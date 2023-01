CircleCI, Betreiber der gleichnamigen Cloud-basierten Continuous-Integration-Plattform (CI), hat Entwicklerinnen und Entwickler gewarnt, dass es in der Zeit seit dem 21. Dezember 2022 zu einem Sicherheitsvorfall (Security Incident) gekommen sei. Aus diesem Grund empfiehlt das Unternehmen mit Nachdruck, sämtliche in seinem System gespeicherten Anmeldedaten umgehend zu ändern. CircleCI rät darüber hinaus allen Nutzerinnen und Nutzern, ihre Anmeldedaten auf etwaige unbefugte Zugriffe zu überprüfen, die in der Zeit seit dem 21.12.2022 aufgetreten sein könnten.

CircleCI: Sämtliche Zugangsschlüssel erneuern

Wie der CI-Dienstleister in einer offiziellen Mitteilung bekannt gegeben hat, seien umgehend alle Projekt-API-Tokens ungültig gemacht worden, die zum Lesen und/oder Schreiben von Daten auf der Plattform erforderlich sind. Anwenderinnen und Anwender, die solche Tokens verwenden, müssen sie neu erstellen. Im Kommunikationsforum zu dem Vorfall findet sich zudem der Ratschlag, sämtliche sensiblen Zugangsdaten, einschließlich der SSH-Schlüssel, Tokens für die Jira- und Slack-Integration, sowie Webhook-Secrets zu löschen und neu zu erstellen.

Während CircleCI bisher keine konkreten Details zu dem Sicherheitsvorfall veröffentlicht hat, versichern Mitarbeiter des Unternehmens besorgten Nutzern, dass sie "jetzt sicher sind, dass keine unbefugten Akteure in unseren Systemen aktiv sind". Updates zu dem Vorfall und der von CircleCI eingeleiteten Maßnahmen sollen indes folgen, "sobald sie verfügbar sind".

Nicht so sicher wie erhofft

Noch Anfang November 2022 hatte Chief Technology Officer Rob Zuber verkündet, CircleCI sei sicher. Obwohl das Unternehmen in der jüngeren Vergangenheit eine steigende Anzahl von Phishing-Versuchen beobachtet habe, bei denen sich Unbefugte als CircleCI-Vertreter ausgeben hätten, um Zugang zu den Code-Repositories der Nutzer auf GitHub zu erhalten, sei keines der CircleCI-Systeme kompromittiert worden, versicherte Zuber.

Lesen Sie auch Acht Systeme für Continuous Integration und Continuous Delivery im Vergleich heise_plus_positiv iX Magazin

Mit dem nun bekannt gewordenen Sicherheitsvorfall dürfte sich die Situation grundlegend geändert haben. Der Dienstleister bemüht sich derweil um Hilfestellung für seine Kunden und verweist unter anderem auf einen bereits 2021 veröffentlichten Bericht, der Best Practices für das Secrets Management zusammenfasst. Um die eigenen CI-Pipelines effektiv abzusichern, sei demnach der Einsatz von Tools zur weitgehenden Automatisierung der Verwaltung von Geheimnissen empfohlen und außerdem das Prinzip der geringsten Privilegien anzuwenden.

(map)