CircleCI, une entreprise dont les produits de développement sont populaires auprès des ingénieurs en logiciel, a exhorté les utilisateurs à faire tourner leurs secrets suite à une violation des systèmes de l’entreprise.
La société DevOps, dont le siège est à San Francisco, a déclaré dans un avis publié mercredi soir qu’elle enquêtait actuellement sur l’incident de sécurité, le plus récent de ces dernières années.
« Nous voulions vous informer que nous enquêtons actuellement sur un incident de sécurité et que notre enquête est en cours », a déclaré Rob Zuber, directeur technique de CircleCI. « À ce stade, nous sommes convaincus qu’aucun acteur non autorisé n’est actif dans nos systèmes ; cependant, par prudence, nous voulons nous assurer que tous les clients prennent également certaines mesures préventives pour protéger vos données.
CircleCI, qui affirme que sa technologie est utilisée par plus d’un million d’ingénieurs en logiciel, conseille aux utilisateurs de faire pivoter « tous les secrets » stockés dans CircleCI, y compris ceux stockés dans des variables d’environnement de projet ou dans des contextes. Les secrets sont des mots de passe ou des clés privées qui sont utilisés pour connecter et authentifier des serveurs ensemble.
Pour les projets utilisant des jetons API, CircleCI a déclaré avoir invalidé ces jetons et les utilisateurs devront les remplacer.
CircleCI, qui a annoncé en 2021 une série F de 100 millions de dollars à une valorisation de 1,7 milliard de dollars, n’a pas partagé plus d’informations sur la nature de l’incident et n’a pas encore répondu aux questions de TechCrunch.
Cependant, la société conseille également aux utilisateurs de vérifier leurs journaux internes pour tout accès non autorisé survenu entre le 21 décembre 2022 et le 4 janvier 2023, ce qui suggère que la violation de la société a commencé environ deux semaines plus tôt. Le 21 décembre, la société a également annoncé qu’elle avait publié des mises à jour de fiabilité du service pour résoudre les « problèmes systémiques » sous-jacents.
En 2019, CircleCI a été victime d’une violation de données après qu’un fournisseur tiers a été compromis. Cela a vu les pirates informatiques compromettre les données des utilisateurs, y compris les noms d’utilisateur et les adresses e-mail, les noms d’utilisateur et les adresses e-mail associés à GitHub et Bitbucket, ainsi que les adresses IP des utilisateurs.
En novembre, CircleCI a déclaré avoir également été témoin d’un nombre croissant de tentatives de phishing par lesquelles des acteurs non autorisés se faisaient passer pour CircleCI pour accéder aux référentiels de code des utilisateurs sur GitHub.