CircleCI insta a los clientes a rotar los secretos después de un incidente de seguridad

La empresa de desarrollo de software CircleCI está instando a sus usuarios a revelar secretos después de encontrar un incidente de seguridad.

CircleCI, un servicio de desarrollo de software nacido en EE. UU., ha anunciado una amenaza de seguridad e insta a los usuarios a revelar sus secretos en consecuencia.

CircleCI notifica a los usuarios después de un problema de seguridad

La plataforma estadounidense DevOps CircleCI ha emitido una advertencia a sus usuarios para que escindan sus secretos después de sufrir un incidente de seguridad. Esta plataforma de CI/CD es popular entre los equipos de software, ya que ofrece integración y entrega continuas para la creación rápida de códigos. Más de un millón de personas y miles de empresas están utilizando esta herramienta, a pesar de que ahora han sido advertidos tras este incidente de seguridad.

En una publicación de blog de CircleCI, el CTO Rob Zuber les dijo a los usuarios que «giraran inmediatamente todos los secretos almacenados en CircleCI», que «pueden almacenarse en variables de entorno del proyecto o en contextos».

Circle también recurrió a Twitter para alertar a los clientes sobre el problema.

Zuber escribió en la publicación de blog antes mencionada que los clientes deben «revisar los registros internos de sus sistemas en busca de acceso no autorizado» desde el 21 de diciembre de 2022 hasta el 4 de enero de 2023. Alternativamente, los usuarios pueden revisar sus registros internos después de canjear sus secretos. Además, Zuber mencionó que todos los tokens de Project API han sido invalidados y, por lo tanto, deben ser reemplazados por los usuarios.

CircleCI no proporcionó detalles del incidente de seguridad

Si bien CircleCI informó a los usuarios sobre un problema de seguridad y ofreció orientación para proteger los datos, aún no se ha publicado información sobre la naturaleza del problema. Sin embargo, parece que CircleCI tiene la intención de proporcionar más detalles sobre el incidente en un futuro próximo (como lo afirma Rob Zuber en su blog al respecto).

Este no es el primer incidente de seguridad de CircleCI

Aunque no conocemos los detalles del incidente de seguridad discutido aquí, sabemos que CircleCI ya ha abordado las infracciones.

En 2019, la empresa sufrió una infracción tras la infiltración de un proveedor de análisis externo. El operador del ataque logró obtener nombres de usuario, direcciones de correo electrónico, nombres de sucursales, URL de repositorio y direcciones IP. En ese momento, la compañía advirtió a los usuarios que revisaran tanto su repositorio como los nombres de las sucursales.

Actúa si eres usuario de CircleCI

Si usa CircleCI, vale la pena considerar la guía proporcionada por la compañía después de este problema de seguridad. Rotar sus secretos y revisar los registros internos puede ayudarlo a protegerse contra esta posible amenaza a la seguridad.