CI/CD平台CircleCI督促客户修改机密信息

CircleCI是一个CI/CD平台，声称超过百万名工程师都依赖该服务获得build的“速度和可靠性”。

CircleCI 用户指出，CircleCI公司在邮件中表示目前正在调查一起安全事件，在公司调查完之前，督促用户修改所有存储在CircleCI中的机密信息。

CircleCI 公司的首席技术官 Rob Zuber 在周三发布的安全公告中提到，“我们将及时为您提供事件进展情况以及我们的响应行动。目前来看，我们确信系统中并未出现活跃的越权行动者；然而，谨慎起见，我们同时希望确保所有客户均采取一定的防御措施，保护自身数据安全。”

对于使用API令牌的项目，CircleCI验证了这些令牌，并要求用户替换。

安全研究员 Daniel Hückmann 发现了和攻击相关的一个IP地址 (54.145.167.181)。这一信息可能有助于事件响应人员调查其环境。另外，CircleCI 建议用户审计2022年12月21日至2023年1月4日期间，内部日志中是否存在越权访问情况。

颇具讽刺意味的是，这一建议说明CircleCI 公司在2022年12月21日遭攻陷，而在同一天它发布了“可靠性更新”，致力于提高其服务水平。

该公司曾在2022年4月开展了一系列类似的可靠性更新，当时该公司证实其可靠性未达用户预期。Zuber 当时表示，“CircleCI 的目标是管理变化，以便软件团队能够更快地进行创新。但最近我们了解到我们的可靠性并未达到客户预期。”2022年9月，CircleCI 公司在管道页面“在一天大部分时间”无法使用，影响很多团队管理工作负载的情况下，发布了另外一次更新。

这些更新发生在多年来CircleCI出现安全问题之后。

2019年年中，CircleCI 公司因一家第三方厂商攻陷事件数据遭泄露。结果导致用户数据遭攻陷，包括用户名、和用户GitHub和Bitbucket 账户相关联的邮件地址、IP地址、所在组织机构名称、仓库URL等。

2022年，威胁行动者通过虚假的CircleCI 邮件通知窃取GitHub账户。这些钓鱼尝试不一定源自新的攻陷事件，而当时该公司曾保证其自身是安全的。但是，威胁行动者通常会使用先前攻陷事件中获取的邮件地址，通过钓鱼骗局攻击目标企业的客户。

CircleCI 对此次事件造成的不便表达迁移，并计划在调查完成后及时共享更多详情。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。