软件开发服务 CircleCI 披露了一起安全事件,并敦促用户轮换他们的秘密。
CI/CD 平台吹捧其用户群包括超过 100 万工程师,他们依赖该服务来实现构建的“速度和可靠性”。
CircleCI 就此事件向用户发出警告
根据 CircleCI 用户收到的电子邮件通知,CircleCI 表示目前正在调查一起安全事件。
在公司完成调查之前,敦促用户谨慎地轮换存储在 CircleCI 中的所有秘密。
CircleCI 首席技术官 Rob Zuber 在周三发布的一份简明公告中表示:“我们将为您提供有关此事件的最新信息以及我们的回应。”
“在这一点上,我们相信我们的系统中没有活跃的未经授权的行为者;但是,出于谨慎考虑,我们希望确保所有客户也采取某些预防措施来保护您的数据。”
建议客户轮换的秘密包括存储为项目环境变量或上下文的秘密。
对于使用 API 令牌的项目,CircleCI 已使这些令牌无效,用户将被要求更换它们。
安全工程师 Daniel Hückmann报告看到了与攻击相关的 IP 地址之一 (54.145.167.181)。这些信息可能会帮助事件响应者调查他们的环境。
此外,这家 DevOps 公司建议用户审核其内部日志,了解 2022 年 12 月 21 日至 2023 年 1 月 4 日期间发生的未经授权的访问。
违反 CircleCI 的“可靠性”更新
具有讽刺意味的是,措辞表明 CircleCI 在 12 月 21 日遭到破坏——同一天它发布了“可靠性更新”,以加强其改善服务的承诺。
上述可靠性更新本身是在 2022 年 4 月开始的一系列类似更新之后进行的,当时 CircleCI 承认其可靠性没有达到用户的期望。
“在 CircleCI,我们的使命是管理变革,以便软件团队能够更快地创新。但最近,我们知道我们的可靠性没有达到客户的期望,”Zuber 当时写道。
2022 年 9 月,CircleCI 在管道页面“一天的大部分时间”不可用后发布了另一个此类更新,影响了许多团队管理他们的工作量。
这些更新是在过去几年 CircleCI 的一系列安全问题之后进行的。
2019年年中, CircleCI 因 第三方供应商的妥协而导致数据泄露。这导致用户数据遭到泄露,包括与用户的 GitHub 和 Bitbucket 帐户关联的用户名和电子邮件地址,以及他们的 IP 地址、组织名称、repo URL 等。
2022 年,威胁行为者被发现通过 发送给用户的虚假 CircleCI 电子邮件通知窃取 GitHub 帐户:
这些网络钓鱼尝试不一定是新的妥协造成的,当时 CircleCI保证它仍然是安全的的。但是,威胁行为者经常使用从较早的违规行为(例如 2019 年违规行为)中获得的电子邮件地址来针对受影响公司的客户进行网络钓鱼诈骗。
关于周三的安全事件披露,CircleCI 对由此可能造成的任何不便表示歉意。该公司计划在调查结束后的未来几天内分享更多细节。
更新,1 月 5 日,01:30 AM ET:添加了与攻击相关的 IOC(IP 地址)。
