CircleCI wzywa klientów do rotacji sekretów po incydencie bezpieczeństwa

Chcieliśmy poinformować, że obecnie badamy incydent związany z bezpieczeństwem i że nasze dochodzenie jest w toku. Przekażemy Ci aktualizacje dotyczące tego incydentu i naszą odpowiedź, gdy tylko będą dostępne. W tym momencie jesteśmy przekonani, że w naszych systemach nie działają żadne nieautoryzowane podmioty; jednak ze względu na dużą ostrożność chcemy zapewnić, że wszyscy klienci podejmą pewne środki zapobiegawcze, aby również chronić Twoje dane. (mówi Rob Zuber, Chief Technology Oficer).

Rob Zuber, Chief Technology Oficer wzywa do podjęcia następujących akcji:

Natychmiast wykonaj rotację wszystkich sekretów przechowywanych w CircleCI. Mogą one być przechowywane w zmiennych środowiskowych projektu lub w kontekstach.
Zalecamy również klientom przejrzenie logów ich systemów pod kątem nieautoryzowanego dostępu od 21 grudnia 2022 r. do dzisiaj, 4 stycznia 2023 r. lub po zakończeniu rotacji poufnych danych.
Dodatkowo, jeśli Twój projekt korzysta z tokenów Project API, unieważniliśmy je i będziesz musiał je zastąpić.

Ujawnienie nastąpiło kilka tygodni po tym, jak firma ogłosiła, że 21 grudnia 2022 r. wydała aktualizacje dotyczącą niezawodności usługi, aby rozwiązać podstawowe „problemy systemowe”.

Jest to również najnowsze naruszenie, które uderzyło w CircleCI w ostatnich latach. We wrześniu 2019 roku firma ujawniła „nietypową aktywność” związaną z zewnętrznym dostawcą usług analitycznych, która doprowadziła do nieautoryzowanego dostępu do nazw użytkowników i adresów e-mail powiązanych z GitHub i Bitbucket.

źródło: https://circleci.com/blog/january-4-2023-security-alert/