Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/circleci-warns-of-security-breach-rotate-your-secrets/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #circleci #adverte #sobre #violação #de #segurança # #gire #seus #segredos!
CircleCI, um serviço de desenvolvimento de software, divulgou um incidente de segurança e está pedindo aos usuários que troquem seus segredos.
A plataforma CI/CD apregoa ter uma base de usuários composta por mais de um milhão de engenheiros que confiam no serviço para "velocidade e confiabilidade" de suas construções.
CircleCI avisa os usuários sobre o incidente
A CircleCI declara que está atualmente investigando um incidente de segurança, de acordo com notificações por e-mail recebidas pelos usuários da CircleCI.
Até que a empresa conclua sua investigação, os usuários são instados a alternar todo e qualquer segredo armazenado no CircleCI por precaução.
A CircleCI está enviando um e-mail aos usuários sobre o incidente de segurança (dotty-)
"Forneceremos atualizações sobre este incidente e nossa resposta, assim que estiverem disponíveis", afirma o CTO da CircleCI, Rob Zuber, em um comunicado sucinto publicado na quarta-feira.
“Neste ponto, estamos confiantes de que não há agentes não autorizados ativos em nossos sistemas; no entanto, com muita cautela, queremos garantir que todos os clientes tomem certas medidas preventivas para proteger seus dados também”.
Os segredos que os clientes são aconselhados a alternar incluem aqueles armazenados como variáveis de ambiente do projeto ou em contextos.
Para projetos que usam tokens de API, o CircleCI invalidou esses tokens e os usuários deverão substituí-los.
Além disso, a empresa DevOps aconselha os usuários a auditar seus registros internos para acesso não autorizado ocorrido entre 21 de dezembro de 2022 e 4 de janeiro de 2023.
A violação segue a atualização de "confiabilidade" do CircleCI
Ironicamente, o texto sugere que a CircleCI foi violada em 21 de dezembro, no mesmo dia em que publicou uma "atualização de confiabilidade" reforçando seu compromisso de melhorar seus serviços.
A própria atualização de confiabilidade seguiu uma série de atualizações semelhantes a partir de abril de 2022, quando a CircleCI admitiu que sua confiabilidade não estava de acordo com as expectativas do usuário.
"No CircleCI, nossa missão é gerenciar a mudança para que as equipes de software possam inovar mais rapidamente. Mas, ultimamente, sabemos que nossa confiabilidade não atendeu às expectativas de nossos clientes", escreveu Zuber na época.
Em setembro de 2022, a CircleCI emitiu outra atualização após a indisponibilidade da página de pipelines "por uma parte significativa do dia", impedindo que muitas equipes gerenciassem sua carga de trabalho.
Essas atualizações seguem uma série de problemas de segurança para a CircleCI nos últimos anos.
Em meados de 2019, a CircleCI foi atingida por uma violação de dados resultante do comprometimento de um fornecedor terceirizado. Isso levou ao comprometimento dos dados do usuário, incluindo nomes de usuário e endereços de e-mail associados às contas GitHub e Bitbucket dos usuários, bem como seus endereços IP, nomes de organizações, URLs de repositório etc.
Em 2022, os agentes de ameaças foram pegos roubando contas do GitHub por meio de notificações falsas por e-mail do CircleCI enviadas aos usuários:
E-mails de phishing da CircleCI vistos em 2022 (CircleCI)
Essas tentativas de phishing não resultaram necessariamente de um novo comprometimento e a CircleCI, na época, garantiu que continua segura. No entanto, os criminosos costumam usar endereços de e-mail obtidos de uma violação anterior (por exemplo, a de 2019) para atingir os clientes de uma empresa afetada com golpes de phishing.
Com relação à divulgação do incidente de segurança de quarta-feira, a CircleCI pediu desculpas por qualquer inconveniente que isso possa causar. A empresa planeja compartilhar mais detalhes nos próximos dias após a conclusão da investigação.
Postar um comentário