技術支援
文件
登錄
聯繫我們
CircleCI 與 AWS 合作,以識別和撤銷受安全事件影響的密鑰
奧班拉·奧佩耶米
實施期間: 2023年1月25 日 - TuxCare專家團隊
根據CircleCI首席技術官Rob Zuber的說法,CircleCI正在與亞馬遜網路服務合作,通知擁有可能受到1月4日安全事件影響的AWS令牌的客戶。
根據這篇博客文章,AWS開始向客戶發送更新,其中包含可能受到影響的令牌清單。CircleCI表示,它希望協助識別和撤銷可能受到安全事件影響的任何密鑰。
除了共用工具以幫助團隊追蹤所有可能受影響的機密外,CircleCI 還宣佈正在與 AWS 合作,通知那些可能已經洩露代幣的人。CircleCI表示,該公司還主動更新了GitHub和Bitbucket 0Auth令牌。報導。
CircleCI還警告客戶有關正在流傳的憑據收集騙局,該騙局試圖通過虛假的服務條款更新誘騙受害者輸入其GitHub登錄資訊。CircleCI表示,AWS警報與1月4日的原始事件有關,並且沒有發現任何新資訊。該公司發佈了一條推文,向客戶保證該資訊並不表示任何其他威脅。
CircleCI本周早些時候宣佈,它將在1月17日向客戶發送一份事件報告,其中包含有關原始安全事件的其他資訊。而首席技術官Zuber上周最初建議客戶輪換他們的秘密,理由是安全事件。但是,原始帖子沒有詳細說明發生了什麼。
建議客戶不僅要輪換機密,還要查看內部日誌,以查找可追溯到 12 月 21 日的任何未經授權的訪問。Zuber向客戶更新了該公司去年的可靠性問題,但官員們表示,安全事件與這些問題無關。據該公司稱,日期之間的任何聯繫純屬巧合。
據該公司稱,CircleCI與AWS合作的目標是説明客戶輕鬆識別和撤銷或輪換任何可能受影響的密鑰。他們還強調,“這一次,沒有跡象表明您的AWS帳戶被訪問,只是存儲在CircleCI中的令牌有可能被洩露,因此應該從AWS中刪除並輪換。
這篇文章的來源包括 SCMagazine上的一篇文章。
