CircleCI 与 AWS 合作通知客户安全问题

重点内容

• CircleCI 正在与亚马逊网络服务（AWS）合作，通知可能受到影响的客户。
• AWS 已开始通过邮件向客户发送潜在受影响的令牌列表。
• 没有迹象表明客户的 AWS 账户被访问，建议删除和更新令牌。
• 暂无确认违反对第三方应用的影响，但相关研究显示可能影响多个云服务商。

CircleCI 宣布，正在与亚马逊网络服务（AWS）直接合作，帮助通知那些可能受到1月4日安全漏洞影响的客户。这一消息是在开发平台周四发布的更新中提到的。

根据1月12日发布的安全公告更新，CircleCI 表示，AWS 已开始通过邮件向客户发送潜在受影响的令牌列表，邮件主题为 “[ActionRequired] CircleCI 安全警报：请旋转访问密钥”。

“我们与 AWS 合作，帮助通知所有 CircleCI 客户，这些客户的 AWS 令牌可能在此次安全事件中受到影响。今天，AWS
开始通过电子邮件提醒客户，列出潜在受影响的令牌。”CircleCI 在该更新中表示。

CircleCI表示，与AWS的合作目的是帮助客户轻松识别并撤销或旋转任何可能受到影响的密钥。他们强调，“当前没有迹象表明您的AWS账户被访问，只有可能在CircleCI中存储的令牌被泄露，因此应从AWS中删除并进行旋转。”

尽管CircleCI尚未确认此次泄露对第三方应用的具体影响，但更新加强了1月10日来自的研究结果，表明此次事件也可能影响与CircleCI平台互动的SaaS和云服务提供商，如AWS、GitHub、GoogleCloud Platform（GCP）及Microsoft Azure。

Mitiga的研究人员在博客中指出：“在使用CircleCI平台时，您将该平台与公司的其他SaaS和云服务提供商集成。对于每个集成，您需要提供认证令牌和秘密。”他们补充道：“当一个安全事件涉及到您的CircleCI平台时，不仅CircleCI平台处于危险之中，所有与CircleCI集成的其他SaaS平台和云服务提供商也处于同样的风险，因为它们的秘密存储在CircleCI平台中，可以被威胁行为者利用从而扩大他们的控制范围。”

当天，SCMedia初次联系AWS询问Mitiga的研究及其是否计划通知客户或协助修复时，公司的发言人通过共享责任模型页面的链接回应，指出AWS只负责保护自己的基础设施，这意味着评估与CircleCI集成后果的责任完全在用户身上。现在，该公司似乎积极主动地识别受影响的AWS令牌。

CircleCI并未直接回复SCMedia关于此次事件对第三方应用的实际影响的询问，以及是否将与其他平台（如GitHub、Azure和GCP）合作，提醒用户潜在风险。

一位发言人本周早些时候告诉SC Media，将在1月17日向客户提供一份关于此次泄露的事件报告，包含更多详情。