서클CI(CircleCI)가 2022년 12월 발생한 보안 인시던트 조사 결과를 발표했다. 침입 계기는 노트북이 악성코드에 감염된 것으로 이 직원은 프로덕션 환경에서 액세스 토큰을 작성할 권한을 보유하고 있는 엔지니어였기 때문에 침입자가 프로덕션에 액세스해 정보를 절취하는 일로 이어졌다.
서클CI가 조사 결과를 발표한 보안 사고는 2023년 1월 4일 발생이 보고됐다. 조사 결과 침입은 적어도 2022년 12월 16일까지 거슬러 올라가는 것으로 나타났다. 침입 계기가 된 건 앞서 설명했듯 직원 노트북 멀웨어 감염. 이로 인해 이중 인증으로 지원되는 SSO 세션 쿠키가 도난당해 공격자는 이중인증이나 비밀번호 입력을 요구하지 않고 액세스 권한을 입수했다.
서클CI 측에 따르면 표적이 된 직원은 프로덕션 액세스 토큰 생성 권한을 갖고 있으며 공격자는 2022년 12월 22일부터 서클CI 데이터베이스와 스토어에 무단 액세스 권한을 부여하고 고객 데이터 일부를 훔쳤다.
서클CI는 프로젝트 API 토큰, 개인 API 토큰, 깃허브 인증 토큰 등 고객과 관련된 모든 토큰을 변경하고 애틀라시안(Atlassian), AWS와 연동해 침해 가능성이 있는 비트버킷 토큰과 AWS 토큰을 고객에게 통지했다고 한다. 또 대응책을 강구한 뒤 제3자 시스템에 부정 액세스가 있었다고 보고한 고객 수는 5명 미만이라고 한다. 관련 내용은 이곳에서 확인할 수 있다.