開発製品がソフトウェア エンジニアに人気のある会社である CircleCI は、会社のシステムの侵害を受けて、ユーザーに秘密をローテーションするよう促しました。
サンフランシスコに本社を置く DevOps 企業は、次のように述べています。 勧告 水曜日遅くに公開され、現在、セキュリティインシデントを調査しています。これは、近年の最新のものです。
「現在、セキュリティ インシデントを調査中であり、調査が進行中であることをお知らせしたいと思います」と、CircleCI CTO の Rob Zuber は述べています。 「現時点で、私たちのシステムには不正なアクターが活動していないと確信しています。 ただし、細心の注意を払って、すべてのお客様がデータを保護するための特定の予防措置を確実に講じるようにしたいと考えています。」
CircleCI は、その技術が 100 万人以上のソフトウェア エンジニアによって使用されていると主張しており、プロジェクト環境変数やコンテキストに保存されているものを含め、CircleCI に保存されている「ありとあらゆる秘密」をローテーションするようユーザーにアドバイスしています。 シークレットは、サーバーを接続して認証するために使用されるパスワードまたは秘密鍵です。
API トークンを使用するプロジェクトの場合、CircleCI は、これらのトークンを無効にしており、ユーザーはそれらを交換する必要があると述べています。
2021 年に 17 億ドルの評価額で 1 億ドルのシリーズ F を発表した CircleCI は、インシデントの性質についてこれ以上の情報を共有しておらず、TechCrunch の質問にまだ回答していません。
ただし、同社は、2022 年 12 月 21 日から 2023 年 1 月 4 日までの間に発生した不正アクセスについて、内部ログを監査するようユーザーにアドバイスしています。 同社は 12 月 21 日に、リリースしたことも発表しました。 信頼性の更新 根底にある「システムの問題」を解決するサービスに。
2019 年、サードパーティ ベンダーが侵害された後、CircleCI はデータ侵害に見舞われました。 これにより、ハッカーは、ユーザー名と電子メール アドレス、GitHub と Bitbucket に関連付けられたユーザー名と電子メール アドレス、およびユーザーの IP アドレスを含むユーザー データを侵害しました。
11 月、CircleCI 言った また、未承認のアクターが CircleCI になりすまして GitHub 上のユーザーのコード リポジトリにアクセスするフィッシング攻撃の試みが増加していることも確認しています。