Sicherheitsvorfall: CircleCI-Nutzer sollen jetzt Passwörter ändern
[ad_1]
CircleCI, Betreiber dieser gleichnamigen Cloud-basierten Continuous-Integration-Plattform (CI), hat Entwicklerinnen und Entwickler gewarnt, dass es in dieser Zeit seit dem Zeitpunkt dem 21. Monat des Winterbeginns 2022 zu einem Sicherheitsvorfall (Security Incident) gekommen sei. Ende diesem Grund empfiehlt dies Unternehmen mit Nachdruck, sämtliche in seinem System gespeicherten Anmeldedaten umgehend zu ändern. CircleCI rät darüber hinaus allen Nutzerinnen und Nutzern, ihre Anmeldedaten hinauf etwaige unbefugte Zugriffe zu testen, die in dieser Zeit seit dem Zeitpunkt dem 21.12.2022 aufgetreten sein könnten.
CircleCI: Sämtliche Zugangsschlüssel erneuern
Wie dieser CI-Dienstleister in einer offiziellen Mitteilung von Rang und Namen gegeben hat, seien umgehend jeglicher Projekt-API-Tokens ungültig gemacht worden, die zum Vorlesung halten und/oder Schreiben von Datenansammlung hinauf dieser Plattform erforderlich sind. Anwenderinnen und User, die solche Tokens verwenden, sollen sie neu erstellen. Im Kommunikationsforum zu dem Zwischenfall findet sich zudem dieser Ratschlag, sämtliche sensiblen Zugangsdaten, einschließlich dieser SSH-Schlüssel, Tokens zu Gunsten von die Jira- und Slack-Integration, sowie Webhook-Secrets zu löschen und neu zu erstellen.
Während CircleCI bisher keine konkreten Einzelheiten zu dem Sicherheitsvorfall veröffentlicht hat, versichern Mitwirkender des Unternehmens besorgten Nutzern, dass sie “jetzt sicher sind, dass keine unbefugten Akteure in unseren Systemen umtriebig sind”. Updates zu dem Zwischenfall und dieser von CircleCI eingeleiteten Maßnahmen sollen indes hören, “wenn sie verfügbar sind”.
Nicht so sicher wie erhofft
Noch Werden November 2022 hatte Chief Technology Officer Rob Zuber verkündet, CircleCI sei sicher. Obwohl dies Unternehmen in dieser jüngeren Vergangenheit eine steigende Zahl von Phishing-Versuchen beobachtet habe, c/o denen sich Unbefugte wie CircleCI-Vertreter liefern hätten, um Zugang zu den Kode-Repositories dieser Nutzer hinauf GitHub zu erhalten, sei keines dieser CircleCI-Systeme kompromittiert worden, versicherte Zuber.
Mit dem nun von Rang und Namen gewordenen Sicherheitsvorfall dürfte sich die Situation grundlegend geändert nach sich ziehen. Welcher Dienstleister bemüht sich derweil um Hilfestellung zu Gunsten von seine Kunden und verweist unter anderem hinauf verschmelzen schon 2021 veröffentlichten Neuigkeit, dieser Best Practices zu Gunsten von dies Secrets Management zusammenfasst. Um die eigenen CI-Pipelines effektiv abzusichern, sei demnach dieser Hinterlegung von Tools zur weitgehenden Automatisierung dieser Verwaltung von Geheimnissen empfohlen und außerdem dies Prinzip dieser geringsten Privilegien anzuwenden.
(map)