CircleCI는 고객에게 보안 사고 후 비밀을 교체할 것을 촉구합니다.

미국 태생의 소프트웨어 개발 서비스인 CircleCI는 보안 위협을 발표하고 그 결과 사용자에게 자신의 비밀을 순환하도록 촉구하고 있습니다.

CircleCI, 보안 문제 후 사용자 경고

American DevOps 플랫폼 CircleCI는 사용자에게 보안 사고가 발생한 후 비밀을 교체하라고 경고했습니다. 이 CI/CD 플랫폼은 소프트웨어 팀에서 인기가 높으며 코드를 신속하게 생성할 수 있도록 지속적인 통합 및 제공을 제공합니다. 백만 명이 넘는 사람과 수천 개의 회사가 이 도구를 사용하지만 현재 이 보안 사고로 인해 경고를 받고 있습니다.

CircleCI 블로그 게시물 에서 최고 기술 책임자인 Rob Zuber는 사용자에게 “CircleCI에 저장된 모든 비밀을 즉시 교체”하라고 말했습니다. 이 비밀은 “프로젝트 환경 변수 또는 컨텍스트에 저장될 수 있습니다. “

Circle은 또한 고객에게 이 문제를 경고하기 위해 Twitter를 방문했습니다.

Zuber는 앞서 언급한 블로그 게시물에서 고객이 2022년 12월 21일부터 2023년 1월 4일까지 “모든 무단 액세스에 대해 시스템의 내부 로그를 검토”해야 한다고 썼습니다. 또는 사용자는 비밀을 회전한 후 내부 로그를 검토할 수 있습니다. 또한 Zuber는 모든 프로젝트 API 토큰이 무효화되었으므로 사용자가 교체해야 한다고 언급했습니다.

CircleCI는 보안 사고에 대한 세부 정보를 제공하지 않았습니다.

CircleCI는 사용자에게 보안 문제를 알리고 데이터 보호에 대한 조언을 제공했지만 문제의 성격에 대한 정보는 아직 공개되지 않았습니다. 그러나 CircleCI는 가까운 시일 내에 이 사건에 대한 자세한 내용을 제공할 계획인 것으로 보입니다(Rob Zuber가 이 문제에 대한 블로그 게시물에서 언급한 바와 같이).

CircleCI 보안 사고는 이번이 처음이 아닙니다.

여기에서 논의된 보안 사고의 세부 사항은 모르지만 CircleCI가 이전에 위반을 처리한 적이 있다는 것은 알고 있습니다.

2019년에 회사는 타사 분석 공급업체의 침투로 인해 보안 침해를 겪었습니다. 공격자는 사용자 이름, 이메일 주소, 브랜치 이름, 리포지토리 URL 및 IP 주소를 확보하는 데 성공했습니다. 당시 회사는 사용자에게 저장소와 지점 이름을 모두 검토하라고 경고했습니다.

CircleCI 사용자라면 조치를 취하십시오.

혹시 CircleCI를 사용하신다면 이번 보안 문제 이후에 회사에서 제공하는 조언을 고려해 볼 만합니다. 비밀을 교체하고 내부 로그를 검토하면 이러한 가능한 보안 위협으로부터 자신을 보호하는 데 도움이 될 수 있습니다.