CircleCI, родена в Америка услуга за разработка на софтуер, обяви заплаха за сигурността и в резултат на това призовава потребителите да разменят своите тайни.
CircleCI предупреждава потребителите след проблем със сигурността
Американската платформа DevOps CircleCI издаде предупреждение към своите потребители да завъртят своите тайни, след като претърпят инцидент със сигурността. Тази CI/CD платформа е популярна сред софтуерните екипи, като осигурява непрекъсната интеграция и доставка за бързо създаване на код. Над милион души и хиляди компании използват този инструмент, въпреки че сега са предупредени след този инцидент със сигурността.
В Публикация в блога на CircleCIГлавният технологичен директор Роб Зубер каза на потребителите „незабавно да сменят всички тайни, съхранени в CircleCI“, които „може да се съхраняват в променливи на средата на проекта или в контексти“.
Circle също се обърна към Twitter, за да предупреди клиентите за този проблем.
Zuber написа в горепосочената публикация в блога, че клиентите трябва да „прегледат вътрешните регистрационни файлове за своите системи за всякакъв неоторизиран достъп“, като се започне от 21 декември 2022 г. до 4 януари 2023 г. Като алтернатива, потребителите могат да прегледат своите вътрешни регистрационни файлове, след като завъртят своите тайни. Освен това Zuber спомена, че всички токени на API на Project са невалидни и следователно трябва да бъдат заменени от потребителите.
CircleCI не е предоставил подробности за инцидента със сигурността
Въпреки че CircleCI уведоми потребителите за проблем със сигурността и предложи съвет за защита на данните, все още няма информация за естеството на проблема. Изглежда обаче, че CircleCI възнамерява да предостави повече подробности за инцидента в близко бъдеще (както заяви Роб Зубер в публикацията си в блога по въпроса).
Това не е първият инцидент със сигурността на CircleCI
Въпреки че не знаем спецификата на инцидента със сигурността, обсъждан тук, знаем, че CircleCI се е занимавал с пробиви и преди.
През 2019 г. компанията претърпя пробив чрез проникване на трета страна доставчик на анализи. Операторът на атаката успя да се докопа до потребителски имена, имейл адреси, имена на клонове, URL адреси на хранилища и IP адреси. По това време компанията предупреди потребителите да прегледат както своите хранилища, така и имената на клоновете.
Предприемете действие, ако сте потребител на CircleCI
Ако случайно използвате CircleCI, струва си да разгледате съветите, предоставени от компанията след този проблем със сигурността. Ротирането на вашите тайни и прегледът на вътрешните регистрационни файлове може да ви помогне да се защитите срещу тази възможна заплаха за сигурността.
