CircleCI用戶金鑰和權杖被竊，導致第三方系統遭入侵

CircleCI在1月4日的時候，向用戶發出安全警報，提到他們正在調查一起安全事件，當時他們認為並沒有任何系統遭到入侵，但現在CircleCI安全事件調查報告出爐，不只發現用戶的加密金鑰被偷，攻擊者有能力存取GitHub儲存庫和第三方系統，並且已有用戶回報系統已遭駭客入侵。

在12月29日時，用戶通報可疑的GitHub OAuth活動，CircleCI因此發現用戶的GitHub OAuth權杖已被洩漏，因此啟動所有GitHub OAuth權杖輪替流程，而後經過CircleCI內部調查，確認攻擊者的入侵範圍和路徑，追溯發現有一名CircleCI工程師筆電被植入惡意軟體，駭客藉此竊取有效且支援2FA的SSO會話。

該電腦在12月16日遭到感染，防毒軟體未能偵測到該惡意軟體，惡意軟體在竊取會話Cookie之後，便能夠從遠端冒充該名CircleCI工程師，進而存取產品系統。因為該名工程師的日常職務，有權生成存取產品的權杖，因此攻擊者便能夠從資料庫和儲存系統上存取和洩漏資料，包括用戶的環境變數、權杖和金鑰。

官方提到，雖然所有資料都為靜態加密，但是因為攻擊者從正在執行的程序中擷取加密金鑰，因此能夠存取加密資料。

攻擊者在12月22日竊取用戶資料，其中包括第三方系統的環境變數、金鑰和權杖，CircleCI提醒，在這段時間曾將機密資訊存在CircleCI平臺的用戶，需要假設這些資訊已遭竊取，並採取建議的緩解措施，同時還需要調查系統中，12月16日至1月4日的可疑活動，1月5日之後才進到CircleCI平臺的資料則是安全的。

因為這個事件涉及第三方系統的金鑰和權杖洩漏，因此CircleCI無法得知用戶系統是否遭到入侵，但是已知有5個用戶通報，發現第三方系統遭到攻擊者存取。CircleCI已經完成Atlassian、AWS和GitHub OAuth權杖輪替，官方表示，現在用戶已經可以安全地在CircleCI上進行建置。

CircleCI承諾將進一步強化安全，行動包括替所有用戶啟動OAuth權杖自動定期輪替，並且從OAuth轉換使用GitHub應用程式，使得CircleCI能夠實行更精細的權限。CircleCI也將會對所有工具配置進行分析，擴大警示和減少會話信任，添加額外的身分驗證因素等。