tietoturvavälikohtauksen yksityiskohtia, tiedämme, että CircleCI on käsitellyt rikkomuksia aiemmin.

Vuonna 2019 yritys joutui rikkomukseen kolmannen osapuolen analytiikkatoimittajan soluttautumisen vuoksi. Hyökkäysoperaattori onnistui saamaan haltuunsa käyttäjätunnukset, sähköpostiosoitteet, haaran nimet, arkiston URL-osoitteet ja IP-osoitteet. Tuolloin yhtiö varoitti käyttäjiä tarkistamaan sekä arkiston että sivukonttorin nimet.

Ryhdy toimiin, jos olet CircleCI-käyttäjä

Jos satut käyttämään CircleCI: tä, kannattaa harkita yrityksen tämän tietoturvaongelman jälkeen antamia neuvoja. Salaisuuksien kiertäminen ja sisäisten lokien tarkistaminen voivat auttaa sinua suojautumaan tältä mahdolliselta tietoturvauhalta.