员工设备和凭证的妥协导致 CircleCI 数据泄露 媒体

CircleCI遭受黑客入侵：重要资讯及应对措施

关键要点

黑客攻击事件的背后，CircleCI的CTO Ron Zuber在本周五发布的事件报告中指出，黑客通过感染一名工程师的笔记本电脑，实现了对公司系统的侵入和数据窃取。根据报告，早在2022年12月16日，一名未经授权的行为者就已获取了受害者的两因素认证凭证。

Zuber表示：“我们的调查显示，该恶意软件能够进行会话cookie窃取，使他们能够在远程地点冒充目标员工，随后提升对部分生产系统的访问权限。”

该攻击者利用获得的访问权限，从多个数据库和存储中盗取了数据，包括客户的环境变量、令牌和密钥。黑客在窃取了未公开的数据量并成功规避公司杀毒软件的检测后，于2022年12月19日进行更广泛的信息侦察，并在12月22日进行第二次数据窃取，包含解密所需的加密密钥。

Chainguard的创始人兼首席执行官Dan Lorenc指出，开发人员对内部系统和生产环境的广泛访问权限使得端点检测系统难以识别其是否存在恶意行为。他提到：“这些行为很难被检测到，因为开发人员通常拥有最多的生产访问权，同时也需要最本地系统的访问权限来完成工作，使得大多数端点保护软件无效。”

虽然目前只有一名员工的账户被泄露，Zuber强调，这次事件是系统的全面失效，而不应归咎于任何个人。

他指出，公司目前已确认已关闭了初始侵入时使用的攻击通道，且黑客不再能够访问CircleCI的内部系统，但无法保证窃取的信息没有被用于可能危害客户系统。到目前为止，已经有“不到五位”客户报告称，事件后他们的第三方系统遭受未经授权的访问。

Zuber提醒：“如果在此期间您的平台上保存了秘密信息，请假设该信息已被访问，并采取建议的缓解措施。” 他建议客户从2022年12月16日至2023年1月4日披露后的秘密轮换完成日期期间，检查系统中的可疑活动，而在2023年1月5日后输入系统的任何内容可视为安全。

Zuber表示，公司在2022年12月29日首次注意到来自客户的可疑GitHub OAuth活动。次日，他们确认了一名未经授权的参与者已获得访问权限，随即展开了更深入的调查。

“尽管我们对内部调查的结果充满信心，但我们已经聘请了第三方网络安全专家协助我们的调查并验证我们的发现，”Zuber续写道，“迄今为止的调查结果基于我们对认证、网络和监控工具以及由合作伙伴提供的系统日志和日志分析的分析。”

为了应对这一发现，CircleCI关闭了该员工的访问权限，并将生产环境的访问限制为“极小的员工组”，以维持操作，收回所有项目和个人API令牌，并轮换所有GitHub OAuth令牌。他还表示，企业希望借此事件吸取教训，并采取多项措施提升其安全流程。

此外，CircleCI还联系了其他与其集成的云或SaaS应用程序的第三方，这些可能受到影响，包括Github、AWS、Google Cloud和Microsoft Azure。正如SC Media之前报道，Mitiga的研究员警告称，CircleCI平台的特性及其与客户云环境的集成意味着一个系统的泄露很容易导致另一个系统的危害。

Mitiga的研究人员表示：“使用CircleCI平台时，您需要将平台与公司使用的其他SaaS和云提供商集成。每次集成都需要提供CircleCI平台的认证令牌和秘密。当安全事件涉及您的Circle