شرکت توسعه نرمافزار CircleCI از کاربران خود میخواهد پس از تجربه یک حادثه امنیتی، اسرار را بچرخانند.
CircleCI، یک سرویس توسعه نرمافزار متولد آمریکا، یک تهدید امنیتی را اعلام کرده و از کاربران میخواهد در نتیجه اسرار خود را بچرخانند.
CircleCI پس از مشکل امنیتی به کاربران هشدار می دهد
پلتفرم آمریکایی DevOps CircleCI به کاربران خود هشدار داده است که اسرار خود را پس از تجربه یک حادثه امنیتی بچرخانند. این پلت فرم CI/CD در میان تیم های نرم افزاری محبوب است و یکپارچه سازی و تحویل مداوم را برای ایجاد سریع کد فراهم می کند. بیش از یک میلیون نفر و هزاران شرکت از این ابزار استفاده می کنند، اگرچه اکنون در پی این حادثه امنیتی به آنها هشدار داده شده است.
در یک پست وبلاگ CircleCI، مدیر ارشد فناوری، راب زوبر، به کاربران گفت: «فوراً تمام اسرار ذخیره شده در CircleCI را بچرخانند، که «ممکن است در متغیرهای محیط پروژه یا در زمینهها ذخیره شوند».
Circle همچنین در توییتر به مشتریان درباره این موضوع هشدار داد.
Zuber در پست وبلاگ فوق نوشت که مشتریان باید از تاریخ 21 دسامبر 2022 تا 4 ژانویه 2023 “گزارش های داخلی سیستم های خود را برای هرگونه دسترسی غیرمجاز بررسی کنند.” در غیر این صورت، کاربران می توانند گزارش های داخلی خود را پس از چرخش اسرار خود بررسی کنند. علاوه بر این، زوبر اشاره کرد که تمام توکنهای Project API باطل شدهاند و بنابراین باید توسط کاربران جایگزین شوند.
CircleCI جزئیاتی در مورد حادثه امنیتی ارائه نکرده است
در حالی که CircleCI کاربران را از یک مشکل امنیتی مطلع کرده و توصیه هایی برای محافظت از داده ها ارائه کرده است، هنوز هیچ اطلاعاتی در مورد ماهیت این مشکل منتشر نشده است. با این حال، به نظر می رسد که CircleCI قصد دارد در آینده نزدیک جزئیات بیشتری در مورد این حادثه ارائه دهد (همانطور که راب زوبر در پست وبلاگ خود در این مورد بیان کرده است).
این اولین حادثه امنیتی CircleCI نیست
اگرچه ما از جزئیات حادثه امنیتی مورد بحث در اینجا اطلاعی نداریم، اما می دانیم که CircleCI قبلاً با نقض ها برخورد کرده است.
در سال 2019، این شرکت از طریق نفوذ به یک فروشنده تجزیه و تحلیل شخص ثالث دچار نقض شد. اپراتور حمله موفق شد نام های کاربری، آدرس های ایمیل، نام شعب، آدرس های اینترنتی مخزن و آدرس های IP را به دست آورد. در آن زمان، این شرکت به کاربران هشدار داد که هر دو نام مخزن و شعبه خود را بررسی کنند.
اگر کاربر CircleCI هستید اقدام کنید
اگر اتفاقاً از CircleCI استفاده میکنید، پس از این مشکل امنیتی، توصیههای ارائه شده توسط شرکت را در نظر بگیرید. چرخاندن اسرار خود و بررسی گزارشهای داخلی ممکن است به شما در محافظت از خود در برابر این تهدید امنیتی احتمالی کمک کند.