CircleCI fordert Kunden nachdrücklich hinauf, Geheimnisse nachdem einem Sicherheitsvorfall zu rotieren
[ad_1]
Die DevOps-Plattform CircleCI forderte ihre Kunden am Mittwoch hinauf, leer ihre Geheimnisse nachdem einem nicht näher bezeichneten Sicherheitsvorfall zu rotieren.
Dasjenige Unternehmen sagte, eine Untersuchung sei derzeit im Gange, betonte jedoch, dass „in unseren Systemen keine unbefugten Akteure lebenskräftig sind“. Weitere Einzelheiten sollen in den kommenden Tagen namhaft gegeben werden.
„Rotieren Sie sofort leer Geheimnisse, die in CircleCI gespeichert sind“, sagte Rob Zuber, Chief Technology Officer von CircleCI, in einer knappen Zeugnis. “Ebendiese können in Projektumgebungsvariablen oder in Kontexten gespeichert werden.”
CircleCI empfiehlt Benutzern außerdem, interne Protokolle vom 21. Monat des Winterbeginns 2022 solange bis zum 4. Januar 2023 oder solange bis zur Rotation jener Geheimnisse hinauf Vorbote von unbefugtem Zugriff zu ermitteln.
Dieser Softwareentwicklungsdienst gab keine weiteren Einzelheiten extra die Verletzung namhaft, sagte jedoch, dass er wenn schon leer Projekt-API-Token ungültig gemacht habe und dass sie ersetzt werden müssten.
Die Offenlegung erfolgt Wochen, nachdem dasjenige Unternehmen namhaft gegeben hat, dass es am 21. Monat des Winterbeginns 2022 Zuverlässigkeitsupdates zu Gunsten von den Tätigkeit veröffentlicht hat, um zugrunde liegende „systemische Probleme“ zu lockern.
Es ist wenn schon die jüngste Verletzung, die CircleCI in den letzten Jahren getroffen hat. Dasjenige Unternehmen enthüllte im September 2019 „ungewöhnliche Aktivitäten“ im Zusammenhang mit einem Schlusswort-Drittanbieter, die zu einem unbefugten Zugriff hinauf Benutzernamen und Elektronischer Brief-Adressen führten, die mit GitHub und Bitbucket verbunden sind.
Vorjahr wurden Benutzer dann gewarnt, dass gefälschte CircleCI-Elektronischer Brief-Benachrichtigungen verwendet wurden, um GitHub-Anmeldeinformationen und Codes zu Gunsten von die Zwei-Koeffizient-Authentifizierung (2FA) zu stehlen.
GitHub-Geheimzeichen-Repositories von Slack gestohlen
Es ist simpel nicht CircleCI, wie Slack am 31. Monat des Winterbeginns 2022 namhaft gab, dass es hinauf ein Sicherheitsproblem konzentriert wurde, dasjenige kombinieren unbefugten Zugriff hinauf eine Untermenge seiner Quellcode-Repositories hinauf GitHub zur Folge hatte.
Dasjenige Problem, dasjenige am 29. Monat des Winterbeginns 2022 ans Licht kam, führte zum Raub einer begrenzten Quantität von Slack-Mitwirkender-Token, die dann zu Gunsten von den Zugriff hinauf dasjenige GitHub-Repository verwendet wurden, wodurch jener Angreifer letztendlich den Quellcode herunterladen konnte.
Slack sagte jedoch, dass keine Maßnahmen des Kunden erforderlich seien und dass jener Verstoß schnell eingedämmt wurde. Die Anmeldeinformationen wurden inzwischen ungültig gemacht.
„Keine heruntergeladenen Repositories enthielten Kundendaten, Mittel zum Zugriff hinauf Kundendaten oder die primäre Codebasis von Slack“, sagte dasjenige Salesforce-eigene Unternehmen. „Dieser Angreifer hat nicht hinauf andere Bereiche jener Slack-Umgebung zugegriffen, einschließlich jener Produktionsumgebung, und er hat nicht hinauf andere Slack-Ressourcen oder Kundendaten zugegriffen.“
Dieser Instant-Messaging-Tätigkeit teilte keine weiteren Informationen darüber mit, wie die Mitwirkender-Token gestohlen wurden, betonte jedoch, dass „jener unbefugte Zugriff nicht hinauf eine Schwachstelle in Slack zurückzuführen ist“.
[ad_2]