Çarşamba günü DevOps platformu CircleCI, müşterilerini belirsiz bir güvenlik olayının ardından tüm sırlarını döndürmeye çağırdı.
Şirket, şu anda bir soruşturmanın sürdüğünü söyledi ancak “sistemlerimizde aktif olarak yetkisiz aktörlerin bulunmadığını” vurguladı. Ek detayların önümüzdeki günlerde paylaşılması bekleniyor.
CircleCI’nin baş teknoloji sorumlusu Rob Zuber, kısa bir tavsiyede “CircleCI’de depolanan tüm sırları derhal döndürün,” dedi. “Bunlar, proje ortamı değişkenlerinde veya bağlamlarda saklanabilir.”
CircleCI ayrıca kullanıcılara, 21 Aralık 2022’den 4 Ocak 2023’e kadar veya sırlar döndürülene kadar yetkisiz erişim belirtileri için dahili günlükleri incelemelerini tavsiye ediyor.
Yazılım geliştirme hizmeti, ihlalle ilgili daha fazla ayrıntı açıklamadı, ancak tüm Project API belirteçlerini de geçersiz kıldığını ve bunların değiştirilmesi gerektiğini söyledi.
Açıklama, şirketin altta yatan “sistemik sorunları” çözmek için 21 Aralık 2022’de hizmete güvenilirlik güncellemeleri yayınladığını duyurmasından haftalar sonra geldi.
Aynı zamanda son yıllarda CircleCI’yi vuran en son ihlal. Şirket, Eylül 2019’da, GitHub ve Bitbucket ile ilişkili kullanıcı adlarına ve e-posta adreslerine yetkisiz erişimle sonuçlanan, üçüncü taraf bir analiz satıcısıyla ilgili “olağandışı etkinliği” ortaya çıkardı.
Daha sonra geçen yıl, kullanıcıları sahte CircleCI e-posta bildirimlerinin GitHub kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak için kullanıldığı konusunda uyardı.
Slack’in GitHub Kod Depoları Çalındı
Slack’in 31 Aralık 2022’de açıkladığı gibi, GitHub’daki kaynak kod havuzlarının bir alt kümesine yetkisiz erişim gerektiren bir güvenlik sorununun farkına varan CircleCI değil.
29 Aralık 2022’de ortaya çıkan sorun, daha sonra GitHub deposuna erişmek için kullanılan sınırlı sayıda Slack çalışan jetonunun çalınmasıyla sonuçlandı ve sonuçta düşmanın kaynak kodunu indirmesine izin verdi.
Ancak Slack, müşterinin herhangi bir işlem yapmasına gerek olmadığını ve ihlalin hızla kontrol altına alındığını söyledi. Kimlik bilgileri o zamandan beri geçersiz kılındı.
Salesforce’a ait şirket, “İndirilen hiçbir depo, müşteri verileri, müşteri verilerine erişim araçları veya Slack’in birincil kod tabanını içermiyordu” dedi. “Tehdit aktörü, üretim ortamı da dahil olmak üzere Slack ortamının diğer alanlarına erişmedi ve diğer Slack kaynaklarına veya müşteri verilerine erişmedi.”
Anlık mesajlaşma servisi, çalışan tokenlarının nasıl çalındığına dair daha fazla bilgi paylaşmadı, ancak “yetkisiz erişimin Slack’e özgü bir güvenlik açığından kaynaklanmadığını” vurguladı.