CircleCI、認証トークン窃取によるデータ流出事故の詳細を公開

Circle Internet Servicesはこのほど、「CircleCI security alert: Rotate any secrets stored in CircleCI (Updated Jan 13)」において、2022年12月に発生したセキュリティインシデントに関する詳細なレポートを公開した。CircleCIエンジニアのラップトップがマルウェアに感染し、二要素認証(2FA: Two-Factor Authentication)で保護されたシングルサインオンのセッションが不正な第三者に窃取されていたことが明らかとなった。

CircleCIに対する侵害によりデータが流出していたことがわかった。侵入に成功したマルウェアは同社のウイルス対策ソフトウェアでは検出されなかったという。またどのように侵入されたかは説明されていない。このマルウェアはセッションCookie(認証トークン)を窃取できるよう設計され、ターゲットになりすまして同社の本番システムのサブセットへのアクセスを拡大することができたとのことだ。