Aufgrund eines Sicherheitsvorfalls empfiehlt CircleCi Kunden und Entwicklern Schlüssel, Passwörter und andere geheime sensible Daten bei CircleCI anzupassen.
Der Betreiber von CircleCI und der gleichnamigen Cloud-basierten-Continous-Integration-Plattform (CI) hat Developer informiert, dass es am 21. Dezember zu einem Sicherheitsvorfall (Security Incident) kam. Aufgrund dessen appelliert das US-Unternehmen an Nutzer, alle im System gespeicherten Anmeldedaten zeitnah zu ändern. Außerdem rät CircleCI seinen Kunden, ihre Login-Daten auf mögliche unbefugte Zugriffe zu prüfen, die seit dem Sicherheitsvorfall stattgefunden haben könnten.
Alle Zugangsschlüssel aktualisieren
Der CI-Dienstleister bestätigte in einer offiziellen Meldung, dass sämtliche Projekt-API-Token ungültig gemacht worden seien, welche zum Lesen oder Schreiben von Daten auf der Plattform notwendig sind. Nutzer die derartige Tokens verwenden, müssen diese neu erstellen. In einem entsprechenden Kommunikationsforum, zu dem sich kürzlichen ereigneten Sicherheitsvorfall wird, Nutzern darüber hinaus empfohlen, alle sensiblen Zugangsdaten, inklusive der SSH-Schlüssel, Tokens für die Jira- und Slack-Integration, sowie Webhook-Secrets zu löschen und neu zu erstellen.
Spezifische Details zu dem Sicherheitsvorfall wurden durch CircleCi bisher nicht herausgegeben. Besorgten Kunden versichern Mitarbeiten des US-Unternehmens, dass derzeit keine unbefugten Akteure im System aktiv sind. Updates zu dem Sicherheitsvorfall und zu den eingeführten Maßnahmen sollen in Kürze folgen.
Sicherheit ist zu optimieren
Chief Technology Officer Rob Zuber hatte noch Anfang November 2022 mitgeteilt, dass CircleCI sicher sei. Obgleich das US-Unternehmen in der Vergangenheit mehreren Phishing-Versuchen ausgesetzt war, bei denen sich unbefugte Akteure als Vertreter von CircleCI ausgegeben hätten, um Zugriff auf Code-Repositories der Kunden auf GitHub zu erlangen, sei die Integrität der Systeme von CircleCI aufrechterhalten worden.
Durch den nun bekannt gewordenen Sicherheitsvorfall wurden die Systeme von CircleCI dennoch kompromittiert. Der Dienstleister bemüht sich derzeit darum seinen Kunden eine bestmögliche Hilfestellung zu leisten. CircleCI weist seine Nutzer auf einen bereits 2021 veröffentlichten Bericht hin, welcher die Best Practices für das Secrets Management erläutert. Um CI-Pipelines effektiv zu sichern, sei der Einsatz von Tools für eine umfassende Automatisierung der Verwaltung von geheimen Daten wünschenswert. Des Weiteren solle das Prinzip der geringsten Privilegien angewendet werden.