CircleCI, müşterilerden yetersiz ayrıntılarla bir güvenlik olayının ifşa edilmesinin ardından sırları döndürmelerini istemesinin ardından incelemenin hararetini hissediyor.
Sektördeki en büyük sürekli entegrasyon ve sürekli teslimat platformlarından biri olan San Francisco merkezli şirket, Çarşamba günü açıklanan olayın ayrıntılarını henüz açıklamadı, ancak yazılım topluluğunun büyük bölümünü maliyetli ve zaman alıcı hafifletme adımları atmaya çağırdı. en değerli varlıklarını korumak için.
“Bu sırları döndürmek zorunda olmak, kuruluşların bir saldırının ardından bu sırların ne olduğunu ve nerede yaşadıklarını belirlemeleri için bir yangın tatbikatıdır.” Matthew Rose, ReversingLabs’de saha CISO’su, e-posta yoluyla söyledi.
Rose, şirketin verilerine atıfta bulunarak, CircleCI’nin çok iyi bilindiğini ve sektörde yaygın olarak kullanıldığını ve yaklaşık 200.000 DevOps ekibinin bu platformu tüm sektörlerde kullandığını söyledi.
Bir sözcü Perşembe günü e-posta yoluyla Cybersecurity Dive’a “Müşteri güvenliğini ve gizliliğini son derece ciddiye alıyoruz” dedi. “Soruşturmamızın bütünlüğünü korurken, yapabildiğimizde tam bir olay müdahalesini paylaşmaya kararlıyız.”
Olayla ilgili bir blog gönderisini düzenli olarak güncelleyen CircleCI CTO’su Rob Zuber, Cumartesi günü şirketin süreci tamamladığını duyurdu. Dönen GitHub OAuth belirteçleri müşteriler adına.
Şirket daha önce 5 Ocak’tan önce oluşturulan kişisel ve proje API Jetonlarını kaldırdığını ve Atlassian’daki ortaklarının Bitbucket kullanıcıları için tüm OAuth Jetonlarını sona erdirdiğini duyurmuştu.
Geçen hafta Zuber, şirketin olaya yol açan riski ortadan kaldırdığından emin olduğunu söyledi ve müşterilere platformun güvenli bir şekilde inşa edileceğine dair güvence verdi.
Müşterilere, CircleCI’nin olayı ilk olarak ifşa ettiği 21 Aralık ile 4 Ocak arasındaki günlüklerini gözden geçirmeleri tavsiye edildi. Ancak Zuber, onunla herhangi bir bağlantısını reddetti. 21 Aralık gönderisi şirketteki önceki güvenilirlik sorunları hakkında, bunun tamamen tesadüf olduğunu söyleyerek.
CircleCI, Kasım ayında girişimler konusunda uyardı kimlik avı saldırıları başlatmak şirkettenmiş gibi davranan saldırganlar tarafından kuruluşlara karşı
Şirket, üçüncü taraf bir firmayla adli tıp soruşturmasını tamamlayana kadar en son olayın nedeni hakkında ek somut ayrıntılara sahip olmayacağı konusunda uyardı.
güvenlik araştırmacısı Daniel Huckmann Twitter’da paylaştı tatil tatilinde bir Thinkst Canary AWS jetonunu içeren bir CircleCI olayını araştırdığını söyledi. CircleCI sözcüsü, şirketin iddiadan haberdar olduğunu ancak daha fazla yorum yapmadığını söyledi.
Sır saklamak
Yazılım oluşturma ortamındaki dönüşümlü sırlar, T’ye göre genellikle parolalar, API anahtarları, kimlik doğrulama belirteçleri ve genel ve özel anahtarlar dahil olmak üzere korunması gereken herhangi bir kimlik bilgisini ifade eder.om McNamara, Hopr CEO’su.
McNamara, CircleCI müşterilerinin tepkisinin, bu olayın geliştirici topluluğu üzerindeki maliyetli etkisine ve şirketin bununla nasıl başa çıktığına değindiğini söyledi.
McNamara e-posta yoluyla “Bu, yazılım mühendisliği ekipleri için çok kötü,” dedi. “Maliyetli ve zaman alıcı ve destek yorumları, geliştiriciler arasında çok fazla hayal kırıklığı olduğunu ortaya çıkardı.”
McNamara, düzeltme adımlarının çoğunun geliştiriciler ve güvenlik mühendisleri için manuel olarak çok yoğun göründüğünü söyledi.
McNamara, “Hangi sırların var olduğunu ve nelerin çalındığını denetlemeye çalışmak çok zor görünüyor,” dedi. “Bazı güvenlik görevlileri, ‘cam kırma’ seçeneğinin hizmet bağlantısının tamamen kesilmesini bile önerdi, ancak herkes bu seçeneği kabul edemez.”
CircleCI olayı, geliştiricilerin ve geliştirme altyapısının yeni siber saldırıların ön cephesi olmaya devam ettiğinin bir başka kanıtı. Brian Fox, Sonatype’ın kurucu ortağı ve CTO’su.
Fox, e-posta yoluyla, “Geliştiricilerin, güvenilmeyen taraflardan gelen koda karşı derleme çalıştıran herhangi bir CI/CD sisteminin, örneğin bir katkıda bulunandan gelen çekme isteği gibi, bir şekilde tehlikeye girebileceğini varsayması gerekir” dedi.
Fox, CI/CD sistemi, ister bir birim testi ister yeni bir eklenti olsun, kodu yürütürken, kodun, CI sisteminin erişebildiği sırları çalmak da dahil olmak üzere hain şeyler yapabileceğini söyledi.