CircleCI, ein Unternehmen, dessen Entwicklungsprodukte bei Softwareentwicklern beliebt sind, hat die Benutzer aufgefordert, ihre Geheimnisse nach einem Verstoß gegen die Systeme des Unternehmens zu rotieren.
Das sagte das DevOps-Unternehmen mit Hauptsitz in San Francisco in einer beratend Es wurde am späten Mittwoch veröffentlicht und untersucht derzeit den Sicherheitsvorfall – den jüngsten in den letzten Jahren.
„Wir möchten Sie darauf aufmerksam machen, dass wir derzeit einen Sicherheitsvorfall untersuchen und dass unsere Untersuchung noch andauert“, so Rob Zuber, CTO von CircleCI. „Zum jetzigen Zeitpunkt sind wir zuversichtlich, dass in unseren Systemen keine unbefugten Akteure aktiv sind; Aus Vorsicht möchten wir jedoch sicherstellen, dass alle Kunden bestimmte vorbeugende Maßnahmen ergreifen, um auch Ihre Daten zu schützen.“
CircleCI, das behauptet, dass seine Technologie von mehr als einer Million Softwareentwicklern verwendet wird, rät Benutzern, „alle in CircleCI gespeicherten Geheimnisse“ zu rotieren, einschließlich derer, die in Projektumgebungsvariablen oder in Kontexten gespeichert sind. Geheimnisse sind Passwörter oder private Schlüssel, die verwendet werden, um Server miteinander zu verbinden und zu authentifizieren.
Für Projekte, die API-Token verwenden, sagte CircleCI, dass es diese Token ungültig gemacht hat und Benutzer sie ersetzen müssen.
CircleCI, das 2021 eine Serie F im Wert von 100 Millionen US-Dollar zu einer Bewertung von 1,7 Milliarden US-Dollar ankündigte, hat keine weiteren Informationen über die Art des Vorfalls preisgegeben und muss noch auf die Fragen von Tech antworten.
Das Unternehmen rät den Benutzern jedoch auch, ihre internen Protokolle auf unbefugten Zugriff zwischen dem 21. Dezember 2022 und dem 4. Januar 2023 zu prüfen, was darauf hindeutet, dass der Verstoß des Unternehmens etwa zwei Wochen zuvor begann. Das Unternehmen gab am 21. Dezember auch bekannt, dass es veröffentlicht wurde Zuverlässigkeits-Updates an den Dienst, um zugrunde liegende „systemische Probleme“ zu lösen.
Im Jahr 2019 wurde CircleCI von einer Datenschutzverletzung getroffen, nachdem ein Drittanbieter kompromittiert worden war. Dabei haben Hacker Benutzerdaten kompromittiert, einschließlich Benutzernamen und E-Mail-Adressen, Benutzernamen und E-Mail-Adressen, die mit GitHub und Bitbucket verbunden sind, sowie Benutzer-IP-Adressen.
Im November hat CircleCI sagte dass es auch eine zunehmende Anzahl von Phishing-Versuchen beobachtet hatte, bei denen sich nicht autorisierte Akteure als CircleCI ausgaben, um Zugriff auf die Code-Repositories der Benutzer auf GitHub zu erhalten.