/ / CircleCI kêu gọi khách hàng luân chuyển bí mật sau sự cố bảo mật

CircleCI kêu gọi khách hàng luân chuyển bí mật sau sự cố bảo mật

circleci lock 1

Công ty phát triển phần mềm CircleCI kêu gọi người dùng của mình thay đổi bí mật sau khi gặp sự cố bảo mật.


CircleCI, một dịch vụ phát triển phần mềm của Mỹ, đã thông báo về một mối đe dọa bảo mật và do đó đang kêu gọi người dùng thay đổi bí mật của họ.


CircleCI cảnh báo người dùng sau sự cố bảo mật

Nền tảng DevOps của Mỹ CircleCI đã đưa ra cảnh báo cho người dùng của mình để thay đổi bí mật của họ sau khi gặp sự cố bảo mật. Nền tảng CI/CD này phổ biến với các nhóm phần mềm, cung cấp khả năng tích hợp và phân phối liên tục để tạo mã nhanh chóng. Hơn một triệu người và hàng nghìn công ty sử dụng công cụ này, mặc dù họ hiện đang được cảnh báo sau sự cố bảo mật này.

Trong một bài đăng trên blog của CircleCI, Giám đốc Công nghệ Rob Zuber đã nói với người dùng “ngay lập tức xoay vòng bất kỳ và tất cả các bí mật được lưu trữ trong CircleCI”, “có thể được lưu trữ trong các biến môi trường dự án hoặc trong ngữ cảnh.”

Circle cũng đã lên Twitter để cảnh báo khách hàng về vấn đề này.

Zuber đã viết trong bài đăng trên blog nói trên rằng khách hàng nên “xem lại nhật ký nội bộ cho hệ thống của họ để biết bất kỳ hoạt động truy cập trái phép nào” bắt đầu từ ngày 21 tháng 12 năm 2022 đến ngày 4 tháng 1 năm 2023. Ngoài ra, người dùng có thể xem lại nhật ký nội bộ của mình sau khi xoay vòng bí mật. Ngoài ra, Zuber đã đề cập rằng tất cả các mã thông báo API Dự án đã bị vô hiệu hóa và do đó cần được thay thế bởi người dùng.

CircleCI chưa cung cấp thông tin chi tiết về sự cố bảo mật

Mặc dù CircleCI đã thông báo cho người dùng về vấn đề bảo mật và đưa ra lời khuyên để bảo vệ dữ liệu, nhưng vẫn chưa có thông tin nào được tiết lộ về bản chất của vấn đề. Tuy nhiên, có vẻ như CircleCI dự định sẽ cung cấp thêm thông tin chi tiết về vụ việc trong tương lai gần (như Rob Zuber đã nêu trong bài đăng trên blog của mình về vấn đề này).

Đây không phải là sự cố bảo mật CircleCI đầu tiên

Mặc dù chúng tôi không biết chi tiết cụ thể về sự cố bảo mật được thảo luận ở đây, nhưng chúng tôi biết rằng CircleCI đã xử lý các vi phạm trước đây.

Vào năm 2019, công ty đã bị vi phạm do sự xâm nhập của nhà cung cấp dịch vụ phân tích bên thứ ba. Kẻ điều hành cuộc tấn công đã quản lý để có được tên người dùng, địa chỉ email, tên chi nhánh, URL kho lưu trữ và địa chỉ IP. Vào thời điểm đó, công ty đã cảnh báo người dùng xem lại cả tên kho lưu trữ và tên chi nhánh của họ.

Hãy hành động nếu bạn là người dùng CircleCI

Nếu bạn tình cờ sử dụng CircleCI, bạn nên xem xét lời khuyên do công ty cung cấp sau sự cố bảo mật này. Luân phiên các bí mật của bạn và xem lại nhật ký nội bộ có thể giúp bạn tự bảo vệ mình trước mối đe dọa bảo mật có thể xảy ra này.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *