Bir yazılım geliştirme hizmeti olan CircleCI, bir güvenlik olayını ifşa etti ve kullanıcıları sırlarını değiştirmeye çağırıyor.
CI/CD platformu, yapılarının “hızı ve güvenilirliği” için hizmete güvenen bir milyondan fazla mühendisten oluşan bir kullanıcı tabanına sahip olduğunu öne sürüyor.
CircleCI, kullanıcıları olay hakkında uyarıyor
CircleCI, CircleCI kullanıcıları tarafından alınan e-posta bildirimlerine göre şu anda bir güvenlik olayını araştırdığını belirtiyor.
Şirket soruşturmasını tamamlayana kadar, kullanıcılardan CircleCI’de saklanan tüm sırları dikkatsizce döndürmeleri isteniyor.
CircleCI CTO’su Rob Zuber, Çarşamba günü yayınlanan kısa ve öz bir danışma belgesinde “Size bu olayla ilgili güncellemeleri ve yanıtımız geldikçe sağlayacağız” diyor.
“Bu noktada, sistemlerimizde etkin olan yetkisiz aktörlerin bulunmadığından eminiz; ancak, büyük bir ihtiyatla, tüm müşterilerimizin de verilerinizi korumak için belirli önleyici tedbirler almasını sağlamak istiyoruz.”
Müşterilere döndürmeleri tavsiye edilen sırlar, proje ortamı değişkenleri olarak veya bağlamlarda depolananları içerir.
API belirteçleri kullanan projeler için CircleCI bu belirteçleri geçersiz kılmıştır ve kullanıcıların bunları değiştirmesi gerekecektir.
Ayrıca DevOps şirketi, kullanıcılara 21 Aralık 2022 ile 4 Ocak 2023 arasında meydana gelen yetkisiz erişim için dahili günlüklerini denetlemelerini tavsiye ediyor.
İhlal, CircleCI’nin ‘güvenilirlik’ güncellemesini takip ediyor
İronik bir şekilde, ifade, CircleCI’nin 21 Aralık’ta ihlal edildiğini gösteriyor – aynı gün, hizmetlerini iyileştirme taahhüdünü pekiştiren bir “güvenilirlik güncellemesi” yayınladı.
Söz konusu güvenilirlik güncellemesi, CircleCI’nin güvenilirliğinin kullanıcı beklentileriyle aynı seviyede olmadığını kabul ettiği Nisan 2022’de başlayan bir dizi benzer güncellemeyi takip etmişti.
Zuber o sırada “CircleCI’de görevimiz, yazılım ekiplerinin daha hızlı yenilik yapabilmesi için değişimi yönetmektir. Ancak son zamanlarda, güvenilirliğimizin müşterilerimizin beklentilerini karşılamadığını biliyoruz” diye yazmıştı.
Eylül 2022’de CircleCI, boru hatları sayfasının “günün önemli bir bölümünde” kullanılamamasının ardından birçok ekibin iş yüklerini yönetmesini etkileyen bu tür bir güncelleme daha yayınladı.
Bu güncellemeler, geçtiğimiz birkaç yıl içinde CircleCI için bir dizi güvenlik sorununu takip ediyor.
2019’un ortalarında CircleCI, üçüncü taraf bir satıcının güvenliğinin aşılmasından kaynaklanan bir veri ihlaliyle sarsıldı. Bu, kullanıcıların GitHub ve Bitbucket hesaplarıyla ilişkili kullanıcı adları ve e-posta adreslerinin yanı sıra IP adresleri, kuruluş adları, depo URL’leri vb. dahil olmak üzere kullanıcı verilerinin ele geçirilmesine yol açtı.
2022’de tehdit aktörleri, kullanıcılara gönderilen sahte CircleCI e-posta bildirimleri aracılığıyla GitHub hesaplarını çalarken yakalandı:
Bu kimlik avı girişimleri, mutlaka yeni bir uzlaşmadan kaynaklanmadı ve o sırada CircleCI, güvenli kaldığına dair güvence verdi. Ancak tehdit aktörleri, etkilenen bir şirketin müşterilerini kimlik avı dolandırıcılığıyla hedeflemek için genellikle daha önceki bir ihlalden (ör. 2019’daki) elde edilen e-posta adreslerini kullanır.
Çarşamba günkü güvenlik olayı ifşasıyla ilgili olarak CircleCI, bunun neden olabileceği her türlü rahatsızlıktan dolayı özür diledi. Şirket, soruşturmanın sonuçlanmasının ardından önümüzdeki günlerde daha fazla ayrıntı paylaşmayı planlıyor.